[转载] 一个会修改进程自身PEB结构的后门病毒的分析资料

///////////////////////////////////////////////////////////////////////////////////////////////
文章名称：一个会修改进程自身PEB结构的后门病毒的分析资料
文章类型：病毒分析播报
编写作者：Coderui
编写日期：2008年05月22日
作者博客：http://hi.baidu.com/coderui
///////////////////////////////////////////////////////////////////////////////////////////////
---------------------------------------------------------------------------------------------
英文名称：Backdoor/Huigezi.rvh
中文名称：“灰鸽子”变种rvh
病毒类型：后门
文件大小：15,360 字节
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003

该病毒添加3层保护壳。
全部脱壳后的程序入口点为：00003DCE。
采用编译器：Microsoft Visual C++ 6.0

对病毒主安装程序部分进行分析：
------------------------------------------------------------------------
骇客通信地址，初始化读取解密：
"218.24.148.196:5000"

自我复制：
"C:\WINDOWS\system32\RacMondY.exe" ->文件属性设置为：系统、隐藏。

调用运行复制后的病毒体时使用的方式：
--------------------------------------------------
LoadLibraryA
\FileName = "kernel32.dll"

GetProcAddress
hModule = 7C800000 (kernel32)
ProcNameOrOrdinal = "CreateProcessInternalA"

CreateProcessInternalA
"C:\WINDOWS\system32\RacMondY.exe"
--------------------------------------------------

自我删除：
CreateProcessA
CommandLine = "C:\WINDOWS\system32\cmd.exe /c del C:\DOCUME~1\ADMINI~1\桌面\1.exe > nul"

关闭退出：
DS:[004040CC]=77C09E9A (msvcrt._exit)
------------------------------------------------------------------------

对病毒“RacMondY.exe”的执行部分进行分析：
------------------------------------------------------------------------
以服务方式启动运行(伪装自身为“瑞星”服务)：
CreateServiceA
0012FCBC   00145708 |hManager = 00145708
0012FCC0   004061C5 |ServiceName = "RacMondY"
0012FCC4   004061F7 |DisplayName = "RacMondY 瑞星服务"
0012FCC8   000F01FF |DesiredAccess = SERVICE_ALL_ACCESS
0012FCCC   00000110 |ServiceType = SERVICE_WIN32_OWN_PROCESS|SERVICE_INTERACTIVE_PROCESS
0012FCD0   00000002 |StartType = SERVICE_AUTO_START
0012FCD4   00000000 |ErrorControl = SERVICE_ERROR_IGNORE
0012FCD8   0012FD28 |BinaryPathName = "C:\WINDOWS\system32\RacMondY.exe"
0012FCDC   00000000 |LoadOrderGroup = NULL
0012FCE0   00000000 |pTagId = NULL
0012FCE4   00000000 |pDependencies = NULL
0012FCE8   00000000 |ServiceStartName = NULL
0012FCEC   00000000 \Password = NULL

关闭退出：
DS:[004040CC]=77C09E9A (msvcrt._exit)
------------------------------------------------------------------------

对病毒“RacMondY.exe”的服务部分进行分析：
------------------------------------------------------------------------
修改自身进程的“PEB”结构表，把自己伪装成系统“svchost.exe”进程。
然后再去连接网络进行秘密通信，可以躲避掉防火墙的监控(利用白名单原理)。

在被感染计算机系统的后台“循环”连接骇客服务器进行秘密通信：
"218.24.148.196:5000"

会下载恶意程序(可能和自动更新有关)：
"URLDownloadToCacheFileA"
"c:\1.exe" <-保存文件名称

该病毒是一个远程控制后门程序，可以远程控制被感染的计算机，并且执行一些恶意性质的操作。

病毒开机后以服务方式启动：
服务名称：RacMondY 瑞星服务
服务项名：RacMondY
服务类型：独立进程服务
程序路径："C:\WINDOWS\system32\RacMondY.exe"
------------------------------------------------------------------------
---------------------------------------------------------------------------------------------
手动杀毒方法步骤(经过实际测试有效)：
1、关闭结束掉病毒进程“RacMondY.exe”。
2、删除掉病毒文件体“C:\WINDOWS\system32\RacMondY.exe”。
3、终止、卸载掉病毒开机自启动服务“RacMondY 瑞星服务”。
4、该后门已经清除干净，请使用杀毒软件扫描全盘，看是否还存在其它恶意程序。
---------------------------------------------------------------------------------------------
///////////////////////////////////////////////////////////////////////////////////////////////