pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16
来自 BJ
|
#2
病毒分析
该样本程序被执行后,将建立名为“puuyt”的互斥体,遍历以下进程
| Quote: | kavstart.exe
kissvc.exe
kmailmon.exe
kpfw32.exe
kpfwsvc.exe
kwatch.exe
ccenter.exe
ras.exe
rstray.exe
rsagent.exe
ravtask.exe
ravstub.exe
ravmon.exe
ravmond.exe
avp.exe
360safebox.exe
360Safe.exe
Thunder5.exe
rfwmain.exe
rfwstub.exe
rfwsrv.exe |
|
若发现以上进程,将释放动态库文件“oiiuasdfh.dll”至系统目录%SystemRoot%目录下,并调用系统“rundll32.exe”使用参数“EnumPageFile”加载“oiiuasdfh.dll”,加载成功后,提升权限至“SeDebugPrivilege”,修改系统文件“beep.sys”,恢复SSDT,使部分安全软件的主动防御功能失效,尝试调用下列命令进行关闭“avp.exe”进程:
| Quote: | | taskkill /f /t /im avp.exe |
|
利用函数“TerminateProcess”尝试关闭找到的进程,在注册表“HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\”下添加发现的进程与“Thunder5.exe”,进行映像劫持,键值均为:debugger,数据均指向:svchost.exe。
若发现“safeboxtray.exe”获取360保险箱路径,复制“oiiuasdfh.dll”至360保险箱目录下,重命名为“rptup.dll”与“USP10.dll”,以参数“/u”打开“safeboxTray.exe”进程,配合模拟点击,使360保险箱自我保护失效,实现保险箱卸载。
若发现“360tray.exe”则修改注册表,关闭360安全卫士的监控,相关注册表如下。
| Quote: | 项:HKLM\Software\360Safe\safemon
键: ExecAccess
指向数据:0
键: MonAccess
指向数据:0
键: LeakShowed
指向数据:0
键: SiteAccess
指向数据:0
键: UDiskAccess
指向数据:0
键: weeken
指向数据:0
键: ARPAccess
指向数据:0
键: IEProtAccess
指向数据:0 |
|
病毒还将尝试调用其卸载程序“uninst.exe”将360安全卫士卸载。
修改注册表,修改系统设置,使系统不显示隐藏文件:
| Quote: | 键:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
值:Hidden
数据:2
值:SuperHidden
数据:1
值:Show SuperHidden
数据:0 |
|
释放动态库文件“1”至系统目录“SystemDrive\Tasks”,遍历除系统盘符外包括可移动磁盘的全部磁盘内的 “.exe”文件,在“*.exe”文件所在目录内复制“1”为“USP10.dll”。利用“Windows”机制使用户执行程序同时,加载“USP10.dll”,“USP10.dll”将访问网络地址:“http://www.h***-2.cn/down/gr.exe”下载病毒。
利用函数“TerminateProcess”,关闭“cmd.exe”,下载病毒文件列表“http://txt.h***e.com/oo.txt”,存储至系统目录“%SystemRoot%\system32\sadfasdf.jpg”,“sadfasdf.jpg”内容如下:
| Quote: | [file]
open=y
url1=http://www.w**we.com/new/new1.exe
url2=http://www.w**we.com/new/new2.exe
url3=http://www.w**we.com/new/new3.exe
url4=http://www.w**we.com/new/new4.exe
url5=http://www.w**we.com/new/new5.exe
url6=http://www.w**we.com/new/new6.exe
url7=http://www.w**we.com/new/new7.exe
url8=http://www.w**we.com/new/new8.exe
url9=http://www.w**we.com/new/new9.exe
url10=http://www.w**we.com/new/new10.exe
url11=http://www.w**we.com/new/new11.exe
url12=http://www.w**we.com/new/new12.exe
url13=http://www.w**we.com/new/new13.exe
url14=http://www.w**we.com/new/new14.exe
url15=http://www.w**we.com/new/new15.exe
url16=http://www1.w**we.com/new/new16.exe
url17=http://www1.w**we.com/new/new17.exe
url18=http://www1.w**we.com/new/new18.exe
url19=http://www1.w**we.com/new/new19.exe
url20=http://www1.w**we.com/new/new20.exe
url21=http://www1.w**we.com/new/new21.exe
url22=http://www1.w**we.com/new/new22.exe
url23=http://www1.w**we.com/new/new23.exe
url24=http://www1.w**we.com/new/new24.exe
url25=http://www1.w**we.com/new/new25.exe
url26=http://www1.w**we.com/new/new26.exe
url27=http://www1.w**we.com/new/new27.exe
url28=http://www1.w**we.com/new/new28.exe
count=28 |
|
通过函数“URLDownloadToFile”下载列表上的病毒文件,释放随机名动态库文件“2f9a09.dll”,利用函数“WinExec”执行下载的病毒文件。
创建驱动文件“1696”至“%Temp%”目录,修改注册表,创建服务项,加载“1696”,相关注册表项如下:
| Quote: | 键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\io
值:Type
数据:SERVICE_KERNEL_DRIVER
值:Start
数据:SERVICE_DEMAND_START
值:ImagePath
数据:%Temp%\1696
值:DisplayName
数据:io |
|
“1696” 为病毒制造者编写的磁盘过滤驱动,病毒将修改“ctfmon.exe”将部分代码写入其中,操作完成后将删除文件及服务。
访问网络地址下载:“http://txt.h***e.com/ad.jpg”,随后病毒将使用文本文件“ad.jpg”,替换系统Host文件。
[ Last edited by pioneer on 2009-2-4 at 17:57 ]
| |
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
 |
|
