野兽病毒技术分析报告

病毒类型：特洛伊木马

　　病毒大小：可变 （30k~50k左右）

　　传播方式：网络

　　2004年8月5日，反病毒中心截获“野兽”病毒最新变种Backdoor/Beast.207。该病毒几乎集成了前段时间闹得很凶的网银大盗和蜜蜂大盗的所有功能，如盗取用户的所有上网信息，远程控制用户电脑，任意上传和下载文件，偷窥用户隐私等，而且更应该引起用户警惕的是，该病毒感染方式和启动方式不是固定的，它既可以按通常病毒所采取的通过修改注册表添加启动项来加载自己，还可以把自己注入到”explorer.exe”, ”IE 浏览器 “,”notepad.exe” 等系统进程中，再加上病毒大小，图标，名称等信息都是可变的，给用户的察觉带来了很大困难。

　　具体技术特征如下：

　　1. 在感染计算机上释放下列文件：

　　%WinDir%\dxdgns.dll, 31378字节

　　%WinDir%\msagent\mslsqn.com, 49924字节

　　%SystemDir%\config\sam.log, 8192字节

　　%SystemDir%\msfrhc.com, 49924字节

　　%SystemDir%\mslg.blf, 156字节

　　2．在注册表中添加下列启动项:

　　[HKEY_CURRENT_USER\SOFTWARE\Microsoft
\Windows\CurrentVersion\Policies\Explorer\Run] "COM Service" = %WinDir%\msagent\mslsqn.com

　　这样，在windows启动时，病毒就可以自动执行。

　　病毒具体危害如下：

　　1．密码窃取

　　该病毒可以截取用户的所有键盘输入，并可以把用户在电脑上的所进行的操作进行全盘记录生成完整的log文件，给用户的隐私带来了很大的危险。

　　2．远程控制

　　该病毒有远程监控的功能，类似于国产冰河、灰鸽子等黑客控制软件。该功能可以使黑客监控感染病毒的计算机，在不经任何授权的情况下，非法观看远程桌面、远控鼠标、键盘，以及所有资源/文件,并可以控制上传下载。

　　3．远程关闭防火墙

　　该病毒自动检测感染计算机是否安装防火墙（病毒防火墙、邮件防火墙、防黑墙）一旦发现就强行结束，使其无法检测到黑客的链接操控。

　　4．后台隐藏

　　该病毒可以以线程方式注入到 ” explorer.exe ”，”IE 浏览器”，”notepad.exe” 等系统进程中，具有更强的隐蔽行，也给病毒的查杀带来了一定困难。

　　5．反弹端口

　　该病毒可以按反弹端口方式进行反向连接，这样就病毒可以穿透一般防火墙，渗透到内部网络，这就给许多公司的内部信息带来了极大的安全隐患。