病毒别名:Backdoor.Qwin.08.a[AVP]
处理时间:
威胁级别:★★
中文名称:虚假服务
病毒类型:木马
影响系统:WinNT
病毒行为:
这该病毒将自己创建并伪装成为系统服务QoSserver,同时通过创建远程线程的方式将系统目录下的文件QoSServer.dll它加载到系统进程LASS.EXE中执行,然后打开特定端口作为后门。其中QoSServer.dll是一个木马文件,它将伪装成系统进程与外部通信,从而让攻击者控制用户的电脑。
1.修改注册表:
添加主键和键值:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_QOSSERVER
"NextInstance"=dword:00000001
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_QOSSERVER�000
"Service"="QoSserver"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000000
"Class"="LegacyDriver"
"ClassGUID"="<系统相关>"
"DeviceDesc"="QoSserver"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_QOSSERVER�000Control
"*NewlyCreated*"=dword:00000000
"ActiveService"="QoSserver"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesQoSserver
"Type"=dword:00000010
"Start"=dword:00000002
"ErrorControl"=dword:00000000
"ImagePath"="<病毒的全路径>"
"DisplayName"="QoSserver"
"ObjectName"="LocalSystem"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesQoSserverSecurity
"Security"="<系统相关>"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesQoSserverEnum
"0"="RootLEGACY_QOSSERVER�000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
2.将自己创建为自动运行的服务QoSserver。
3.创建远程线程,尝试将%System%QoSServer.dll注入到进程LSASS.EXE中执行,在TCP端口8491打开后门。