基本介紹
- 中文名:Backdoor.Khaos
- 發現:2003 年 2 月 20 日
- 更新: 2007年2月13日11:43:42 AM
- 類型: Trojan Horse
病毒簡介,詳細介紹,病毒防護,病毒廣度,病毒損壞,病毒分發,威脅構成,伺服器信息,建議,
病毒簡介
別名: BKDR_KHAOS.A [Trend], Backdoor.Khaos [KAV], Backdoor.Win32/Khaos [RAV]
感染長度: 59,904 bytes [server];141,824 bytes [client]
受感染的系統: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
詳細介紹
Backdoor.Khaos 用 Microsoft Visual Basic 5 編寫並需要 Visual Basic (VB) run-time libraries 安裝在計算機的情況下才能執行。
病毒防護
* 病毒定義(每周 LiveUpdate™) 2003 年 2 月 20 日
* 病毒定義(智慧型更新程式) 2003 年 2 月 20 日
威脅評估
病毒廣度
* 廣度級別: Low
* 感染數量: 0 - 49
* 站點數量: 0 - 2
* 地理位置分布: Low
* 威脅抑制: Easy
* 清除: Easy
病毒損壞
* 損壞級別: High
* 刪除檔案: The .dll, .exe, and .sys files in the C:\Windows\System and C:\Windows folders
* 危及安全設定: Allows unauthorized access to the compromised computer
病毒分發
* 分發級別: Low
* 連線埠: 6969
發現: 2003 年 2 月 20 日
更新: 2007 年 2 月 13 日 11:43:42 AM
別名: BKDR_KHAOS.A [Trend], Backdoor.Khaos [KAV], Backdoor.Win32/Khaos [RAV]
類型: Trojan Horse
感染長度: 59,904 bytes [server];141,824 bytes [client]
受感染的系統: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
威脅構成
當 Backdoor.Khaos 執行時,該威脅的構成如下:
1. 通知用戶端,
2. 打開 6969 埠監聽通訊,
3. 等待遠端用戶指令。 此指令將使駭客能夠使用感染的計算機。
駭客可以使用用戶部分在伺服器內部打開有效載荷。該載荷創建批處理檔案 C:\Windows\System\Scan.bat,其中所含的命令行可以從 C:\Windows\System 和 C:\Windows 資料夾刪除.dll, .exe 和 .sys 檔案。因為路徑名是固定的,很可能此威脅在 Windows NT, 2000, 或 XP系統上不構成任何威脅。
伺服器信息
伺服器包括了一些固定的信息 (hard-coded message)。駭客可以讓任何下列的信息顯示在您的計算機上:
1. You have way too much porn on your hard drive. Please delete some and restart your machine. | Error 12743:28576 FAT32
2. Damn you look like you got raped with the ugly stick. Get away from the monitor. Error 1K6h2a8o7s Khaos FAT32
3. Windows has detected a homosexual using this computer. Please become straight, restart, and try again.
4. Warning ! Windows has detected child pornography in the directory C:\Windows\System\Colors\Porn\ and in directory C:\America Online 6.0a\download\ | Please remove these files and restart your computer.
5. Khaos -N- Konfusion
建議
禁用並刪除不需要的服務。 默認情況下,許多作業系統會安裝不必要的輔助服務,如 FTP 伺服器、telnet 和 Web 伺服器。 這些服務可能會成為攻擊所利用的途徑。 如果將這些服務刪除,混合型威脅的攻擊途徑會大為減少,同時您的維護工作也會減少,只通過補丁程式更新即可完成。 如果混合型威脅攻擊了一個或多個網路服務,則在套用補丁程式之前,請禁用或禁止訪問這些服務。 始終安裝最新的補丁程式,尤其是那些提供公共服務而且可以通過防火牆訪問的計算機,如 HTTP、FTP、郵件和 DNS 服務(例如,所有基於 Windows 的計算機上都應該安裝最新的 Service Pack)。. 另外,對於本文中、可靠的安全公告或供應商網站上公布的安全更新,也要及時套用。 強制執行密碼策略。 複雜的密碼使得受感染計算機上的密碼檔案難以破解。這樣會在計算機被感染時防止或減輕造成的損害。 配置電子郵件伺服器以禁止或刪除帶有 vbs、.bat、.exe、.pif 和 .scr 等附屬檔案的郵件,這些檔案常用於傳播病毒。 迅速隔離受感染的計算機,防止其對企業造成進一步危害。 執行取證分析並使用可靠的介質恢復計算機。 教育員工不要打開意外收到的附屬檔案。 並且只在進行病毒掃描後才執行從網際網路下載的軟體。如果未對某些瀏覽器漏洞套用補丁程式,那么訪問受感染的網站也會造成病毒感染。 更新病毒定義。 執行以下步驟之一: Windows 95/98/Me: 將計算機重新啟動到安全模式。 Windows NT/2000/XP: 結束特洛伊木馬程式。執行完整的系統掃描,刪除所有偵測到的 Backdoor.Khaos 檔案。
如需關於這些步驟的詳細信息,請閱讀下列指示。
1. 更新病毒定義
Symantec 安全回響中心在我們的伺服器上發布任何病毒定義之前,會對其進行全面測試以保證質量。 可以通過兩種方式獲得最新的病毒定義: 運行 LiveUpdate,這是獲得病毒定義最簡便的方法。 如果未出現重大的病毒爆發情況,這些病毒定義會在 LiveUpdate 伺服器上每周發布一次(一般為星期三)。 要確定是否可以通過 LiveUpdate 獲得解決該威脅的病毒定義,請見本說明頂部“防護”部分的病毒定義 (LiveUpdate) 部分。 使用“智慧型更新程式”下載病毒定義。 “智慧型更新程式”病毒定義會在美國工作日(周一至周五)發布。 您應當從 Symantec 安全回響中心網站下載定義並手動安裝它們。 要確定是否可以通過“智慧型更新程式”獲得解決該威脅的病毒定義,請見本說明頂部的病毒定義(智慧型更新程式)部分。智慧型更新程式病毒定義可從這裡獲得。若要了解如何從賽門鐵克安全回響中心下載和安裝智慧型更新程式病毒定義,請單擊這裡。
2. 以安全模式重新啟動計算機或終止特洛伊木馬進程 對於 Windows 95/98/Me以安全模式重新啟動計算機。 除 Windows NT 外,所有的 Windows 32 位作業系統均可以安全模式重新啟動。 有關如何完成此操作的指導,請參閱文檔:如何以安全模式啟動計算機。Windows NT/2000/XP要終止特洛伊木馬進程,請執行下列操作: 按一次 Ctrl+Alt+Del。 單擊“任務管理器”。 單擊“進程”選項卡。 d. 雙擊“映像名稱”列標題,按字母順序對進程排序。 滾動列表並查找 Server2.exe(這是最常用名)。 如果找到該檔案,則單擊此檔案,然後單擊“結束進程”。 單擊“任務管理器”。
