本帖最后由 是昔流芳 于 2011-2-11 12:08 编辑
工作后好长时间没扔东西了~这东西能感染系统文件,explorer,winlogon及其dllche。
过程如下:
一.病毒母体行为
1,病毒首先查询注册表 "HKML\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\DefaultDomainName" 如果该值前4个字节内容为 44 6A 92 7C(ascii码为"Dj抾") 则不感染该机器,立刻退出。
2,创建两个名字分别为"Setup555"和"Exists555"的互斥,如果互斥存在,则将自身移动到CSIDL_TEMPLATES目录下并命名为memory.tmp,然后退出。
3,释放病毒子文件"C:\WINDOWS\system32\kb.dll",该文件是主要病毒行为文件,被感染文件都会加载该文件。
4,写入病毒指令数据到"C:\WINDOWS\system32\dll"为后续的病毒操作做准备
5,移动病毒母体到C:\Documents and Settings\Administrator\Local Settings\Temp\19792079
6,查询系统桌面进程"Explorer.exe",通过句柄的复制和文件映射机制实现无注入IAT HOOK "Explorer.exe"进程中Kernel32.dll模块的WaitForSingleObject Api。并写入病毒代码到kernel32.dll的空闲空间,偏移0x84A04。因为explorer.exe会频繁的调用WaitForSingleObject函数,所以病毒代码也会被不断的调用。
二.Explorer.exe中的挂钩函数行为(挂钩WaitForSingleObject)
1,通过以下注册表操作关闭系统还原 修改"HKLM\SYSTEM\CurrentControlSet\Services\sr\Parameters\FirstRun"值为1 删除"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore\DisableSR"项 创建线程,以下为该线程中的行为:
2,删除母体的临时备份C:\Documents and Settings\Administrator\Local Settings\Temp\19792079
3,加载sfc_os.dll,获取#5号函数,为感染系统文件作准备
4,感染系统文件 "C:\WINDOWS\explorer.exe","C:\WINDOWS\system32\winlogon.exe","C:\WINDOWS\system32\dllcache\winlogon.exe","C:\WINDOWS\system32\dllcache\explorer.exe" 之后每隔10秒对以上文件进行检测,如果发现被还原,则再次感染。
5,感染过程: (1)病毒首先读取原始系统文件的内容,并保存到"C:\WINDOWS\system32\temp.tmp" (2)移动原始系统文件到临时目录下,修改后缀为"dat"并设置重启后删除
(3)修改"C:\WINDOWS\system32\temp.tmp"的相关代码实现感染过程 (4)采用替换重命名方式移动"C:\WINDOWS\system32\temp.tmp"到目标系统文件的位
置,进行系统文件的替换。
6,感染后的系统文件行为: (1)在入口处首先加载病毒子文件"kb.dll"
(2)"kb.dll"会获取"C:\WINDOWS\system32\dll"中保存的病毒指令数据,保存到堆中,之后
再跳入堆中该病毒指令。
(3)不断检测"C:\WINDOWS\system32\dll","C:\WINDOWS\system32\kb.dll",并进行重写。
附件为样本:密码:52pojie.cn
1.zip
(54.85 KB, 下载次数: 233)
| 
发表于 2011-1-24 12:56
发表于 2011-1-24 13:55
|
发表于 2011-1-24 14:03
