- 在线时间
- 0 小时
- 最后登录
- 2007-9-23
- 注册时间
- 2004-9-10
- 听众数
- 3
- 收听数
- 0
- 能力
- 0 分
- 体力
- 9975 点
- 威望
- 7 点
- 阅读权限
- 150
- 积分
- 4048
- 相册
- 0
- 日志
- 0
- 记录
- 0
- 帖子
- 1893
- 主题
- 823
- 精华
- 2
- 分享
- 0
- 好友
- 0
我的地盘我做主
该用户从未签到
 |
|
近日,CNCERT/CC注意到第一个利用Windows移动操作系统的木马出现,国际上称之为Backdoor.Brador.A。该木马运行于Windows Mobile 2003上,并只会感染采用ARM处理器的设备。Windows Mobile 2003也被叫做Pocket PC 2003或Windows CE 4.2。这个木马会在系统中开启后门,将被感染的掌上电脑或智能手机的IP地址发送给攻击者,并打开TCP的2989端口。1 @3 F! k8 k# K3 n/ ]' C
5 `- ~, e, e6 i# m. R7 ~
分析:
' f! D; [3 C* G( T6 U9 O4 j
" u c7 |/ {. Q: x 当Backdoor.Brador.A木马运行时,它执行以下的操作:0 j" [+ t _, [9 w: V$ }" k1 H
1. 复制自身到Windows/StartUp/Svchost.exe (5632 bytes),当系统启动时木马也就启动了。( [1 P; X0 {7 s6 n
2. 不断地试图用电子邮件发送被感染设备的IP地址给攻击者,直到成功为止。
) s+ \5 e% I6 i8 X" l1 e 3. 将TCP的2989端口打开并等待攻击者的指令。
# @" g" h* |$ k3 B9 e 4. 允许攻击者远程执行以下命令:3 b' o! d. W8 U+ ~
* 列出目录内容;: R l1 E( g: g, r6 l+ s6 ~0 a
* 上传一个文件;
6 c% q& ^9 {7 n( i+ V3 w * 显示消息框;0 U0 I6 ~* h) a- [7 k: t
* 下载一个文件;8 S* Q& ^1 o) I9 P% k- b- s
* 执行指定指令。
- o- _4 _5 v+ d' t- ~
# n S0 }9 e+ P& G A6 q' C受影响的平台:
: L; L+ V$ p, j2 m$ u, j1 H; y
; x" W3 X4 A+ [7 _ V" V Windows CE
. T+ ~8 S6 V2 ]$ X) d. e) o1 r0 y% r( t% l) y+ }, x; l
解决方案:/ p. M( ?, \! C. S _# v: C7 A
6 O* D$ _; N( s" }: B6 ]
赛门铁克已经为此发布了解决方案:
3 |3 d2 Z4 _0 H- S 1. 更新病毒库;* r+ W( _) L6 r) X' ^- `3 R
2. 对系统进行一次完整的扫描,将所有被Backdoor.Brador.A木马感染的文件删除。
( t/ A0 ~6 z0 l: f
' E, t' _" _" z! D9 h8 j参考信息:- m# y, ]# U: Q$ k8 f9 n2 C- y4 v
9 h, m4 U' [) p; f' b( e
http://securityresponse.symantec.com/avcenter/venc/data/backdoor.brador.a.html |
zan
|
IP卡
狗仔卡
发表于 2004-10-3 20:17
转播
淘帖
分享
收藏
支持
反对
微信
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡
