软件说明:baoq
病毒名称: Worm.Magistr.gbaoq
病毒是由C语言编写的感染型病毒,感染后缀名为EXE的32位PE可执行程序,病毒源的大小为40KB。baoq
病毒源文件为boot.exe,由用户从U盘上提取。baoq
病毒源文件流程:baoq
boot.exe运行后检查自己是否在驱动器根目录下,如不是退出。baoq
检查是否存在"C:\WINNT\linkinfo.dll",如果不存在则建立该文件。baoq
检查驱动文件是否存在,如不存在则生成驱动文件%SystemRoot%\system32\drivers\IsDrv118.sys(加载后删除),并调用ZwSetSystemInformation加载驱动。baoq
装载该dll,然后查找病毒调用序号为101的导出函数。baoq
DLL流程:baoq
DLL被装载时:baoq
1、获得系统sfc.dll中的SfcIsFileProtected函数地址,以便在感染时调用以防止感染受系统保护的文件。baoq
2、获取系统的linkinfo.dll(%system32%目录下)的下列导出函数,使自己导出的同名函数指向正常的linkinfo.dll中正确的函数,以便转接这些函数。baoq
ResolveLinkInfoWbaoq
ResolveLinkInfoA baoq
IsValidLinkInfo baoq
GetLinkInfoData baoq
GetCanonicalPathInfoW baoq
GetCanonicalPathInfoA baoq
DisconnectLinkInfo baoq
DestroyLinkInfo baoq
CreateLinkInfoW baoq
CreateLinkInfoA baoq
CompareLinkInfoVolumes baoq
CompareLinkInfoReferents baoq
3、检查自己是否在explorer.exe进程中,如不是则启动病毒主线程。baoq
4、启动病毒主线程baoq
病毒首先通过VMWare后门指令检查是否是在VMWare下运行,如果是直接重启机器,以此来防止自己在虚拟机中被运行。baoq
生成名称为"PNP#DMUTEX#1#DL5"的互斥量,以保证只有一个实例在运行。baoq
然后开始启动各工作线程baoq
5、工作线程1(生成窗口和消息循环)baoq
生成隐藏的窗口和消息循环,并通过调用RegisterDeviceNotificationA注册设备通知消息,当发现插入可移动磁盘时,向可移动磁盘写入病毒源boot.exe。baoq
6、工作线程2(遍历并感染所有磁盘)baoq
从"C:\"开始感染所有磁盘中后缀名为"exe"的文件。baoq
病毒在感染时,不感染"QQ"、"winnt"和"windows"目录下的程序文件,并通过调用SfcIsFileProtected来检查是否为系统文件,如是则不感染。baoq
同时,病毒不感染以下程序:baoq
wooolcfg.exe baoq
woool.exe baoq
ztconfig.exe baoq
patchupdate.exe baoq
trojankiller.exe baoq
xy2player.exe baoq
flyff.exe baoq
xy2.exe baoq
大话西游.exe baoq
au_unins_web.exe baoq
cabal.exe baoq
cabalmain9x.exe baoq
cabalmain.exe baoq
meteor.exe baoq
patcher.exe baoq
mjonline.exe baoq
config.exe baoq
zuonline.exe baoq
userpic.exe baoq
main.exe baoq
dk2.exe baoq
autoupdate.exe baoq
dbfsupdate.exe baoq
asktao.exe baoq
sealspeed.exe baoq
xlqy2.exe baoq
game.exe baoq
wb-service.exe baoq
nbt-dragonraja2006.exe baoq
dragonraja.exe baoq
mhclient-connect.exe baoq
hs.exe baoq
mts.exe baoq
gc.exe baoq
zfs.exe baoq
neuz.exe baoq
maplestory.exe baoq
nsstarter.exe baoq
nmcosrv.exe baoq
ca.exe baoq
nmservice.exe baoq
kartrider.exe baoq
audition.exe baoq
zhengtu.exe baoq
7、工作线程3(禁止其它病毒、破坏卡卡助手和感染网络)baoq
枚举进程,如果进程的程序文件名(包括目录)是如下程序(常见的病毒程序),将终止该进程baoq
realschd.exe baoq
cmdbcs.exe baoq
wsvbs.exe baoq
msdccrt.exe baoq
run1132.exe baoq
sysload3.exe baoq
tempicon.exe baoq
sysbmw.exe baoq
rpcs.exe baoq
msvce32.exe baoq
rundl132.exe baoq
svhost32.exe baoq
smss.exe baoq
lsass.exe baoq
internat.exe baoq
explorer.exe baoq
ctmontv.exe baoq
iexplore.exe baoq
ncscv32.exe baoq
spo0lsv.exe baoq
wdfmgr32.exe baoq
upxdnd.exe baoq
ssopure.exe baoq
iexpl0re.exe baoq
c0nime.exe baoq
svch0st.exe baoq
nvscv32.exe baoq
spoclsv.exe baoq
fuckjacks.exe baoq
logo_1.exe baoq
logo1_.exe baoq
lying.exe baoq
sxs.exe baoq
病毒通过修改卡卡助手的驱动"%system32%\drivers\RsBoot.sys"入口,使该驱动在加载时失败。baoq
枚举网络资源,并尝试对网络资源中的文件进行感染。baoq
枚举并尝试向局域网中计算机的隐藏共享文件夹"%s\\IPC$"、"C$"等写入名称为"setup.exe"的病毒源文件,尝试连接时使用"Administrator"作为用户名,并使用下列密码尝试。baoq
password1 baoq
monkey baoq
password baoq
abc123 baoq
qwerty baoq
letmein baoq
root baoq
mypass123 baoq
owner baoq
test123 baoq
love baoq
admin123 baoq
qwer baoq
!@#$%^&*() baoq
!@#$%^&*( baoq
!@#$%^&* baoq
!@#$%^& baoq
!@#$%^ baoq
!@#$% baoq
asdfgh baoq
asdf baoq
!@#$ baoq
654321 baoq
123456789 baoq
12345 baoq
admin baoq
8、工作线程4(修改host文件并下载)baoq
备份host文件为host.txt,并下载文件代替。baoq
查找系统html文件的关联程序,启动并注入dll以便穿过防火墙的拦截。baoq
尝试连接以下地址并下载文件baoq
http://top.cn372*****rg/c.aspbaoq
http://top.cn37****rg/top.datbaoq
baoq
9、工作线程5(监视并禁止其它病毒)baoq
通过调用驱动获得新生成的进程,如果进程的文件是指定程序(见工作线程3),终止该进程baoq
baoq
驱动:baoq
该驱动加载后首先通过替换 SDT 的中的函数地址挂钩baoq
ZwSaveKeybaoq
ZwQueryDirectoryFilebaoq
ZwClosebaoq
ZwEnumerateKeybaoq
ZwLoadDriverbaoq
...baoq
等 API 来保护病毒的注册表键值不被发现和修改,并隐藏病毒文件(boot.exe, linkinfo.dll, nvmini.sys等),baoq
以及禁止一些安全软件的驱动加载。baoq
然后,驱动创建一个名为 DL5CProc 的设备。用户进程可以通过 ioctl = 25270860 来获得最后一个创建进程的进程 ID。baoq
这个进程 ID 是通过调用 PsSetCreateProcessNotifyRoutine 得到的通知获得。baoq
该驱动还会通过 PsSetLoadImageNotifyRoutine 设置映像加载通知,如果加载的映像文件在以下子目录中:baoq
COMMON FILES, WINDOWS\SYSTEM32, WINNT\SYSTEM32baoq
并且名为:baoq
DLLWM.DLLbaoq
WININFO.RXKbaoq
RICHDLL.DLLbaoq
WINDHCP.DLLbaoq
DLLHOSTS.DLLbaoq
NOTEPAD.DLLbaoq
RPCS.DLLbaoq
RDIHOST.DLLbaoq
RDFHOST.DLLbaoq
RDSHOST.DLLbaoq
LGSYM.DLLbaoq
RUND11.DLLbaoq
MDDDSCCRT.DLLbaoq
WSVBS.DLLbaoq
CMDBCS.DLLbaoq
UPXDHND.DLLbaoq
该驱动会通过修改物理内存修改模块入口是这些模块返回失败,无法成功加载。这些动态库多是一些盗密码的baoq
病毒以及Worm.Viking的动态库,所以被 Magister 感染的系统不会再感染这些病毒。baoq
被感染的文件:baoq
病毒感染文件时,会将原文件最后一个节增大,将病毒代码写入被感染文件的代码节,修改入口点指向病毒代码并保存原来的入口点地址,然后将被覆盖的原来文件的代码、病毒的dll、sys文件压缩保存在文件最后一个节中增大的地方。被感染的文件运行时,病毒代码先被运行,释放C:\WINNT\linkinfo.dll和%SystemRoot%\system32\drivers\IsDrv118.sys并加载,然后调用linkinfo.dll的序号为101的函数。病毒代码最后会恢复原文件被覆盖的代码并跳回原文件的入口开始运行原来的文件。baoq
baoq
