pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16
来自 BJ
|
#2
病毒分析
(1)病毒首先隐藏执行notepad.exe,然后查找notepad.exe的窗口类句柄,如果找到就发送一个WM_CLOSE消息将notepad.exe的窗口退出,如果没找到notepad.exe的窗口类,退出当前进程。
(2)病毒试图停止ekrn服务,并通过调用cmd.exe执行taskkill命令将Nod32杀毒软件的ekrn.exe和egui.exe进程终止。释放动态链接库文件tete15457109t.dll(名称数字部分随机生成)到%SystemRoot%目录。创建新进程,通过调用%SystemRoot%\system32\rundll32.exe加载tete15457109t.dll。
(3)获得当前进程列表,检测卡巴斯基杀毒软件的CCENTER.EXE、KAVStart.exe、avp.exe三个主进程,如果发现进程,删除相关服务和终止相关进程,病毒会调用SFC.dll动态链接库去掉AsyncMac.sys和aec.sys两个驱动文件的保护属性,并释放驱动文件aec.sys和AsyncMac.sys,创建服务并启动驱动。启动完成后,通过aec.sys驱动来恢复SSDT,通过AsyncMac.sys驱动来终止杀软进程,修改注册表实现镜像劫持,并删除所有注册表启动项目,删除aec.sys和AsyncMac.sys两个驱动文件。
(4)完成以上工作后,病毒删除tete15457109t.dll。
(5)创建新线程,创建目录%SystemDriver%\recycle.{645FF040-5081-101B-9F08-00AA002F954E},然后病毒将主体重命名为rav32.exe,拷贝到%SystemDriver%\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\rav32.exe,并设置文件属性为系统隐藏,写AUTORUN.INF,使用户打开系统磁盘或打开资源管理器就执行病毒。
(6)释放%SystemRoot%\extext12944765t.exe (数字部分随机生成)并执行。将病毒自身重命名为scvhost.exe拷贝到%SystemRoot%\system32\目录下.
(7)病毒文件extext12944765t.exe,首先比较自身是不是userinit.exe,如果是运行explorer.exe进程,通过net命令停止wscsvc(Windows安全中心)服务,随后停止ShareAccess(Windows防火墙)的服务,接着通过cacls将%SystemRoot%\system32\目录和%TEMP%目录的访问权限设置为everyone完全控制。
(8)创建456ghj657的互斥体,防止二次运行,创建新线程,访问病毒统计地址
(9)病毒获得注册表操作相关API函数的实际虚拟地址,添加注册表自启动项
(10)获得控制服务操作相关API函数的实际虚拟地址, 释放驱动%SystemRoot%\system32\drivers\pcidump.sys 创建服务并加载启动,
通过该驱动,将extext12944765t.exe的地址写入%SystemRoot%\system32\userinit.exe文件的地址空间,感染userinit.exe文件。之后,删除驱动C:\WINDOWS\system32\drivers\pcidump.sys和服务
(11)访问病毒下载地址列表,下载大量病毒,并运行
(12)在病毒主文件的当前目录创建批处理文件afc90a.bat,并隐藏执行该批处理,执行完后删除病毒主文件和afc90a.bat文件。
病毒创建文件:
%SystemRoot%\tete15457109t.dll
%SystemRoot%\system32\drivers\aec.sys
%SystemRoot%\system32\drivers\AsyncMac.sys
%SystemDriver%\recycle.{645FF040-5081-101B-9F08-00AA002F954E}
%SystemDriver%\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\rav32.exe
%SystemRoot%\extext12944765t.exe
%SystemDriver%\AUTORUN.INF
%SystemRoot%\system32\drivers\pcidump.sys
%SystemRoot%\system32\scvhost.exe
X:\afc90a.bat (X为病毒主文件所在路径)
病毒修改文件:
%SystemRoot%\system32\userinit.exe
病毒删除文件:
%SystemRoot%\tete15457109t.dll
%SystemRoot%\system32\drivers\aec.sys
%SystemRoot%\system32\drivers\AsyncMac.sys
%SystemRoot%\system32\drivers\pcidump.sys
%SystemDriver%\tt.tmp
X:\afc90a.bat
病毒创建注册表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AsyncMac
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aec
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pcidump
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[镜像劫持]
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\RsTray
病毒删除注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pcidump
病毒访问网络:
http://98l**98.cn/os009/count.asp
http://fc.****.com/xx9/ttnew.txt
http://2w****qw.cn/xx1.exe
http://2w****qw.cn/xx2.exe
http://2w****qw.cn/xx3.exe
http://2w****qw.cn/xx4.exe
http://2w****qw.cn/xx5.exe
http://2w****qw.cn/xx6.exe
http://2w****qw.cn/xx7.exe
http://2w****qw.cn/xx8.exe
http://2w****qw.cn/xx9.exe
http://2w****qw.cn/xx10.exe
http://2w****qw.cn/xx11.exe
http://2w****qw.cn/xx12.exe
http://2w****qw.cn/xx13.exe
http://2w****qw.cn/xx14.exe
http://2w****qw.cn/xx15.exe
http://2w****qw.cn/xx16.exe
http://2w****qw.cn/xx17.exe
http://2w****qw.cn/xx18.exe
http://2w****qw.cn/xx19.exe
http://2w****qw.cn/xx20.exe
http://2w****qw.cn/xx21.exe
http://2w****qw.cn/xx22.exe
http://2w****qw.cn/xx23.exe
http://2w****qw.cn/xx24.exe
http://2w****qw.cn/xx25.exe
http://2w****qw.cn/xx26.exe
http://2w****qw.cn/xx27.exe
http://2w****qw.cn/xx28.exe
http://2w****qw.cn/xx29.exe
http://2w****qw.cn/xx30.exe
http://2w****qw.cn/xx31.exe
http://2w****qw.cn/xx32.exe
http://2w****qw.cn/xx33.exe
http://2w****qw.cn/xx34.exe
http://2w****qw.cn/xx35.exe
http://2w****qw.cn/xx43.exe
http://2w****qw.cn/xx46.exe
http://2w****qw.cn/1690.exe
| |
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
 |
|
