安全部门监测发现恶意后门程序新变种

国家网络安全部门通过对互联网的监测发现,近期出现一种恶意后门程序变种Backdoor_Parite.B. 该变种是一个远程控制程序,它会释放一个恶意动态链接库DLL文件用于感染文件,随后连接远程Web地址进而执行更多的恶意操作。 变种运行后,首先会获得受感染操作系统的临时文件夹路径,并在临时文件夹下释放恶意程序并加载执行,该程序是动态链接库DLL组件。随后,该变种会执行如下操作: 1.创建互斥体,防止二次运行; 2.设置指定类型的钩子,截获系统调用函数信息; 3.创建进程快照,查找操作系统桌面上的浏览器IE进程; 4.该变种自身会注入到浏览器IE进程文件中。 5.遍历操作系统所在的磁盘分区,查找扩展名为“.exe”和“.scr”的文件,在其中写入病毒数据,实现对“.exe”和“.scr”的文件的感染。 另外,该变种还会创建相关套接字,迫使受感染操作系统主动访问指定的恶意Web网址。最终变种可以获取受感染操作系统的本机信息(诸如:计算机名、操作系统版本、处理器类型、内存大小等),随即发送到恶意攻击者指定的Web服务器上,致使受感染操作系统接受远程恶意代码指令。 针对已经感染该恶意后门程序变种的计算机用户,专家建议立即升级系统中的防病毒软件,进行全面杀毒。对未感染的用户,建议打开系统中防病毒软件的“系统监控”功能,从注册表、系统进程、内存、网络等多方面对各种操作进行主动防御。

原文发布于微信公众号 - 安恒信息(DBAPP2013)

原文发表时间:2014-02-21

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏GuZhenYin

ASP.NET Core2.1 你不得不了解的GDPR(Cookie处理)

...然后就碰到问题了... 我发现..cookie竟然存不进去了..(怨念+100)

20300
来自专栏blackpiglet

查杀 libudev.so 和 XMR 挖矿程序记录

这两天使用的公网服务器被入侵了,而且感染了不止一种病毒:一种是 libudev.so,是 DDoS 的客户端,现象就是不停的向外网发包,也就是超目标发起 DDo...

20750
来自专栏FreeBuf

绿盟科技威胁分析报告:那些年,那些 Apache Struts2 的漏洞

每次 Apache Struts2 漏洞爆发都在互联网上掀起腥风血雨,我们整理了近年来 Apache Struts2 高风险漏洞的信息供大家参考。针对此次 Ap...

307100
来自专栏黑白安全

针对某mysql批量提权工具的后门分析

Windows小马下载地址三个......VBS执行脚本1个   linux小马下载地址连个.....

10020
来自专栏编程

NodeMCU模块写入MicroPython固件

首先到micropython官方网站下载esp8266的固件, 下载地址为: https://micropython.org/download/#esp8266...

54370
来自专栏信安之路

windows 应急流程及实战演练

当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵...

61740
来自专栏魏豪的专栏

kickstart + PXE 实现无人职守安装 RHEL6 和 RHEL7 系统

该文档详细阐述了 kickstart + PXE 实现无人值守批量安装不同操作系统。

63900
来自专栏blackpiglet

Discourse 搭建

Discourse 是由 Stack Overflow 创始人之一的 Jeff Atwood 主导的开源论坛项目,使用时能感受到和 Stack Overflow...

34120
来自专栏游戏杂谈

手工编译Flex SDK 3.4的多国语言包

默认的Flex sdk 3.4只提供了日文(ja_JP)、英文语言包(en_US),如图所示:

11420
来自专栏丿King科技-老李博客

服务器SSH暴力破解的解读与防御

刚才一看 IP地址为43.254.168.235 这位兄弟在用暴力破解跑字典攻击服务器 所以想起来,发一篇这样的文章,也是提醒下广大站长。

31230

扫码关注云+社区

领取腾讯云代金券