捕获时间

　　2008-10-21

　　病毒摘要

　　该样本是使用“Delphi”编写的“后门程序”，由微点主动防御软件自动捕获，程序未加壳，采用加区段改变入口点的方式再次用rar自解压方式压缩经修改试图躲避特征码扫描,样本长度为706,560 字节，图标为，使用 exe扩展名，自身描述为“Windows.Update.Microsoft”，通过与“正版微软黑屏补丁”捆绑进行传播，借助“利用近期用户试图破解微软正版验证机制的心里”以欺骗用户的方式将灰鸽子后门安装到用户计算机上，被种植此后门的计算机所有隐私将会暴露给黑客。

　　感染对象

　　Windows 2000/Windows XP/Windows 2003

　　传播途径

　　网页木马、文件捆绑

　　防范措施

　　已安装使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您发现“未知间谍软件”，请直接选择删除处理（如图1）；

　　图1主动防御自动捕获未知病毒（未升级）

　　如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现"Backdoor.Win32.Huigezi.aemr”，请直接选择删除（如图2）。

　　图2　 升级后截获已知病毒

　　对于未使用微点主动防御软件的用户，微点反病毒专家建议：

　　1、不要在不明站点下载非官方版本的软件进行安装，避免病毒通过捆绑的方式进入您的系统。

　　2、尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。

　　3、开启windows自动更新，及时打好漏洞补丁。

　　病毒分析

　　该样本程序被执行后，首先释放解压后的灰鸽子文件“WINDOW~1.EXE”到%tmp%IXP000.TMP目录下执行。

　　“WINDOW~1.EXE”件被执行后创建互斥体“hacker.com.cn_MUTEx”防止计算机中多个实例运行，判断自身执行映像路径，如不是%SystemRoot%则将自身拷贝为“Windows.Update.Microsoft.exe”到%SystemRoot%目录下，设置文件属性为“系统”、“隐藏”、“只读”后，检测自身服务是否存在，如不存在则休眠1000ms后创建后门服务并启动该服务，服务描述如下：

服务相关描述
服务名称 = Windows.Update.Microsoft
显示名称 = Windows.Update.Microsoft
启动类型 = SERVICE_AUTO_START（自动方式）
服务映像 = %SystemRoot%Windows.Update.Microsoft.exe
注册表相关项
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWindows.Update.Microsoft

　　后门服务启动后等待指令进行远程控制，对种植此后门计算机完成文件管理、注册表管理、远程关机、远程桌面、开启摄像头等黑客动作。