病毒名称(中文):
病毒别名:
Backdoor.RootKit.122[KV]
威胁级别:
★★☆☆☆
病毒类型:
木马程序
病毒长度:
108544
影响系统:
Win9xWinNT
病毒行为:
这是一个内核木马,它会把自己的进程,在注册表中的键值,创建的文件,创建的服务隐藏起来,尽最大可能不让受害者发现木马,以使木马长久驻留在受害者计算机中执行外界发来的特定命令。
1.该病毒会把自身复制为%System32%\rtkit.exe并以服务的形式随计算机启动而运行.
2.在%System32%\创建文件夹RtKit,该文件夹用来存放该内核木马得驱动程序npf.sys,记录文件rtkit.log,以及动态链接库globalc.dll。
3.加载木马释放的驱动程序npf.sys,HOOK了要害的内核API,释放的动态链接库globalc.dll作为木马与驱动程序通信的接口,木马根据配置文件ntrootkit.ini来隐藏进程,文件,注册表,服务等。
通过注册表的键值
HKEY_LOCAL_MACHINE\SOFTWARE\RtKit\KeyName
"0"="HKLM\SYSTEM\*NPF"
"1"="HKLM\SOFTWARE\RTKIT"
"2"="HKLM\SYSTEM\*RTKIT"
来通知驱动程序隐藏指定的注册表键值,以在注册表中隐藏自己。
通过注册表的键值
HKEY_LOCAL_MACHINE\SOFTWARE\RtKit\FileDirName
"0"="*SYSTEM32\RTKIT"
来通知驱动程序隐藏指定的文件或者文件夹,以隐藏自己的文件。
通过注册表的键值
HKEY_LOCAL_MACHINE\SOFTWARE\RtKit\ServName
"0"="RTKIT"
来通知驱动程序隐藏指定的服务,以隐藏自己的服务。
通过注册表的键值
HKEY_LOCAL_MACHINE\SOFTWARE\RtKit\ServName
"0"="RTKIT"
来通知驱动程序隐藏指定的服务,以隐藏自己的服务。
它还会隐藏自己的进程。
木马是否加载驱动程序标志:
HKEY_LOCAL_MACHINE\software\rtkit\IsUseDriver
加载服务:
NPF,该服务用来加载驱动程序。
RtKit,将自己注册为服务。将自己描述为"Windowsystemrpcservice"。
IpFilterDriver,开设后门服务,隐藏TCP/UDP端口。
开放远程访问注册表服务(RemoteRegistry),以远程操作受害者计算机系统中的注册表,远程加载木马服务。
设置木马版本信息,为以后升级木马做预备:
HKEY_LOCAL_MACHINE\software\rtkit
"MajorVersion"=0x1
"MinorVersion"=0x16
配置文件ntrootkit.ini中:
[HIDDENPROCNAME]
保存要隐藏的进程名
[HIDDENREGKEY]
保存要隐藏的注册表主键
[HIDDENREGVALUE]
保存要隐藏的注册表键值
[HIDDENFILEDIR]
保存要隐藏的文件夹
[HIDDENSERVICE]
保存要隐藏的服务
[HIDDENUSER]
保存要隐藏的用户
[HIDDENTCPPORT]
保存要隐藏的TCP端口
[HIDDENUDPPORT]
保存要隐藏的UDP端口
使用Sniffer模式收发数据包以和外界通信。
4.窃取用户的系统资料,个人资料等。
5.记录用户的键盘输入,保存在文件rt_passfile.txt中,并会通过该木马泄露出去。
6.外界可以发送预定义的指令,如上传下载文件,运行程序,更新木马和配置文件,设置访问密码,对指定网址发动DDOS攻击等,
7.一旦中了该木马就很难清除,危害很大。
