- 在线时间
- 0 小时
- 最后登录
- 2007-9-23
- 注册时间
- 2004-9-10
- 听众数
- 3
- 收听数
- 0
- 能力
- 0 分
- 体力
- 9975 点
- 威望
- 7 点
- 阅读权限
- 150
- 积分
- 4048
- 相册
- 0
- 日志
- 0
- 记录
- 0
- 帖子
- 1893
- 主题
- 823
- 精华
- 2
- 分享
- 0
- 好友
- 0
我的地盘我做主
该用户从未签到
|
近日,CNCERT/CC注意到第一个利用Windows移动操作系统的木马出现,国际上称之为Backdoor.Brador.A。该木马运行于Windows Mobile 2003上,并只会感染采用ARM处理器的设备。Windows Mobile 2003也被叫做Pocket PC 2003或Windows CE 4.2。这个木马会在系统中开启后门,将被感染的掌上电脑或智能手机的IP地址发送给攻击者,并打开TCP的2989端口。 ]& |% O( B7 f% k
0 `+ m# [/ N: j分析:
+ T, @8 ~! S5 ^" ^% y& s9 l2 Q7 N2 u \2 w- O' _+ T
当Backdoor.Brador.A木马运行时,它执行以下的操作:
! F X: X2 J/ W, t+ u! h 1. 复制自身到Windows/StartUp/Svchost.exe (5632 bytes),当系统启动时木马也就启动了。- p' @+ E1 g7 [
2. 不断地试图用电子邮件发送被感染设备的IP地址给攻击者,直到成功为止。% U' G" D, k1 i
3. 将TCP的2989端口打开并等待攻击者的指令。
/ ^7 n* _2 o* H1 u 4. 允许攻击者远程执行以下命令:
: {* A, o( f1 c' A" H * 列出目录内容;) |1 v4 a8 H0 W) V% R3 e" p
* 上传一个文件;
' Y: o# G$ J; i6 I; Y+ C$ ~, r# ? * 显示消息框;6 A6 L& u k3 k' Q! Q% A
* 下载一个文件;
# }# y" \8 y# H, U * 执行指定指令。
1 R4 W- D, x6 d4 \8 ]# ?8 j ! }. a4 r1 I h* g
受影响的平台:( o6 I! k' w' s# r- `1 q k
# \, j( a5 ~6 K" ~- @3 j( ]
Windows CE+ x% A; X0 X( L& d, Q2 d* @8 l& I3 i
, K* l- L* n( Y( d; i解决方案:+ }* x+ |0 t5 S( n; H
2 T' |3 |! `; D/ `& i 赛门铁克已经为此发布了解决方案:
y, }. H5 Y) F: E) N# H 1. 更新病毒库;& A# t! m9 X- }& v2 Y( I
2. 对系统进行一次完整的扫描,将所有被Backdoor.Brador.A木马感染的文件删除。: x1 F# b7 ~3 D# z0 w
2 }( s6 c4 H' j( j! p3 o! S
参考信息:6 B2 W6 f9 e$ q5 q& G! z8 z7 e
6 m4 r- Z$ ~9 |; n: mhttp://securityresponse.symantec.com/avcenter/venc/data/backdoor.brador.a.html |
zan
|