病毒描述 ：

百銳信息安全實(shí)驗(yàn)室近日捕獲一個(gè)新型后門程序backdoor. w32.alg.sy，該病毒使用非常特殊的方式注入系統(tǒng)的alg.exe 進(jìn)程，繞過了絕大部分主動(dòng)防御程序及防火墻。在alg.exe進(jìn)程開啟多個(gè)線程，接收黑客指令，傳送用戶數(shù)據(jù)。

本地行為：

1 病毒運(yùn)行后是否自身副本到"C:\WINDOWS\System32\WinSys32目錄下。

2 啟動(dòng)副本SysDat.exe程序，該程序完成一些列注入動(dòng)作。

3 建立一個(gè)服務(wù)程序啟動(dòng)項(xiàng)，偽造成Microsoft Windows Media Player，同時(shí)覆蓋相應(yīng)路徑下的unregmp2.exe程序。

4  sysdat.exe 創(chuàng)建系統(tǒng)的文件lag.exe，并掛起該進(jìn)程，同時(shí)修改該進(jìn)程內(nèi)部數(shù)據(jù)，注入病毒代碼到里面，這樣就使用系統(tǒng)進(jìn)程lag.exe的殼子完成病毒的

病毒映射的新模塊基址0x10000000

  #p#

而真正的alg模塊在0x01000000

Alg進(jìn)程就變成了病毒程序的寄宿的空殼子。

5 每次開機(jī)重啟服務(wù)路徑下的unregmp2.exe都會(huì)啟動(dòng)sysdat.exe進(jìn)程，同時(shí)在啟動(dòng)傀儡進(jìn)程alg.exe 。

網(wǎng)絡(luò)行為：

1 在傀儡進(jìn)程中，會(huì)連接60.190.114.209（http://a3552152.oicp.net/）報(bào)告當(dāng)前狀態(tài)。

2 每個(gè)一段時(shí)間就按照對(duì)應(yīng)的被控命令上傳用戶數(shù)據(jù)。

3 該ip指向浙江溫州地區(qū)，而該進(jìn)程文件偽裝的一個(gè)信息同樣是一個(gè)家浙江地區(qū)的IT公司。

4  每次將本地?cái)?shù)據(jù)，固定傳送2000個(gè)加密的數(shù)據(jù)包。

百銳啟發(fā)式病毒檢測引擎基于新型檢測技術(shù)，不需升級(jí)即可查殺該病毒。百銳實(shí)驗(yàn)室提醒廣大網(wǎng)民，未使用百銳引擎的用戶請(qǐng)及時(shí)升級(jí)病毒庫，開啟主動(dòng)防御功能來攔截該病毒。

【編輯推薦】

1. 新希望：中國信息安全產(chǎn)業(yè)重裝上陣
2. 中小企業(yè)信息安全規(guī)劃的10個(gè)必備步驟
3. 啟明星辰和網(wǎng)御星云重組揭開信息安全產(chǎn)業(yè)整合大幕