PittyTiger木馬被捕 AVG提醒注意防范

    泡泡網安全相關頻道7月25日 近日，AVG捕獲了一種名稱為“PittyTiger”的后門程序。一旦感染該木馬，黑客就可以從服務端遠程控制用戶的計算機，為所欲為，偷取用戶資料、任意安裝程序、通過鍵盤記錄獲取用戶各種密碼等等。可以說，電腦雖然是你的，但是使用的人不是你一個。

    如下圖：

    此木馬由母體和后門兩部分組成，母體負責對抗殺軟和釋放后門部分; 而后門部分負責連接服務端，接受服務端指令。

    母體執行后會系統中查找殺毒軟件相關進程，如AVP.exe.如果發現此類進程，會將系統的beep.sys文件替換成自己的文件，重新啟動該服務，檢測和恢復系統的SSDT表。

    用釋放的文件替換系統文件：

    在sys文件中，恢復SSDT表中的地址項：

    在system32目錄中釋放后門客戶端程序packet64.dll，通過在explorer.exe進程中創建遠程線程，將此文件注入到explorer.exe進程中。

    至此，后門客戶端已經成功上線運行。客戶端上線后首先會收集Computer Name和C盤的Volume Serial Number，通過以下格式提交到服務端，Buffer中為提交的數據。

    客戶端接受的命令主要有這幾個：
    1.Get命令：獲取客戶端的指定文件文件，如get c:\\a.exe。
    2.Put命令：命令客戶端從網絡下載文件，如 put c:\\a.exe,下載文件保存為c:\\a.exe 。
    3.Strpd2和prtsc命令：分別獲取16bit和8bit的屏幕截圖。
    4.Version命令：獲取客戶端版本。
    5.Ocmd命令：啟動客戶端cmd，獲取shell。
    6.Setserv和freshserv命令：重新設定服務端地址。

    目前各類木馬多種多樣，AVG提醒廣大用戶注意防范，及時更新您殺毒軟件的病毒庫。AVG已經能夠有效地檢測該木馬及其衍生物，有效地保護您的系統安全，已安裝AVG的用戶可以放心使用您的愛機。■