別名: rojan-PSW.Win32.Bjlog.fwl(Kaspersky),BKDR_ZEGOST.SMF(Trendmicro),Backdoor.Trojan(Symantec),Mal/Generic-L(Sophos),長度: 192,512 位元組。
基本介紹
- 外文名:backdoor.zegost.H
- 風險級別:高
- 傳播能力:低
- 危害程度:中
Backdoor/ZEGOST.5382
風險級別:高
傳播能力:低
危害程度:中
相關漏洞: 無
發現日期: 2010-05-05
連線埠: 無
長度: 192,512 位元組
語言: 英語
壓縮殼: 無
別名: rojan-PSW.Win32.Bjlog.fwl(Kaspersky),BKDR_ZEGOST.SMF(Trendmicro),Backdoor.Trojan(Symantec),Mal/Generic-L(Sophos)
受影響系統: Windows NT, Windows Vista, Windows XP, Windows 2003, Windows 2000, Windows 95/98/ME
該後門是通過其它有害軟體釋放,也可能被其它惡意軟體或用戶無意下載。
一旦運行,釋放一些相關檔案到被感染系統,創建服務載入檔案%ALLUSERSPROFILE%\DRM\{random-name}.dlc
{random-name}.dlc檔案接受遠程命令完成有害操作:傳送系統信息,螢幕監視,檔案管理,視頻監控,語音監控,下載檔案等。
釋放%ALLUSERSPROFILE%\DRM\{random-name}.dlc檔案,並在檔案末尾添加一些垃圾數據為了有不同的md5值避免防毒軟體的檢測
%ALLUSERSPROFILE%\DRM\{random-name}.dlc ----detect as Backdoor/Gh0st.0F34 by Anchiva
創建服務載入釋放的檔案並使其每次伴隨系統啟動
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ias
%SystemRoot%\System32\svchost.exe -k netsvcs
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ias\parameters
ServiceDll ="%ALLUSERSPROFILE%\DRM\{random-name}.dlc"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Comias70
%SystemRoot%\System32\svchost.exe -k netsvcs
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Comias70\parameters
ServiceDll ="%ALLUSERSPROFILE%\DRM\{random-name}.dlc"
{random-name}.dlc檔案釋放%System32%\svchost.exe.txt檔案記錄異常信息
{random-name}.dlc檔案接受下列主機命令完成有害操作:傳送系統信息,螢幕監視,檔案管理,視頻監控,語音監控,下載檔案等。
