特洛伊病毒Win32.Fasbeaf.B

Win32/Fasbeaf.B是一族后门特洛伊病毒，允许未经授权的访问被感染机器。它们还有代理的功能。 运行时，Fasbeaf.B 使用一个任意文件名和一个.exe扩展名复制到%System%目录。文件名可能包含一串3到13阿拉伯数字字符，例如"sw8o6ot.exe" 或 "wxjmtaxzj.exe"。特洛伊运行这个新的副本并删除原始文件。

基本介绍

具体介绍(病毒特性 危害 清除)

基本介绍

其它名称：Win32.Fasbeaf.B, Win32/Fasbeaf.B!Trojan, Trojan-Proxy.Win32 (Kaspersky)

病毒属性：特洛伊木马 危害性：中等危害 流行程度：

具体介绍

病毒特性

注：''%System%''是一个可变的路径。病毒通过查询操作系统来决定System文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\\Winnt\\System32; 95,98 和 ME 的是C:\\Windows\\System; XP 的是C:\\Windows\\System32。

Fasbeaf添加以下注册表键值，以确保每次系统启动时都能运行这个副本：

HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\<random name > = "%System%\\<random name >.exe"

HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\<random name> = "%System%\\<random name>.exe"

运行期间，如果这些键值被删除，特洛伊会反复生成这些键值。

Fasbeaf还会在被感染机器的%Windows%目录使用相同的名称生成一个互斥体，但是以下划线(_)替代反斜线符号(\\)。例如，一台机器默认安装Windows XP，互斥体名称可能是"C:_WINDOWS"。

注：''%Windows%''是一个可变的路径。病毒通过查询操作系统来决定Windows文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\\Winnt; 95,98 和 ME 的是C:\\Windows; XP 的是C:\\Windows。

危害

代理功能

Fasbeaf.B为了能够连接会监听任意端口。很多变体有一个信任的站点列表，并检查引入的连接是否来自信任的IP地址。确定一个连接的时候，特洛伊被命令生成一个代理服务器，或者关闭连接和当前端口。

Fasbeaf.B被命令连接一个特定的IP/端口，并通过被感染机器传递Internet通信量。或者接受以下命令，Fasbeaf设置另一个监听socket，发送端口和本地机器IP给它的控制者。随后，监听一个新的socket，一旦确定连接，在控制者和开始连接的站点之间传递通信量。

后门功能

Fasbeaf.B包含一个站点和连接的相应的端口的列表。例如：

216.195.34.234:12765

81.9.3.82:7777

一旦连接上，特洛伊就被命令执行各种操作，以及它的代理功能，包括：

下载恶意程序的更新；

停止运行。

一些命令改变Fasbeaf的行为。例如，特洛伊被命令不检查连接到它的代理端口的站点。

特洛伊还会发送不同的信息到远程站点，包括：

被感染机器的Windows 版本；

特洛伊监听的代理端口；

机器名；

当前用户名；

关于特洛伊的当前状况和行为的信息；

本地机器的IP地址。

其它信息

根据后门命令，特洛伊可能生成以下注册表：

HKLM\\Software\\Microsoft\\Windows\\ShellNoRoam\\MUICache\\"%System%\\<random name>.exe" = <data>

HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\SharedDLLs\\"%System%\\<random name>.exe" = <data>

这里的<random name>是特洛伊当前运行的文件名；

<data> 是通过后门收到的数据。

这些键值还生成特洛伊每次更新的时间。<random name>是更新的变体名称。Fasbeaf不使用这些键值，但是会将这些值报告给后门连接。

清除

KILL安全胄甲最新版本可检测/清除此病毒。