又见Rootkit... 
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http://gudugengkekao.blog.51cto.com/172212/53966 |
文件名称:DominoTest.exe\Server.exe
文件大小:229632 byte
AV命名:Trojan.Win32.Agent.ddl(卡吧斯基)\Backdoor.Win32.Agent.yps(瑞星)
加壳方式:未
编写语言:Microsoft Visual C++ 6.0
文件MD5:18ddeaccc2b08de213eb15a1d453a3b1
病毒类型:Rootkit
行为(不一定全):
1、释放病毒副本:
%Systemroot%\System32\DRIVERS\DominoTest.sys
%Systemroot%\System32\DominoTest.dll
%Systemroot%\System32\DominoTest.exe
%Systemroot%\System32\iecookie.log
%Systemroot%\System32\win32ssl.dll
(排名分先后,哈哈```)
2、注册系统服务,开机启动:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MicrosoftNT]
"Type"=dword:00000010 "Start"=dword:00000002 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):43,00,3a,00,5c,00,77,00,69,00,6e,00,6e,00,74,00,5c,00,53,00,\ 59,00,53,00,54,00,45,00,4d,00,33,00,32,00,5c,00,44,00,6f,00,6d,00,69,00,6e,\ 00,6f,00,54,00,65,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,75,00,\ 00,00 "DisplayName"="MicrosoftNT" "ObjectName"="LocalSystem" "Description"="Services" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MicrosoftNT\Security]
"Security"=hex:01,00,14,80,a0,00,00,00,ac,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,70,00,04,00,00,00,00,00,18,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,00,00,00,00,1c,00,ff,01,0f,00,01,02,00,00,00,00,00,05,\ 20,00,00,00,20,02,00,00,7a,e0,92,4f,00,00,18,00,8d,01,02,00,01,01,00,00,00,\ 00,00,05,0b,00,00,00,20,02,00,00,00,00,1c,00,fd,01,02,00,01,02,00,00,00,00,\ 00,05,20,00,00,00,23,02,00,00,7a,e0,92,4f,01,01,00,00,00,00,00,05,12,00,00,\ 00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MicrosoftNT\Enum]
"0"="Root\\LEGACY_MICROSOFTNT\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 3、查找并获得SFC恢复台函数地址(SFC.dll),在感染系统文件Explorer.exe时防止被恢复。
感染方式和之前的Win32.Downloader类似。增加区段,里面包含加载DominoTest.dll的命令。
修复方法:
4、通过DominoTest.sys驱动修改SSDT,使以下函数指向自身。
ZwDeviceIoControlFile 隐藏自身的网络端口。
ZwQueryDirectoryFile 隐藏3个文件,防止被删除:
DominoTest.exe DominoTest.dll DominoTest.sys ZwWriteVirtualMemory 这个可能是远程控制进程用的。
5、反弹连接控制端,可能使用端口复用技术,但是没有实现。
6、DominoTest.dll注入Lsass.exe、Svchost.exe进程,So..每次开机都以这种无进程方式加载。
解决方法:
方法一:
用冰刃把DominoTest.exe、DominoTest.dll、DominoTest.sys这3个文件删除就可以了。
冰刃可以发现,呵呵
方法二:
用可恢复SSDT的工具,修复病毒Hook的API。然后先删除病毒驱动,再删除服务,最后删文件。
方法三:
下载PowerRmv,如果你知道路径的话,直接覆盖就可以了,哈哈。
不过基本上中这病毒的很难被发现,SREng不能显示其服务项,只能看到驱动。
方法四:
利用Anit Rootkit的工具扫描后删除或用杀毒软件清理都可以...
最后记得把那个Explorer.exe从dllcache里复制出来!
   另外感谢“dominolife ”提供的样本。 本文出自 “孤独更可靠” 博客,请务必保留此出处http://gudugengkekao.blog.51cto.com/172212/53966 本文出自 51CTO.COM技术博客 |
孤独更可靠
博客统计信息
热门文章
最新评论
友情链接
