pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16
来自 BJ
|
#2
病毒分析:
(1)该样本原程序为计算器程序,用户点击运行后释放捆绑的病毒文件到%SystemRoot%\booter.exe,并后台运行该程序。
(2)booter.exe运行后检测自身信息是否完整,并创建%SystemRoot%\DelInfo.bin记录自身信息,试图打开管道执行命令。加载sfc_os.dll以去除Windows文件保护。将自身数据全部写入%SystemRoot%\system32\appmgmts.dll中,替换该服务。成功后,退出主进程。
(3)替换后的appmgmts.dll加载运行后,读取delinfo.bin中的信息,删除病毒源文件并删除Delinfo.bin。遍历系统进程,如果发现kav.exe或bdagent.exe则运行相关代码试图躲避杀毒软件查杀。并始终检自身运行状态,监视安全软件运行状态,解密出自身数据。释放驱动程序%Temp%\Forter.sys 并创建名为“Forter”的服务加载驱动程序,与驱动交互,计算内核态函数地址,计算SSDT地址并恢复SSDT,将自身启动信息发送给驱动创建注册表启动,创建注册表劫持大量安全软件。遍历进程,查找大量杀毒软件进程,如果找到则传入驱动,关闭安全软件进程。执行成功后删除驱动文件以及键值。
(4)创建线程,检测网络连接,向指定网站提交信息,并下载大量病毒木马到本地运行,创建管道“\\.\pipe\96DBA249-E88E-4c47-98DC-E18E6E3E3E5A”,听取命令。
(5)删除安全模式相关注册表键值,破坏安全模式。
(6)清除Host,创建线程,搜索并感染文件rar,htm,html,asp,aspx,exe格式文件。
(7)查找本地磁盘,感染移动介质,在移动介质根目录下创建autorun.inf以及recycle.{645FF040-5081-101B-9F08-00AA002F954E}\Setup.exe
病毒创建文件:
%SystemRoot%\DelInfo.bin
%SystemRoot%\booter.exe
%SystemRoot%\system32\appmgmts.dll
X:\autorun.inf (X为被感染盘符)
X:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\Setup.exe
病毒删除文件:
%SystemRoot%\DelInfo.bin
%SystemRoot%\booter.exe
病毒修改文件:
%SystemRoot%\system32\appmgmts.dll
%SystemRoot%\system32\drivers\etc\hosts
病毒删除注册表:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Network
病毒访问网络:
www.3-0B6F-415D-B5C7-832F0.com
| |
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
 |
|
