pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16
来自 BJ
|
#2
病毒分析
(1)隐式执行notepad.exe,查找Notepad的窗口,若没有找到,直接退出,否则发送消息到当前进程的主线程,主线程收到消息后继续执行。
(2)创建互斥体,防止多次运行。
(3)通过强行结束进程和服务控制的方式,终止和删除Nod32杀软相关进程和服务。
(4)释放文件%SystemRoot%\system32\ee93806218t.dll。(文件名数字部分随机生成)
(5)创建进程,通过调用rundll32.exe程序加载ee93806218t.dll。
(6)提升自身进程权限,获得当前进程列表,检测CCENTER.EXE、KAVStart.exe、avp.exe三个进程,如果发现进程,删除相关服务和终止相关进程,去掉AsyncMac.sys和aec.sys驱动文件的保护属性,并释放驱动文件aec.sys和AsyncMac.sys,创建服务并启动。之后,通过aec.sys恢复SSDT,通过AsyncMac.sys终止大多数杀软进程,修改注册表实现镜像劫持,并删除所有注册表启动项及aec.sys和AsyncMac.sys两个驱动文件。之后删除ee93806218t.dll。
(7)创建线程,创建目录%SystemDriver%\recycle.{645FF040-5081-101B-9F08-00AA002F954E},将自身重命名为rav32.exe复制到%SystemDriver%\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\rav32.exe,并设置为隐藏。写AUTORUN.INF,使用户打开系统磁盘或打开资源管理器就执行病毒。
(8)停止wscsvc和ShareAccess服务。释放%SystemRoot%\extext0t.exe并执行,将%SystemRoot%\system32\目录和%TEMP%目录的访问权限设置为everyone完全控制。
(9)创建线程,清空%SystemRoot%\System32\dirvers\etc\hosts文件中的信息,完成后设置hosts文件属性为只读。
(10)创建线程,统计本地感染机器的网卡地址、系统版本和时间,将这些信息发送到黑客指定的地址。
(11)创建线程,打开指定网址,下载大量病毒到本地运行。
(12)释放%SystemRoot%\system32\drivers\pcidump.sys,创建服务并启动,将extext0t.exe的地址写入%SystemRoot%\Explorer.exe地址空间,感染Explorer.exe文件。之后,删除%SystemRoot%\system32\drivers\pcidump.sys和服务。
(13)将病毒自身重命名复制到%SystemRoot%\system32\scvhost.exe,通过修改注册表,实现病毒自启动。
(14)在病毒主程序当前目录创建批处理文件_temp.bat,并隐藏执行删除病毒自身,完成后删除_temp.bat。
病毒创建文件:
%SystemRoot%\system32\ee93806218t.dll
%SystemDriver%\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\rav32.exe
%SystemRoot%\extext0t.exe
%SystemRoot%\system32\drivers\AsyncMac.sys
%SystemRoot%\system32\drivers\aec.sys
%SystemRoot%\system32\drivers\pcidump.sys
%SystemRoot%\system32\scvhost.exe
X:\AUTORUN.INF (X为任意盘符)
X:\_temp.bat (X为病毒主程序所在盘符)
病毒修改文件:
%SystemRoot%\System32\dirvers\etc\hosts
病毒删除文件:
%SystemRoot%\system32\ee93806218t.dll
%SystemRoot%\system32\drivers\pcidump.sys
%SystemRoot%\system32\drivers\AsyncMac.sys
%SystemRoot%\system32\drivers\aec.sys
X:\_temp.bat (X为病毒主程序所在盘符)
病毒创建注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[映像劫持]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\asyncmac
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aec
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pcidump
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\360Soft
病毒删除注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\[安全软件]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\asyncmac
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aec
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pcidump
病毒访问网络:
http://tong***20.com/v21/count.asp
http://boo***oo111.com/aa21bg.txt
[ Last edited by pioneer on 2009-8-15 at 22:19 ]
| |
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
 |
|
