backdoor.zegost.H
Backdoor/ZEGOST.5382
风险级别:高
传播能力:低
危害程度:中
相关漏洞: 无
发现日期: 2010-05-05
端口: 无
长度: 192,512 字节
语言: 英语
压缩壳: 无
别名: rojan-PSW.Win32.Bjlog.fwl(Kaspersky),BKDR_ZEGOST.SMF(Trendmicro),Backdoor.Trojan(Symantec),Mal/Generic-L(Sophos)
受影响系统: Windows NT, Windows Vista, Windows XP, Windows 2003, Windows 2000, Windows 95/98/ME
该后门是通过其它有害软件释放,也可能被其它恶意软件或用户无意下载。
一旦运行,释放一些相关文件到被感染系统,创建服务加载文件%ALLUSERSPROFILE%\\DRM\\{random-name}.dlc
{random-name}.dlc文件接受远程命令完成有害操作:发送系统信息,屏幕监视,文件管理,视频监控,语音监控,下载文件等。
释放%ALLUSERSPROFILE%\\DRM\\{random-name}.dlc文件,并在文件末尾添加一些垃圾数据为了有不同的md5值避免杀毒软件的检测
%ALLUSERSPROFILE%\\DRM\\{random-name}.dlc ----detect as Backdoor/Gh0st.0F34 by Anchiva
创建服务加载释放的文件并使其每次伴随系统启动
HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\ias
%SystemRoot%\\System32\\svchost.exe -k netsvcs
HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\ias\\parameters
ServiceDll ="%ALLUSERSPROFILE%\\DRM\\{random-name}.dlc"
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Comias70
%SystemRoot%\\System32\\svchost.exe -k netsvcs
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Comias70\\parameters
ServiceDll ="%ALLUSERSPROFILE%\\DRM\\{random-name}.dlc"
{random-name}.dlc文件释放%System32%\\svchost.exe.txt文件记录异常信息
{random-name}.dlc文件接受下列主机命令完成有害操作:发送系统信息,屏幕监视,文件管理,视频监控,语音监控,下载文件等。