pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16 来自 BJ
|
#2
病毒分析
1、获得%SystemRoot%目录,在该目录下创建Systxm32文件夹,伪装为系统“System32”文件夹,并设置文件夹属性为隐藏;
2、将自身复制到Systxm32文件夹下并重命名为ntkrnlpa.exe;
3、比较自身是否为C:\WINDOWS\systxm32\svchost.exe,如果不是,将自身复制到Systxm32文件夹下并重命名为svchost.exe;
4、复制成功后,运行C:\WINDOWS\systxm32\svchost.exe,伪装为系统svchost进程;
5、svchost.exe运行后,创建进程快照查找rfwsrv.exe进程(此进程为瑞星个人防火墙相关程序);如果没有找到,则通过FS段寄存器指向当前的TEB结构,取得PEB的地址,找到三个系统svchost的进程,将C:\WINDOWS\systxm32\svchost.exe注入,这样病毒创建的svchost.exe就在进程中就显示为正常的svchost.exe;如果找到rfwsrv.exe进程,则将病毒创建的svchost.exe注入其中两个正常svchost.exe进程,以防造成系统蓝屏崩溃;
6、提高自身进程权限;创建互斥体“NBtk”,防止程序多次运行;
7、创建名称为“ksattack”的类库;以隐藏方式创建名称为“SkingDDos”的窗口,检测有没有插入设备,获得的消息发送到远端网络地址;
8、建立网络连接,创建线程,获取用户的操作系统版本和网卡地址等信息,向指定网络地址发送消息,用户电脑成为傀儡主机;
9、病毒创建批处理文件.bat,删除病毒原文件,创建注册表服务项,使C:\WINDOWS\systxm32\ntkrnlpa.exe以服务方式自启动;
病毒创建文件:
C:\WINDOWS\systxm32\svchost.exe
C:\WINDOWS\systxm32\ ntkrnlpa.exe
病毒创建注册表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UPS
名称:ImagePath
数据:C:\WINDOWS\systrm32\ntkrnlpa.exe
病毒访问网络:
yyz9.***.org:5050
|
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
|
|