|
名称:某Keylogger分析
类型:WinEXE
MD5 校验值:56263331B8A63334C467B43538E5873C
壳信息:无壳
受威胁的系统:Windows平台
概述:
1.该病毒会释放文件并运行
2.创建互斥量
3.添加自启动项
4.创建全局钩子
5.记录键盘操作
分析:
对母体的分析
1.查找电脑中是否存在debugsrv.exe,如果存在,通过OpenProcess,TerminateProcess关闭进程。
2.创建文件夹C:\WINDOWS\r_GUID[F481B223-3705-45B3-B9AB-C0D9A3FDEBB4],设置为隐藏属性。 3.连接字符串,创建文件debugsrv.exe到 C:\WINDOWS\r_GUID[F481B223-3705-45B3-B9AB-C0D9A3FDEBB4]。
4.运行C:\WINDOWS\r_GUID[F481B223-3705-45B3-B9AB-C0D9A3FDEBB4]\debugsrv.exe
5.连接字符串,将自身所在路径与 \install.ceo连接,call 401090为获取自身路径并且连接\install.ceo
6.创建进程xxxxxxxx\install.ceo,关闭句柄,56263331B8A63334C467B43538E5873C进程结束 debugsrv.exe分析 7.创建事件对象MSCDBGSV1,创建互斥量。
8.设置注册表SOFTWARE\Microsoft\Windows\CurrentVersion\Run 添加自启动
9.开启线程,创建全局钩子,循环获取消息
10.线程记录键盘操作数据,将数据保存在进程当前目录debugsrv.exe_bug.log文件中 11.debugsrv.exe_bug.log存放的键盘记录操作以+0Ah的方式加密
12.存放的数据如以下
13.进行解密为-0Ah 解密后为
14. 解决方案 1.安装官方补丁 2.删除C:\WINDOWS 目录下 r_GUID[F481B223-3705-45B3-B9AB-C0D9A3FDEBB4] 文件夹 并清除注册表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 内名称为MSWDebugServer 的项 | 
发表于 2013-5-24 21:19
发表于 2013-5-25 10:20
