病毒名称(中文):
黑客保卫者
病毒别名:
Backdoor.HacDef.b【AVP】Backdoor.HacDef.084【KV】
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
92160
影响系统:
WinNTWin2000WinXPWin2003
病毒行为:
编写工具:
传染条件:
发作条件:
系统修改:
A、在当前文件夹生产驱动程序,名字由配置文件中相应的部分指定,可能为isplogger.sys。然后该驱动程序,并将自己提升为服务程序。
B、在注册表添加以下主键或者键值:
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesispLog]
"Type"=dword:00000010
"Start"=dword:00000002
"ErrorControl"=dword:00000000
"ImagePath"="<木马主程序所在的路径>"
"DisplayName"="IspLogger"
"ObjectName"="LocalSystem"
"Description"="LogsCriticalErrors"
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesispLogSecurity]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,
00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,
05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,
20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,
00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesispLogEnum]
"0"="Root\LEGACY_ISPLOG\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_ISPLOG]
"NextInstance"=dword:00000001
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_ISPLOG000]
"Service"="ispLog"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000000
"Class"="LegacyDriver"
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc"="IspLogger"
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_ISPLOG000Control]
"*NewlyCreated*"=dword:00000000
"ActiveService"="ispLog"
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_ISPLOGG]
"NextInstance"=dword:00000001
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_ISPLOGG000]
"Service"="isplogg"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000000
"Class"="LegacyDriver"
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc"="isplogg"
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_ISPLOGG000Control]
"*NewlyCreated*"=dword:00000000
"ActiveService"="isplogg"
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalispLog]
@="Service"
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootNetworkispLog]
@="Service"
发作现象:
由于木马使用了驱动程序来隐藏自己,所以现象是无声无息。木马的驱动程序中HOOK了文件,注册表,进程以及服务相关的一系列内核API,通过配置文件,
是中了此木马的用户:
A、看不到指定的一些文件,比如isp*.ini和isp*.exe等文件;
B、看不到指定的一些进程,比如isplog.exe,rcmd.exe,R_server.exe;
C、看不到指定的一些服务,比如ispLog,r_server;
D、看不到注册表的指定键值,比如包含字符串ispLog,LEGACY_ISPLOG,isplogg,LEGACY_ISPLOGG的主键或者键值;
E、开机运行一些指定的程序;
F、开放一些指定的TCP和UDP后门端口;
另外,还可以设置未授权访问用户密码,后门的外壳程序,文件映射名字,木马服务名,木马服务描述名,木马服务的描述,加载的驱动程序名,
以及驱动程序文件名等。
非凡说明:
1.此内核木马由以下几个文件组成
r.bat安装木马的批处理文件
AdmDll.dll链接库文件,供R_server.exe使用
raddrv.dll链接库文件
isplog.ini木马程序的配置文件
radmin.reg木马程序的注册表配置文件
isplog.exe木马的主体程序
LogKiller.exe日志清除程序
R_server.exe木马服务安装以及监听程序