7月15日病毒预报-- 微型后门Backdoor.Win32.Small.axxBackdoor.Win32.Small.axx
捕获时间
2008-07-14
病毒摘要
该样本是使用Delphi编写的后门程序，由x主动防御软件自动捕获，采用加壳方式试图躲避特征码扫描,加壳后长度为24,520字节，图标为

，病毒扩展名为exe，主要通过网页木马、文件捆绑的方式传播，病毒主要作为被入侵系统的后门使用。
感染对象
Windows 2000/Windows XP/Windows 2003
传播途径
网页木马、文件捆绑
安全提示
　　已安装使用x主动防御软件的用户，无须任何设置，x主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，x主动防御都能够有效清除该病毒。如果您没有将x主动防御软件升级到最新版，x主动防御软件在发现该病毒后将报警提示您发现“未知木马”，请直接选择删除处理（如图1）；

　 如果您已经将x主动防御软件升级到最新版本，x将报警提示您发现"Backdoor.Win32.Small.axx”，请直接选择删除（如图2）。

    对于未使用x主动防御软件的用户，x反病毒专家建议：
1、不要在不明站点下载非官方版本的软件进行安装，避免病毒通过捆绑的方式进入您的系统。
2、尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。
3、开启windows自动更新，及时打好漏洞补丁。

病毒分析
该样本程序被执行后，拷贝自身到%SystemRoot%\system32目录下，重命名为darkshell.exe，修改文件属性为隐藏、系统；使用API函数CreateProcessA运行该病毒拷贝；以命令行的方式将病毒原文件删除；
darkshell.exe运行后，使用API函数StartServiceCtrlDispatcherA启动服务代码，如果启动失败则调用SCM写注册表，将病毒拷贝darkshell.exe注册成名为darkshell的服务，使用相关API函数启动被注册的服务；
  Quote:
项：HKLM\SYSTEM\CurrentControlSet\Services\darkshell\
键值：DisplayName
指向数据：darkshell
项：HKLM\SYSTEM\CurrentControlSet\Services\darkshell\
键值：ImagePath
指向文件：%SystemRoot%\system32\darkshell.exe
项：HKLM\SYSTEM\CurrentControlSet\Services\darkshell\
键值：Start
指向数据：02
服务主程序运行后，通过相关API函数从网络空间上cs2xy.3322.org读取后门种植者所设置的IP地址和端口号进行反向连接，连接成功后使用API函数开启多个线程与黑客进行通讯，接受黑客的控制，使被病毒感染主机伦为傀儡主机；

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022; CIBA)

........