您的位置:网站首页 > 新闻资讯 > 正文

“PittyTiger”手机木马危害大 金山手机安全卫士可成功拦截

作者:admin 来源: 日期:2012-8-2 15:01:15


近日,金山手机安全卫士捕获了一种名称为“PittyTiger”的后门程序。一旦感染该木马,黑客就可以从服务端远程控制用户的计算机,偷取用户资料、任意安装程序、通过键盘记录获取用户各种密码等。

该木马由母体和后门两部分组成,母体负责对抗杀软和释放后门部分; 而后门部分负责连接服务端,接受服务端指令。母体执行后会系统中查找杀毒软件相关进程,如AVP.exe.如果发现此类进程,会将系统的beep.sys文件替换成自己的文件,重新启动该服务,检测和恢复系统的SSDT表。

在system32目录中释放后门客户端程序packet64.dll,通过在explorer.exe进程中创建远程线程,将此文件注入到explorer.exe进程中。

至此,后门客户端已经成功上线运行。客户端上线后首先会收集Computer Name和C盘的Volume Serial Number,通过以下格式提交到服务端,Buffer中为提交的数据。

客户端接受的命令主要有这几个:
1.Get命令:获取客户端的指定文件文件,如get c:\a.exe。
2.Put命令:命令客户端从网络下载文件,如 put c:\a.exe,下载文件保存为c:\a.exe 。
3.Strpd2和prtsc命令:分别获取16bit和8bit的屏幕截图。
4.Version命令:获取客户端版本。
5.Ocmd命令:启动客户端cmd,获取shell。
6.Setserv和freshserv命令:重新设定服务端地址。

目前各类木马多种多样,金山手机安全卫士提醒广大用户注意防范,及时更新您杀毒软件的病毒库。金山手机安全卫士已经能够有效地检测该木马及其衍生物,有效地保护您的系统安全。


 

本文网址: