这是一个内核木马,它会把自己的进程,在注册表中的键值,创建的文件,创建的服务隐藏起来,尽最大可能不让受害者发现木马,以使木马长久驻留在受害者计算机中执行外界发来的特定命令。
1.该病毒会把自身复制为%System32%
tkit.exe并以服务的形式随计算机启动而运行.
2.在%System32%创建文件夹RtKit,该文件夹用来存放该内核木马得驱动程序npf.sys,记录文件rtkit.log,以及动态链接库globalc.dll。
3.加载木马释放的驱动程序npf.sys,HOOK了关键的内核API,释放的动态链接库globalc.dll作为木马与驱动程序通信的接口,木马根据配置文件ntrootkit.ini来隐藏进程,文件,注册表,服务等。
通过注册表的键值
HKEY_LOCAL_MACHINESOFTWARERtKitKeyName
"0"="HKLMSYSTEM*NPF"
"1"="HKLMSOFTWARERTKIT"
"2"="HKLMSYSTEM*RTKIT"
来通知驱动程序隐藏指定的注册表键值,以在注册表中隐藏自己。
通过注册表的键值
HKEY_LOCAL_MACHINESOFTWARERtKitFileDirName
"0"="*SYSTEM32RTKIT"
来通知驱动程序隐藏指定的文件或者文件夹,以隐藏自己的文件。
通过注册表的键值
HKEY_LOCAL_MACHINESOFTWARERtKitServName
"0"="RTKIT"
来通知驱动程序隐藏指定的服务,以隐藏自己的服务。
通过注册表的键值
HKEY_LOCAL_MACHINESOFTWARERtKitServName
"0"="RTKIT"
来通知驱动程序隐藏指定的服务,以隐藏自己的服务。
它还会隐藏自己的进程。
木马是否加载驱动程序标志:
HKEY_LOCAL_MACHINEsoftware
tkitIsUseDriver
加载服务:
NPF,该服务用来加载驱动程序。
RtKit,将自己注册为服务。将自己描述为"Window system rpc service"。
IpFilterDriver, 开设后门服务,隐藏TCP/UDP端口。
开放远程访问注册表服务(Remote Registry),以远程操作受害者计算机系统中的注册表,远程加载木马服务。
设置木马版本信息,为以后升级木马做准备:
HKEY_LOCAL_MACHINEsoftware
tkit
"MajorVersion"=0x1
"MinorVersion"=0x16
配置文件ntrootkit.ini中:
[HIDDEN PROCNAME]
保存要隐藏的进程名
[HIDDEN REGKEY]
保存要隐藏的注册表主键
[HIDDEN REGVALUE]
保存要隐藏的注册表键值
[HIDDEN FILEDIR]
保存要隐藏的文件夹
[HIDDEN SERVICE]
保存要隐藏的服务
[HIDDEN USER]
保存要隐藏的用户
[HIDDEN TCPPORT]
保存要隐藏的TCP端口
[HIDDEN UDPPORT]
保存要隐藏的UDP端口
使用Sniffer模式收发数据包以和外界通信。
4.窃取用户的系统资料,个人资料等。
5.记录用户的键盘输入,保存在文件rt_passfile.txt中,并会通过该木马泄露出去。
6.外界可以发送预定义的指令,如上传下载文件,运行程序,更新木马和配置文件,设置访问密码,对指定网址发动DDOS攻击等,
7.一旦中了该木马就很难清除,危害很大。
