首页 资讯中心 软件 安全 阅读正文 :
推荐抖音学暴漫“作死”?再现侮辱烈士现象

AVG提醒您注意防范“后门”程序

来源: 驱动中国 编辑:itcom 2012-06-27 09:38 评论:

近期,AVG病毒实验室捕获了一种“后门”程序,该木马一旦进入到系统,就会长期驻留,获取用户信息发送到服务端。并且,该木马还会等待服务端指令,执行下载病毒、上传敏感数据等功能。

该“后门”程序利用目前较流行的“借尸”方法(以CREATE_SUSPENDED标志调用CreateProcess创建进程,通过调用ZwUnmapViewOfSection、VirtualAllocEx和ZwWriteVirtualMemory修改目标进程数据,然后调用ZwGetContextThread和ZwSetContextThread修改目标进程线程执行位置,最后调用ZwResumeThread恢复目标进程执行)去创建自己的“僵尸”进程,发挥“后门”的主要功能。

“僵尸”进程启动后,会获取所需API的地址。

并且检查自己的路径是否是windows\\ggdrive32.exe,

如果不是在windows目录下,它会检查系统防火墙,并将ggdrive32.exe添加到系统防火墙授权程序列表中,检查杀软和系统维护工具进程,一旦发现,就会将其结束掉。

如果在windows目录下,它会创建一个线程,然后等待该线程返回。

该线程包含此木马的所有后门功能,包括:接受控制端命令、木马更新,扫描,下载上传数据,收集用户信息等功能,下图列出了该后门的部分命令和功能。

此类木马一旦入侵到您的系统,控制者会在您的系统中来去自如,危害相当严重。

目前,AVG已检测到此类后门程序为BackDoor.Generic15.BFOX,鉴于此木马的危害性严重,AVG提醒广大用户注意及时更新您的安全软件。并且AVG建议没有安装安全软件的用户可以在AVG中国官网上下载AVG中文免费版,对您的电脑以及个人信息进行保护。

责任编辑:itcom
    焦点资讯