特洛伊病毒Win32.Fasbeaf.B
Win32/Fasbeaf.B是一族后门特洛伊病毒,允许未经授权的访问被感染机器。它们还有代理的功能。 运行时,Fasbeaf.B 使用一个任意文件名和一个.exe扩展名复制到%System%目录。文件名可能包含一串3到13阿拉伯数字字符,例如"sw8o6ot.exe" 或 "wxjmtaxzj.exe"。特洛伊运行这个新的副本并删除原始文件。
基本介绍
其它名称:Win32.Fasbeaf.B, Win32/Fasbeaf.B!Trojan, Trojan-Proxy.Win32 (Kaspersky)
病毒属性:特洛伊木马 危害性:中等危害 流行程度:
具体介绍
病毒特性
注:''%System%''是一个可变的路径。病毒通过查询操作系统来决定System文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\\Winnt\\System32; 95,98 和 ME 的是C:\\Windows\\System; XP 的是C:\\Windows\\System32。
Fasbeaf添加以下注册表键值,以确保每次系统启动时都能运行这个副本:
HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\<random name > = "%System%\\<random name >.exe"
HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\<random name> = "%System%\\<random name>.exe"
运行期间,如果这些键值被删除,特洛伊会反复生成这些键值。
Fasbeaf还会在被感染机器的%Windows%目录使用相同的名称生成一个互斥体,但是以下划线(_)替代反斜线符号(\\)。例如,一台机器默认安装Windows XP,互斥体名称可能是"C:_WINDOWS"。
注:''%Windows%''是一个可变的路径。病毒通过查询操作系统来决定Windows文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\\Winnt; 95,98 和 ME 的是C:\\Windows; XP 的是C:\\Windows。
危害
代理功能
Fasbeaf.B为了能够连接会监听任意端口。很多变体有一个信任的站点列表,并检查引入的连接是否来自信任的IP地址。确定一个连接的时候,特洛伊被命令生成一个代理服务器,或者关闭连接和当前端口。
Fasbeaf.B被命令连接一个特定的IP/端口,并通过被感染机器传递Internet通信量。或者接受以下命令,Fasbeaf设置另一个监听socket,发送端口和本地机器IP给它的控制者。随后,监听一个新的socket,一旦确定连接,在控制者和开始连接的站点之间传递通信量。
后门功能
Fasbeaf.B包含一个站点和连接的相应的端口的列表。例如:
216.195.34.234:12765
81.9.3.82:7777
一旦连接上,特洛伊就被命令执行各种操作,以及它的代理功能,包括:
下载恶意程序的更新;
停止运行。
一些命令改变Fasbeaf的行为。例如,特洛伊被命令不检查连接到它的代理端口的站点。
特洛伊还会发送不同的信息到远程站点,包括:
被感染机器的Windows 版本;
特洛伊监听的代理端口;
机器名;
当前用户名;
关于特洛伊的当前状况和行为的信息;
本地机器的IP地址。
其它信息
根据后门命令,特洛伊可能生成以下注册表:
HKLM\\Software\\Microsoft\\Windows\\ShellNoRoam\\MUICache\\"%System%\\<random name>.exe" = <data>
HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\SharedDLLs\\"%System%\\<random name>.exe" = <data>
这里的<random name>是特洛伊当前运行的文件名;
<data> 是通过后门收到的数据。
这些键值还生成特洛伊每次更新的时间。<random name>是更新的变体名称。Fasbeaf不使用这些键值,但是会将这些值报告给后门连接。
清除
KILL安全胄甲最新版本可检测/清除此病毒。