近日，AVG捕获了一种名称为“PittyTiger”的后门程序。一旦感染该木马，黑客就可以从服务端远程控制用户的计算机，为所欲为，偷取用户资料、任意安装程序、通过键盘记录获取用户各种密码等等。可以说，电脑虽然是你的，但是使用的人不是你一个。

如下图：

此木马由母体和后门两部分组成，母体负责对抗杀软和释放后门部分; 而后门部分负责连接服务端，接受服务端指令。

母体执行后会在系统中查找杀毒软件相关进程，如AVP.exe.如果发现此类进程，会将系统的beep.sys文件替换成自己的文件，重新启动该服务，检测和恢复系统的SSDT表。

用释放的文件替换系统文件：

在sys文件中，恢复SSDT表中的地址项：

在system32目录中释放后门客户端程序packet64.dll，通过在explorer.exe进程中创建远程线程，将此文件注入到explorer.exe进程中。

至此，后门客户端已经成功上线运行。

客户端上线后首先会收集Computer Name和C盘的Volume Serial Number，通过以下格式提交到服务端，Buffer中为提交的数据。

返回客户端程序信息：

客户端接受的命令主要有这几个：

1. Get命令：获取客户端的指定文件文件，如get c:\a.exe。

2. Put命令：命令客户端从网络下载文件，如 put c:\a.exe,下载文件保存为c:\a.exe 。

3. Strpd2和prtsc命令：分别获取16bit和8bit的屏幕截图。

4. Version命令：获取客户端版本。

5. Ocmd命令：启动客户端cmd，获取shell。

6. Setserv和freshserv命令：重新设定服务端地址。

目前各类木马多种多样，AVG提醒广大用户注意防范，及时更新您杀毒软件的病毒库。AVG已经能够有效地检测该木马及其衍生物，有效地保护您的系统安全，已安装AVG的用户可以放心使用您的爱机。