首頁|退出

11月27日病毒播報


發布者:網安網  發布時間:2012/11/27 10:58:00  閱讀:13023

遠程控制木馬樣本播報
病毒描述

病毒名稱    :   Backdoor.PcShare.nd
文件MD5     :  CE062FB2830FA47DEE0CEDC2971B1847
文件大小    :  45,954 字節
編寫環境    :  C++
是否加殼    :  否

文檔公開級別 : 完全公開


病毒執行體描述:

    Backdoor.PcShare.nd 病毒偽裝在正常簽名軟件的環境中,由被劫持的dll來加載執行,當Backdoor.PcShare.nd被
加載入內存中后,對系統進行破壞,釋放驅動文件修改,對系統相關的操作進行監控,來保護自己不被查到,將自身復制到系
統目錄下隱藏,修改系統注冊表添加系統服務進行上線啟動,注入到Svchost.exe中,以系統白信任的方式加載驅動到內核,
將自身通信服務注入到Internet Explorer中與遠程服務端進行通信。并監視用戶鍵盤的輸入,保存在特定的位置,遠程控
制服務端連接后會自動下載鍵盤記錄的數據。


病毒行為流程分析:

一.傳播途徑
     通過對具有簽名的可執行文件進行DLL的劫持來達到自身可以被加載到內存的機會,可執行文件的簽名有效,在執行的
時候殺毒軟件并不會去檢測其內部的結構情況,會認為此可執行文件的進程是安全的,當被劫持的DLL被加載進內存后,首
先加載被加密的Backdoor.PcShare.nd 病毒,然后解密,在內存中定位文件結構,讓其可執行。

二、執行流程
     Backdoor.PcShare.nd 病毒執行會先檢測系統環境,得到系統目錄,釋放臨時隨機文件,文件名均為Z開頭后7位
隨機的 8位字符串(例如:Zwrrkfgx)。
釋放目錄
文件名稱
文件作用
C:WindowsSystem32
Zwrrkfgx.dll(為隨機名稱)
遠程控制核心文件
C:WindowsSystem32
Zwrrkfgx.ime(為隨機名稱)
模塊組件_鍵盤記錄
C:WindowsSystem32
Zwrrkfgx.drv(為隨機名稱)
模塊組件_DDOS
C:WindowsSystem32
Zwrrkfgx.log(為隨機名稱)
鍵盤記錄信息
C:WindowsSystem32Drivers
Zwrrkfgx.sys(為隨機名稱)
驅動文件_保護自身
通過加載釋放的Zwrrkfgx.dll 調用到導出函數ServiceMain,把代碼注入Svchost.exe進程并遠程創建一個線程執行注的
入代碼(在被注入的Svchost.exe進程中實際 只做了調用LoadLibraryW 加載自身到Svchost.exe進程里)。
Zwrrkfgx.dll注入到Svchost.exe進程里并遠程創建一個線程執行代碼,給系統動態加載NT驅動,并寫注冊表。
Svchost.exe會創建一個IE進程并將自身載入到IE進程中,與遠程主機進行通信。 在IE進程內會修改注冊表相關操作,
讓每次系統服務啟動的時候會自動啟動遠程控制軟件,并與服務端進行連接。
通過加載釋放的Zwrrkfgx.dll 調用到導出函數ServiceMain,把代碼注入Svchost.exe進程并遠程創建一個線程執行注的
入代碼(在被注入的Svchost.exe進程中實際 只做了調用LoadLibraryW 加載自身到Svchost.exe進程里)。
Zwrrkfgx.dll注入到Svchost.exe進程里并遠程創建一個線程執行代碼,給系統動態加載NT驅動,并寫注冊表。
Svchost.exe會創建一個IE進程并將自身載入到IE進程中,與遠程主機進行通信。
在IE進程內會修改注冊表相關操作,讓每次系統服務啟動的時候會自動啟動遠程控制軟件,并與服務端進行連接。
注冊表添加開機驅動自動啟動
IE完成此些操作以后會檢測當前可執行文件的位置,創建批處理命令自刪除Backdoor.PcShare.nd病毒。
病毒技術要點
Backdoor.PcShare.nd 隱藏在正常的簽名軟件目錄下,通過劫持DLL來完成自己被加載到內存,一般簽名的文件都是被殺
毒軟件認為是可信的,病毒作者利用簽名文件本身的漏洞,利用了簽名文件來加載自身至系統中得到可執行的機會,并且不
會被查殺。在對系統內核進行掛鉤的時候使用了讓驅動自己被服務管理器加載,而不是由進程加載,減少了一步驅動文件被
檢測。并讓病毒驅動文件優先于其他驅動加載。
病毒清理流程
1.檢測注冊表項下是否有對應的文件,找到直接刪除。
2.檢測目錄看是否有可疑項,找到直接刪除。
3.找到HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\SENS\PARAMETERS 注冊表下,查看鍵值ServiceDll的內
容是否為"%SystemRoot%\system32\sens.dll",如果不是sens.dll則可能已經中毒,建議手動清除注冊表項中的內容。
4.如果您無法分辨是否病毒,請安裝使用殺毒軟件對系統進行掃描,以清除系統服務的內存殘留病毒。
【來源:江民科技】


技術支持:  深圳市計算機安全應急服務中心
廣東安證計算機司法鑒定所
版權所有 2008-2009 © 中國網絡安全保障服務網 All Right Reserved
粵ICP備09101699號-1  

粵公網安備 44030502000970號

   
31选7中奖规则及奖金