| 導購 | 订阅 | 在线投稿
分享
 
 
 

Win32.Troj.Agent.dz.11636

2008-08-14 23:01:42  編輯來源:互聯網  简体版  手機版  評論  字體: ||
 
  病毒名称(中文):

  机器狗变种11636

  病毒别名:

  机器狗,IGM

  

  威胁级别:

  ★★☆☆☆

  病毒类型:

  木马下载器

  病毒长度:

  11636

  影响系统:

  Win9xWinMeWinNTWin2000WinXPWin2003

  

  病毒行为:

  这是一个可以穿透还原软件的病毒。病毒通过直接读写文件簇来绕过一些文件过滤系统的监视,病毒会释放一个驱动来实现还原软件的穿透,并修改系统文件USERINIT.EXE,中毒后每次开机就会下载大量木马到本地运行。

  该病毒就解除还原系统的保护,使冰点、硬盘保护卡实效。接着,该病毒会利用MS06-014和MS07-017系统漏洞和等多个应用软件漏洞,从http://xx.exiao***.com/、http://www.h***.biz/、http://www.xqh***.com/等恶意网址下载多款网游木马,盗取包括传奇、魔兽世界、征途、奇迹等多款网游帐号和密码,严重威胁游戏玩家数字财产的安全。正因为冰点还原软件和硬盘保护卡大多在网吧使用,因此网吧成为该病毒发作的重灾区。

  一、病毒运行后,病毒会释放一个驱动文件pcihdd.sys到%system32%drivers\下,

  并创建服务加载它,加载完毕后就将其删除.

  二、.病毒通过读\\.\PhysicalDrive0(注,和\\.\PhysicalHardDisk0区别开来)来获取MBR的信息,并根据MBR信息来判定第一分区是否为启动分区且分区类型为病毒所支持的,若不是则不继续破坏,目前该病毒支持FAT32,FAT32LBA,NTFS三种分区格式.

  三、病毒利用pcihdd.sys创建了\Device\PhysicalHardDisk0及其符号连接\\.\PhysicalHardDisk0来对病毒提供解密,破解还原软件等功能.并只处理:

  IRP_MJ_CREATE,IRP_MJ_CLOSE,IRP_MJ_DEVICE_CONTROL.

  四、病毒感染%system32%Userinit.exe流程如下:

  1.病毒首先打开\\.\PhysicalHardDisk0,这时驱动便找到硬盘的驱动设备\Device\Harddisk0\DR0(实际就是\\.\PhysicalDrive0所指向的设备),并判定是否有被冰点之类还原软件的设备所挂接,若有则解除还原软件的挂接,是还原类软件对\\.\PhysicalDrive0拦截失效.

  2.然后打开Userinit.exe,并利用FSCTL_GET_RETRIEVAL_POINTERS来获取文件数据的分布信息,再将控制码0xF0003C04发送给\\.\PhysicalHardDisk0来获取解密的资源数据.

  3.最后,通过\\.\PhysicalDrive0将获取的解密数据写入到Userinit.exe的第一簇.由于病毒是直接修改文件簇的,所以感染后的Userinit.exe大小和属性等信息是不变,唯一不同的是文件内容及版本信息.

  五、被修改后的Userinit.exe:

  1.查询SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon下的Shell键值

  2.创建Shell进程

  3.等待网络链接,当网络链接畅通后,则从http://yu.8s7.net/cert.cer下载病毒列表

  4.对于列表中的文件每个文件,创建一个新线程下载并执行,线程计数加1

  5.等待所有线程结束后(线程计数为0)结束进程.
 
 
 
病毒名称(中文): 机器狗变种11636 病毒别名: 机器狗,IGM 威胁级别: ★★☆☆☆ 病毒类型: 木马下载器 病毒长度: 11636 影响系统: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行为: 这是一个可以穿透还原软件的病毒。病毒通过直接读写文件簇来绕过一些文件过滤系统的监视,病毒会释放一个驱动来实现还原软件的穿透,并修改系统文件USERINIT.EXE,中毒后每次开机就会下载大量木马到本地运行。 该病毒就解除还原系统的保护,使冰点、硬盘保护卡实效。接着,该病毒会利用MS06-014和MS07-017系统漏洞和等多个应用软件漏洞,从http://xx.exiao***.com/、http://www.h***.biz/、http://www.xqh***.com/等恶意网址下载多款网游木马,盗取包括传奇、魔兽世界、征途、奇迹等多款网游帐号和密码,严重威胁游戏玩家数字财产的安全。正因为冰点还原软件和硬盘保护卡大多在网吧使用,因此网吧成为该病毒发作的重灾区。 一、病毒运行后,病毒会释放一个驱动文件pcihdd.sys到%system32%drivers\下, 并创建服务加载它,加载完毕后就将其删除. 二、.病毒通过读\\.\PhysicalDrive0(注,和\\.\PhysicalHardDisk0区别开来)来获取MBR的信息,并根据MBR信息来判定第一分区是否为启动分区且分区类型为病毒所支持的,若不是则不继续破坏,目前该病毒支持FAT32,FAT32LBA,NTFS三种分区格式. 三、病毒利用pcihdd.sys创建了\Device\PhysicalHardDisk0及其符号连接\\.\PhysicalHardDisk0来对病毒提供解密,破解还原软件等功能.并只处理: IRP_MJ_CREATE,IRP_MJ_CLOSE,IRP_MJ_DEVICE_CONTROL. 四、病毒感染%system32%Userinit.exe流程如下: 1.病毒首先打开\\.\PhysicalHardDisk0,这时驱动便找到硬盘的驱动设备\Device\Harddisk0\DR0(实际就是\\.\PhysicalDrive0所指向的设备),并判定是否有被冰点之类还原软件的设备所挂接,若有则解除还原软件的挂接,是还原类软件对\\.\PhysicalDrive0拦截失效. 2.然后打开Userinit.exe,并利用FSCTL_GET_RETRIEVAL_POINTERS来获取文件数据的分布信息,再将控制码0xF0003C04发送给\\.\PhysicalHardDisk0来获取解密的资源数据. 3.最后,通过\\.\PhysicalDrive0将获取的解密数据写入到Userinit.exe的第一簇.由于病毒是直接修改文件簇的,所以感染后的Userinit.exe大小和属性等信息是不变,唯一不同的是文件内容及版本信息. 五、被修改后的Userinit.exe: 1.查询SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon下的Shell键值 2.创建Shell进程 3.等待网络链接,当网络链接畅通后,则从http://yu.8s7.net/cert.cer下载病毒列表 4.对于列表中的文件每个文件,创建一个新线程下载并执行,线程计数加1 5.等待所有线程结束后(线程计数为0)结束进程.
󰈣󰈤
 
 
 
>>返回首頁<<
 
 
 
 
 
 熱帖排行
 
 
王朝网络微信公众号
微信扫码关注本站公众号 wangchaonetcn
 
  免责声明:本文仅代表作者个人观点,与王朝网络无关。王朝网络登载此文出于传递更多信息之目的,并不意味著赞同其观点或证实其描述,其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
© 2005- 王朝網路 版權所有