后门程序 Backdoor.Win32.Ceckno.az

病毒名称

Backdoor.Win32.Ceckno.az

捕获时间

2007-12-8

病毒症状      
　　
      该病毒是一个使用Delphi语言编写的后门程序，长度462,848字节，图标为WINDOWS默认图标，病毒扩展名为exe，主要通过传播途径主要为网页挂马，文件捆绑，黑客攻击。

病毒分析   

      该样本程序被激活后，将在%systemroot%\system32下生成sysn.dll文件，在C:\Documents and Settings\All Users\Favorites下生成netservice.exe病毒主体文件，以及在Favorites下的plungin目录中生成001.dll文件；接着修改HKLM下的winlogon相关注册表项，使得病毒程序能在系统启动时运行；之后病毒将利用SCM（服务管理器）在注册表中新建一个利用svchost启动名为netrt，描述为“远程管理软件描述信息”，显示名为“Remote network Service”的服务；接着病毒开启一个进程运行netservice.exe程序并利用命令行将自己删除；
netservice.exe运行后将开启netrt服务；服务启动后，将与外界黑客进行连接，接受黑客控制，使得黑客可以获取用户计算机上的所有资料，复制或删除任何的文件，或利用用户的计算机资源做其它的破坏性活动；

感染对象

Windows 95/ Windows 98/ Windows ME/Windows 2000/Windows XP/ Windows 2003/Windows vista

传播途径

网页挂马，文件捆绑，黑客攻击

技术细节


病毒添加的注册表项：
项：HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
键值：userinit
指向文件：C:\WINDOWS\system32\userinit.exe,
"C:\Documents and Settings\All Users\Favorites\netservice.exe"un userinit.exe{0x00}

项：HKLM\SYSTEM\CurrentControlSet\Services\netrt
键值：ImagePath
指向文件：C:\WINDOWS\system32\svchost.exe -k network

项：HKLM\SYSTEM\CurrentControlSet\Services\netrt\Parameters
键值：ServiceDll
指向文件：%systemroot%\system32\sysn.dll