PittyTiger木马被捕 AVG提醒注意防范

    泡泡网安全相关频道7月25日 近日，AVG捕获了一种名称为“PittyTiger”的后门程序。一旦感染该木马，黑客就可以从服务端远程控制用户的计算机，为所欲为，偷取用户资料、任意安装程序、通过键盘记录获取用户各种密码等等。可以说，电脑虽然是你的，但是使用的人不是你一个。

    如下图：

    此木马由母体和后门两部分组成，母体负责对抗杀软和释放后门部分; 而后门部分负责连接服务端，接受服务端指令。

    母体执行后会系统中查找杀毒软件相关进程，如AVP.exe.如果发现此类进程，会将系统的beep.sys文件替换成自己的文件，重新启动该服务，检测和恢复系统的SSDT表。

    用释放的文件替换系统文件：

    在sys文件中，恢复SSDT表中的地址项：

    在system32目录中释放后门客户端程序packet64.dll，通过在explorer.exe进程中创建远程线程，将此文件注入到explorer.exe进程中。

    至此，后门客户端已经成功上线运行。客户端上线后首先会收集Computer Name和C盘的Volume Serial Number，通过以下格式提交到服务端，Buffer中为提交的数据。

    客户端接受的命令主要有这几个：
    1.Get命令：获取客户端的指定文件文件，如get c:\\a.exe。
    2.Put命令：命令客户端从网络下载文件，如 put c:\\a.exe,下载文件保存为c:\\a.exe 。
    3.Strpd2和prtsc命令：分别获取16bit和8bit的屏幕截图。
    4.Version命令：获取客户端版本。
    5.Ocmd命令：启动客户端cmd，获取shell。
    6.Setserv和freshserv命令：重新设定服务端地址。

    目前各类木马多种多样，AVG提醒广大用户注意防范，及时更新您杀毒软件的病毒库。AVG已经能够有效地检测该木马及其衍生物，有效地保护您的系统安全，已安装AVG的用户可以放心使用您的爱机。■