Backdoor.Win32.CCThree

检出名

Backdoor.Win32.CCThree

别名

文件类型

可执行PE

简介

一种后门。它被攻击者用于操控用户计算机。该后门有多个组件,包括键盘记录器,后门组件和rootkit。它运行时,释放文件到%System32%下并删除自身,释放的病毒文件的创建时间为系统装机时间,属性为隐藏并修改注册表,添加启动项,以达到随机启动的目的。它的后门组件通常注入到”svchost.exe”进程中,并且能够更新自身并接受和执行来自远程攻击者的命令。该后门可窃取用户账号与密码,记录键盘鼠标操作,自动重启,下载文件,强行关机,监控摄像头,窃取音频等。

主要影响

• 数据窃取
• 财产损失
• 系统操控
• 降低系统安全性

文件目录行为

1)执行时,该后门通常会在系统文件夹中释放3个组件,文件名随机,例如:

Bddgdgih.d1l-后门组件

Bddgdgih.dll-键盘记录器组件

Bddgdgih.sys-rootkit系统驱动组件。此组件用于隐藏进程,文件,注册表项和网络流量。

2)记录用户按键并将其收集的数据保存到位于Windows系统文件夹中的日志文件中。

注册表行为

1)添加服务,将该后门以服务的形式运行:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost

“krnlsrvc”=“1sa”

HKLM\System\CurrentControlSet\Services\1sa

“Description”=“1aaa”

HKLM\System\CurrentControlSet\Services\1sa\Parameters

“ServiceDll”=“<系统文件夹>\kdmeevc.dll”(后门组件,随机文件名)

2)添加启动项,以达到开机启动的目的:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

“PcClient”= {木马路径}

网络行为

此后门使用http协议随机端口连接预先定义的网址并将被感染机器的用户名,CPU型号,计算机名等信息发送到连接的主机。以下为它连接的一些网址:

saap[.]meibu[.]com

lgpk[.]2288[.]org

来源： https://kb.qianxin.com/detail/8f50772139e