系统感染: Trojan.Naid活性

Question

我们有Tomcat 6在生产服务器上与赛门铁克端点保护windows服务器2008服务器数据中心。Symantec在日志中显示以下行

SID: 27068系统感染: Trojan.Naid活动2攻击受阻。此应用程序的流量已被阻塞：\DEVICE\HARDDISKVOLUME4 4\TOMCAT 6.0\BIN\TOMCAT6.EXE

它清楚地显示系统感染了。Trojan.Naid到底是什么？我们的系统到底感染了什么？Windows和Tomcat组合在生产服务器中是否危险？

Answer 1

来自这里：

Trojan.Naid是一种特洛伊木马，可在受损计算机上打开后门。当木马被执行时，它创建以下文件: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\Services\AppMgmt\"Start“= "2”HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\Services\AppMgmt\Parameters\"ServiceDll“= " %UserProfile%\AppMgmt.dll”HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\Services\AppMgmt\"Type“= "272”HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\Services\AppMgmt\"FailureActions“= "二进制数据”特洛伊木马可创建以下服务之一，以便每次启动AppMgmt BITS :AppMgmt BITS特洛伊木马程序从受损计算机收集下列系统信息:域名唯一标识符(UID)该特洛伊木马利用自己的自定义通信协议通过端口443: 219.90.117.132连接到以下IP地址，然后在受损计算机上打开后门。

因此，您应该检查至少提到的路径、密钥和服务。

但是可以修改特洛伊木马，因此我还建议使用netstat或Process以及来自系统内件套房的其他工具检查网络连接。