|
| 一个会修改进程自身PEB结构的后门病毒的分析资料 |
| 作者 depressedboy 查看 193 发表时间 2008/6/6 21:46 【论坛浏览】 |
|
文章名称:一个会修改进程自身PEB结构的后门病毒的分析资料ywcg 文章类型:病毒分析播报ywcg 编写作者:Coderuiywcg 编写日期:2008年05月22日ywcg 作者博客:http://hi.baidu.com/coderuiywcg ///////////////////////////////////////////////////////////////////////////////////////////////ywcg ---------------------------------------------------------------------------------------------ywcg 英文名称:Backdoor/Huigezi.rvhywcg 中文名称:“灰鸽子”变种rvhywcg 病毒类型:后门ywcg 文件大小:15,360 字节ywcg 危险级别:★★ywcg 影响平台:Win 9X/ME/NT/2000/XP/2003ywcg ywcg 该病毒添加3层保护壳。ywcg 全部脱壳后的程序入口点为:00003DCE。ywcg 采用编译器:Microsoft Visual C++ 6.0ywcg ywcg 对病毒主安装程序部分进行分析:ywcg ------------------------------------------------------------------------ywcg 骇客通信地址,初始化读取解密:ywcg "218.24.148.196:5000"ywcg ywcg 自我复制:ywcg "C:\WINDOWS\system32\RacMondY.exe" ->文件属性设置为:系统、隐藏。ywcg ywcg 调用运行复制后的病毒体时使用的方式:ywcg --------------------------------------------------ywcg LoadLibraryAywcg \FileName = "kernel32.dll"ywcg ywcg GetProcAddressywcg hModule = 7C800000 (kernel32)ywcg ProcNameOrOrdinal = "CreateProcessInternalA"ywcg ywcg CreateProcessInternalAywcg "C:\WINDOWS\system32\RacMondY.exe"ywcg --------------------------------------------------ywcg ywcg 自我删除:ywcg CreateProcessAywcg CommandLine = "C:\WINDOWS\system32\cmd.exe /c del C:\DOCUME~1\ADMINI~1\桌面\1.exe > nul"ywcg ywcg 关闭退出:ywcg DS:[004040CC]=77C09E9A (msvcrt._exit)ywcg ------------------------------------------------------------------------ywcg ywcg 对病毒“RacMondY.exe”的执行部分进行分析:ywcg ------------------------------------------------------------------------ywcg 以服务方式启动运行(伪装自身为“瑞星”服务):ywcg CreateServiceAywcg 0012FCBC 00145708 |hManager = 00145708ywcg 0012FCC0 004061C5 |ServiceName = "RacMondY"ywcg 0012FCC4 004061F7 |DisplayName = "RacMondY 瑞星服务"ywcg 0012FCC8 000F01FF |DesiredAccess = SERVICE_ALL_ACCESSywcg 0012FCCC 00000110 |ServiceType = SERVICE_WIN32_OWN_PROCESS|SERVICE_INTERACTIVE_PROCESSywcg 0012FCD0 00000002 |StartType = SERVICE_AUTO_STARTywcg 0012FCD4 00000000 |ErrorControl = SERVICE_ERROR_IGNOREywcg 0012FCD8 0012FD28 |BinaryPathName = "C:\WINDOWS\system32\RacMondY.exe"ywcg 0012FCDC 00000000 |LoadOrderGroup = NULLywcg 0012FCE0 00000000 |pTagId = NULLywcg 0012FCE4 00000000 |pDependencies = NULLywcg 0012FCE8 00000000 |ServiceStartName = NULLywcg 0012FCEC 00000000 \Password = NULLywcg ywcg 关闭退出:ywcg DS:[004040CC]=77C09E9A (msvcrt._exit)ywcg ------------------------------------------------------------------------ywcg ywcg 对病毒“RacMondY.exe”的服务部分进行分析:ywcg ------------------------------------------------------------------------ywcg 修改自身进程的“PEB”结构表,把自己伪装成系统“svchost.exe”进程。ywcg 然后再去连接网络进行秘密通信,可以躲避掉防火墙的监控(利用白名单原理)。ywcg ywcg 在被感染计算机系统的后台“循环”连接骇客服务器进行秘密通信:ywcg "218.24.148.196:5000"ywcg ywcg 会下载恶意程序(可能和自动更新有关):ywcg "URLDownloadToCacheFileA"ywcg "c:\1.exe" <-保存文件名称ywcg ywcg 该病毒是一个远程控制后门程序,可以远程控制被感染的计算机,并且执行一些恶意性质的操作。ywcg ywcg 病毒开机后以服务方式启动:ywcg 服务名称:RacMondY 瑞星服务ywcg 服务项名:RacMondYywcg 服务类型:独立进程服务ywcg 程序路径:"C:\WINDOWS\system32\RacMondY.exe"ywcg ------------------------------------------------------------------------ywcg ---------------------------------------------------------------------------------------------ywcg 手动杀毒方法步骤(经过实际测试有效):ywcg 1、关闭结束掉病毒进程“RacMondY.exe”。ywcg 2、删除掉病毒文件体“C:\WINDOWS\system32\RacMondY.exe”。ywcg 3、终止、卸载掉病毒开机自启动服务“RacMondY 瑞星服务”。ywcg 4、该后门已经清除干净,请使用杀毒软件扫描全盘,看是否还存在其它恶意程序。ywcg ---------------------------------------------------------------------------------------------ywcg /////////////////////////////////////////////////////////////////////////////////////////////// |
| 序号 | 评论者 | 共有评论 0 【论坛浏览】 【发表评论】 | 评论时间 |
| 当前无任何评论,或评论已被禁止显示 | |||
共有评论数 0 每页显示 10
|
|||
