系统文件感染木马分析 by pencil[LSG]
本帖最后由 是昔流芳 于 2011-2-11 12:08 编辑工作后好长时间没扔东西了~这东西能感染系统文件,explorer,winlogon及其dllche。
过程如下:
一.病毒母体行为
1,病毒首先查询注册表"HKML\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\DefaultDomainName"如果该值前4个字节内容为 44 6A 92 7C(ascii码为"Dj抾") 则不感染该机器,立刻退出。
2,创建两个名字分别为"Setup555"和"Exists555"的互斥,如果互斥存在,则将自身移动到CSIDL_TEMPLATES目录下并命名为memory.tmp,然后退出。
3,释放病毒子文件"C:\WINDOWS\system32\kb.dll",该文件是主要病毒行为文件,被感染文件都会加载该文件。
4,写入病毒指令数据到"C:\WINDOWS\system32\dll"为后续的病毒操作做准备
5,移动病毒母体到C:\Documents and Settings\Administrator\Local Settings\Temp\19792079
6,查询系统桌面进程"Explorer.exe",通过句柄的复制和文件映射机制实现无注入IATHOOK "Explorer.exe"进程中Kernel32.dll模块的WaitForSingleObject Api。并写入病毒代码到kernel32.dll的空闲空间,偏移0x84A04。因为explorer.exe会频繁的调用WaitForSingleObject函数,所以病毒代码也会被不断的调用。
二.Explorer.exe中的挂钩函数行为(挂钩WaitForSingleObject)
1,通过以下注册表操作关闭系统还原修改"HKLM\SYSTEM\CurrentControlSet\Services\sr\Parameters\FirstRun"值为1删除"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore\DisableSR"项创建线程,以下为该线程中的行为:
2,删除母体的临时备份C:\Documents and Settings\Administrator\Local Settings\Temp\19792079
3,加载sfc_os.dll,获取#5号函数,为感染系统文件作准备
4,感染系统文件"C:\WINDOWS\explorer.exe","C:\WINDOWS\system32\winlogon.exe","C:\WINDOWS\system32\dllcache\winlogon.exe","C:\WINDOWS\system32\dllcache\explorer.exe"之后每隔10秒对以上文件进行检测,如果发现被还原,则再次感染。
5,感染过程:(1)病毒首先读取原始系统文件的内容,并保存到"C:\WINDOWS\system32\temp.tmp"(2)移动原始系统文件到临时目录下,修改后缀为"dat"并设置重启后删除
(3)修改"C:\WINDOWS\system32\temp.tmp"的相关代码实现感染过程(4)采用替换重命名方式移动"C:\WINDOWS\system32\temp.tmp"到目标系统文件的位
置,进行系统文件的替换。
6,感染后的系统文件行为:(1)在入口处首先加载病毒子文件"kb.dll"
(2)"kb.dll"会获取"C:\WINDOWS\system32\dll"中保存的病毒指令数据,保存到堆中,之后
再跳入堆中该病毒指令。
(3)不断检测"C:\WINDOWS\system32\dll","C:\WINDOWS\system32\kb.dll",并进行重写。
附件为样本:密码:52pojie.cn
这病毒名称是神马老大您还没说呢 回复 VIPLZM 的帖子
看名字没意义。 我就飘过去咯我纯粹支持下 对系统有什么危害呢,另外是怎么分析的呢?要过程不要结果 不错的分析,支持一下 我擦,52的服务器太不稳定了吧。下载了4遍,都没成功,还扣了4CB。。 俺也是啊,疯狂扣钱,就是下不来,这样马上就变成穷鬼了 支持楼主的分析 学习了 是怎么分析的呢?