|
近日,AVG捕获了一种名称为“PittyTiger”的后门程序。一旦感染该木马,黑客就可以从服务端远程控制用户的计算机,为所欲为,偷取用户资料、任意安装程序、通过键盘记录获取用户各种密码等等。可以说,电脑虽然是你的,但是使用的人不是你一个。 如下图:
此木马由母体和后门两部分组成,母体负责对抗杀软和释放后门部分; 而后门部分负责连接服务端,接受服务端指令。 母体执行后会在系统中查找杀毒软件相关进程,如AVP.exe.如果发现此类进程,会将系统的beep.sys文件替换成自己的文件,重新启动该服务,检测和恢复系统的SSDT表。 用释放的文件替换系统文件:
在sys文件中,恢复SSDT表中的地址项:
在system32目录中释放后门客户端程序packet64.dll,通过在explorer.exe进程中创建远程线程,将此文件注入到explorer.exe进程中。
至此,后门客户端已经成功上线运行。 客户端上线后首先会收集Computer Name和C盘的Volume Serial Number,通过以下格式提交到服务端,Buffer中为提交的数据。
返回客户端程序信息:
客户端接受的命令主要有这几个: 1. Get命令:获取客户端的指定文件文件,如get c:\a.exe。 2. Put命令:命令客户端从网络下载文件,如 put c:\a.exe,下载文件保存为c:\a.exe 。 3. Strpd2和prtsc命令:分别获取16bit和8bit的屏幕截图。 4. Version命令:获取客户端版本。 5. Ocmd命令:启动客户端cmd,获取shell。 6. Setserv和freshserv命令:重新设定服务端地址。
目前各类木马多种多样,AVG提醒广大用户注意防范,及时更新您杀毒软件的病毒库。AVG已经能够有效地检测该木马及其衍生物,有效地保护您的系统安全,已安装AVG的用户可以放心使用您的爱机。 |
|
|
来自: 昵称10573747 > 《我的图书馆》
