- 在线时间
- 0 小时
- 最后登录
- 2007-9-23
- 注册时间
- 2004-9-10
- 听众数
- 3
- 收听数
- 0
- 能力
- 0 分
- 体力
- 9975 点
- 威望
- 7 点
- 阅读权限
- 150
- 积分
- 4048
- 相册
- 0
- 日志
- 0
- 记录
- 0
- 帖子
- 1893
- 主题
- 823
- 精华
- 2
- 分享
- 0
- 好友
- 0
我的地盘我做主
该用户从未签到
 |
|
近日,CNCERT/CC注意到第一个利用Windows移动操作系统的木马出现,国际上称之为Backdoor.Brador.A。该木马运行于Windows Mobile 2003上,并只会感染采用ARM处理器的设备。Windows Mobile 2003也被叫做Pocket PC 2003或Windows CE 4.2。这个木马会在系统中开启后门,将被感染的掌上电脑或智能手机的IP地址发送给攻击者,并打开TCP的2989端口。
3 t& Y( [$ s8 Q4 m) c : q! D& {! T' G8 O% H+ H
分析:
1 W# w3 ^' S t) L9 P9 h! n2 f) Z! }% X" |$ d% Q* p6 o
当Backdoor.Brador.A木马运行时,它执行以下的操作:; h% z( R K: z, @; o9 W
1. 复制自身到Windows/StartUp/Svchost.exe (5632 bytes),当系统启动时木马也就启动了。3 }" o# Y/ x2 E6 r0 K
2. 不断地试图用电子邮件发送被感染设备的IP地址给攻击者,直到成功为止。
! x8 B' _: ]. V' g8 L; r" e2 q 3. 将TCP的2989端口打开并等待攻击者的指令。
5 H- X! n; v, |, A6 \8 d 4. 允许攻击者远程执行以下命令:! {0 }( n$ D/ V7 E
* 列出目录内容;
@6 c$ H) @3 k$ f5 U q4 c* f * 上传一个文件;! o3 I0 D/ [6 C4 q* P3 K
* 显示消息框;7 H- D6 g. r: I3 `3 y& l$ q
* 下载一个文件;: H4 J+ r! Z3 c" Q
* 执行指定指令。1 }# L( K) R4 M( Q# O; P% X
. e- A2 P1 v) ^. B, F" ?受影响的平台:
/ p9 I5 J6 P# G/ U, S+ B8 ^! B! b* _6 @- F
Windows CE
& y( ^7 E' ^% g2 h0 e3 d8 e8 P. M4 A$ L- Q4 M/ P6 _- V
解决方案:7 ]4 Y: R0 T* U! r
" O2 k9 Y9 i" z/ j5 j 赛门铁克已经为此发布了解决方案:
+ y* U9 A4 M0 J! G 1. 更新病毒库;. B4 o& N6 P2 u* f
2. 对系统进行一次完整的扫描,将所有被Backdoor.Brador.A木马感染的文件删除。# F" B( R5 T7 a6 f' m4 g( s6 O3 F
3 u9 x' g3 U( }; V, l! ^' {
参考信息:
3 A% y# F+ c$ R& G5 y" R3 Q2 C
" v( w/ m/ Y0 P% Ghttp://securityresponse.symantec.com/avcenter/venc/data/backdoor.brador.a.html |
zan
|
IP卡
狗仔卡
发表于 2004-10-3 20:17
转播
淘帖
分享
收藏
支持
反对
微信
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡
