- 在线时间
- 0 小时
- 最后登录
- 2007-9-23
- 注册时间
- 2004-9-10
- 听众数
- 3
- 收听数
- 0
- 能力
- 0 分
- 体力
- 9975 点
- 威望
- 7 点
- 阅读权限
- 150
- 积分
- 4048
- 相册
- 0
- 日志
- 0
- 记录
- 0
- 帖子
- 1893
- 主题
- 823
- 精华
- 2
- 分享
- 0
- 好友
- 0
我的地盘我做主
该用户从未签到
 |
|
近日,CNCERT/CC注意到第一个利用Windows移动操作系统的木马出现,国际上称之为Backdoor.Brador.A。该木马运行于Windows Mobile 2003上,并只会感染采用ARM处理器的设备。Windows Mobile 2003也被叫做Pocket PC 2003或Windows CE 4.2。这个木马会在系统中开启后门,将被感染的掌上电脑或智能手机的IP地址发送给攻击者,并打开TCP的2989端口。5 U# a$ A/ ^* \$ m* H% W- o
7 t6 r4 d/ ~+ K! s. y; ^& w7 l分析:
0 v& l$ e3 E- @1 }$ o- X: t3 i) L' ^2 P& g9 f& X
当Backdoor.Brador.A木马运行时,它执行以下的操作:9 `& J M8 a8 E- T5 E( w
1. 复制自身到Windows/StartUp/Svchost.exe (5632 bytes),当系统启动时木马也就启动了。
1 V' x# T4 L% R! I 2. 不断地试图用电子邮件发送被感染设备的IP地址给攻击者,直到成功为止。! M$ l. h) L5 {' l8 C
3. 将TCP的2989端口打开并等待攻击者的指令。 q$ N; {; A' U# M& l( ^3 D
4. 允许攻击者远程执行以下命令:3 D9 T9 R# i+ Z% |
* 列出目录内容;) n! \- Q* D2 d- e
* 上传一个文件;+ k5 o0 [; `% r& j
* 显示消息框;6 }+ t) ~! k' W- O% d3 V
* 下载一个文件;
X! f2 D2 h0 C0 y3 _/ a6 d * 执行指定指令。
9 i" ]- p5 i! _* M & |( d# p( I. W' N
受影响的平台:
. I, V, F7 l2 N) g! i6 A- n0 S5 K9 w+ W% x5 y
Windows CE
; j: ~; |# b% w/ p6 `1 s4 S/ \7 G2 P, \6 ]* K; t
解决方案:
. @) H- h4 `0 {4 o* G$ F1 |1 q. I. G3 w
赛门铁克已经为此发布了解决方案:
0 X, K( G/ V c& @ 1. 更新病毒库;( P- S% A/ n8 @7 a1 A7 y& l
2. 对系统进行一次完整的扫描,将所有被Backdoor.Brador.A木马感染的文件删除。
. |$ ?7 |0 Y9 U3 a
' P7 h. t" ]' q# i/ @参考信息:
/ o0 I A8 Y5 F6 b$ y9 I- I, k5 T7 K1 i2 \, k
http://securityresponse.symantec.com/avcenter/venc/data/backdoor.brador.a.html |
zan
|
IP卡
狗仔卡
发表于 2004-10-3 20:17
转播
淘帖
分享
收藏
支持
反对
微信
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡
