| 導購 | 订阅 | 在线投稿
分享
 
 
 

Win32.Troj.Agent.dz.11636

來源:互聯網網民  2008-08-14 23:01:42  評論

病毒名稱(中文):

機器狗變種11636

病毒別名:

機器狗,IGM

威脅級別:

★★☆☆☆

病毒類型:

木馬下載器

病毒長度:

11636

影響系統:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行爲:

這是一個可以穿透還原軟件的病毒。病毒通過直接讀寫文件簇來繞過一些文件過濾系統的監視,病毒會釋放一個驅動來實現還原軟件的穿透,並修改系統文件USERINIT.EXE,中毒後每次開機就會下載大量木馬到本地運行。

該病毒就解除還原系統的保護,使冰點、硬盤保護卡實效。接著,該病毒會利用MS06-014和MS07-017系統漏洞和等多個應用軟件漏洞,從http://xx.exiao***.com/、http://www.h***.biz/、http://www.xqh***.com/等惡意網址下載多款網遊木馬,盜取包括傳奇、魔獸世界、征途、奇迹等多款網遊帳號和密碼,嚴重威脅遊戲玩家數字財産的安全。正因爲冰點還原軟件和硬盤保護卡大多在網吧使用,因此網吧成爲該病毒發作的重災區。

一、病毒運行後,病毒會釋放一個驅動文件pcihdd.sys到%system32%drivers\下,

並創建服務加載它,加載完畢後就將其刪除.

二、.病毒通過讀\\.\PhysicalDrive0(注,和\\.\PhysicalHardDisk0區別開來)來獲取MBR的信息,並根據MBR信息來判定第一分區是否爲啓動分區且分區類型爲病毒所支持的,若不是則不繼續破壞,目前該病毒支持FAT32,FAT32LBA,NTFS三種分區格式.

三、病毒利用pcihdd.sys創建了\Device\PhysicalHardDisk0及其符號連接\\.\PhysicalHardDisk0來對病毒提供解密,破解還原軟件等功能.並只處理:

IRP_MJ_CREATE,IRP_MJ_CLOSE,IRP_MJ_DEVICE_CONTROL.

四、病毒感染%system32%Userinit.exe流程如下:

1.病毒首先打開\\.\PhysicalHardDisk0,這時驅動便找到硬盤的驅動設備\Device\Harddisk0\DR0(實際就是\\.\PhysicalDrive0所指向的設備),並判定是否有被冰點之類還原軟件的設備所挂接,若有則解除還原軟件的挂接,是還原類軟件對\\.\PhysicalDrive0攔截失效.

2.然後打開Userinit.exe,並利用FSCTL_GET_RETRIEVAL_POINTERS來獲取文件數據的分布信息,再將控制碼0xF0003C04發送給\\.\PhysicalHardDisk0來獲取解密的資源數據.

3.最後,通過\\.\PhysicalDrive0將獲取的解密數據寫入到Userinit.exe的第一簇.由于病毒是直接修改文件簇的,所以感染後的Userinit.exe大小和屬性等信息是不變,唯一不同的是文件內容及版本信息.

五、被修改後的Userinit.exe:

1.查詢SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon下的Shell鍵值

2.創建Shell進程

3.等待網絡鏈接,當網絡鏈接暢通後,則從http://yu.8s7.net/cert.cer下載病毒列表

4.對于列表中的文件每個文件,創建一個新線程下載並執行,線程計數加1

5.等待所有線程結束後(線程計數爲0)結束進程.

 
特别声明:以上内容(如有图片或视频亦包括在内)为网络用户发布,本站仅提供信息存储服务。
 
病毒名稱(中文): 機器狗變種11636 病毒別名: 機器狗,IGM 威脅級別: ★★☆☆☆ 病毒類型: 木馬下載器 病毒長度: 11636 影響系統: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行爲: 這是一個可以穿透還原軟件的病毒。病毒通過直接讀寫文件簇來繞過一些文件過濾系統的監視,病毒會釋放一個驅動來實現還原軟件的穿透,並修改系統文件USERINIT.EXE,中毒後每次開機就會下載大量木馬到本地運行。 該病毒就解除還原系統的保護,使冰點、硬盤保護卡實效。接著,該病毒會利用MS06-014和MS07-017系統漏洞和等多個應用軟件漏洞,從http://xx.exiao***.com/、http://www.h***.biz/、http://www.xqh***.com/等惡意網址下載多款網遊木馬,盜取包括傳奇、魔獸世界、征途、奇迹等多款網遊帳號和密碼,嚴重威脅遊戲玩家數字財産的安全。正因爲冰點還原軟件和硬盤保護卡大多在網吧使用,因此網吧成爲該病毒發作的重災區。 一、病毒運行後,病毒會釋放一個驅動文件pcihdd.sys到%system32%drivers\下, 並創建服務加載它,加載完畢後就將其刪除. 二、.病毒通過讀\\.\PhysicalDrive0(注,和\\.\PhysicalHardDisk0區別開來)來獲取MBR的信息,並根據MBR信息來判定第一分區是否爲啓動分區且分區類型爲病毒所支持的,若不是則不繼續破壞,目前該病毒支持FAT32,FAT32LBA,NTFS三種分區格式. 三、病毒利用pcihdd.sys創建了\Device\PhysicalHardDisk0及其符號連接\\.\PhysicalHardDisk0來對病毒提供解密,破解還原軟件等功能.並只處理: IRP_MJ_CREATE,IRP_MJ_CLOSE,IRP_MJ_DEVICE_CONTROL. 四、病毒感染%system32%Userinit.exe流程如下: 1.病毒首先打開\\.\PhysicalHardDisk0,這時驅動便找到硬盤的驅動設備\Device\Harddisk0\DR0(實際就是\\.\PhysicalDrive0所指向的設備),並判定是否有被冰點之類還原軟件的設備所挂接,若有則解除還原軟件的挂接,是還原類軟件對\\.\PhysicalDrive0攔截失效. 2.然後打開Userinit.exe,並利用FSCTL_GET_RETRIEVAL_POINTERS來獲取文件數據的分布信息,再將控制碼0xF0003C04發送給\\.\PhysicalHardDisk0來獲取解密的資源數據. 3.最後,通過\\.\PhysicalDrive0將獲取的解密數據寫入到Userinit.exe的第一簇.由于病毒是直接修改文件簇的,所以感染後的Userinit.exe大小和屬性等信息是不變,唯一不同的是文件內容及版本信息. 五、被修改後的Userinit.exe: 1.查詢SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon下的Shell鍵值 2.創建Shell進程 3.等待網絡鏈接,當網絡鏈接暢通後,則從http://yu.8s7.net/cert.cer下載病毒列表 4.對于列表中的文件每個文件,創建一個新線程下載並執行,線程計數加1 5.等待所有線程結束後(線程計數爲0)結束進程.
󰈣󰈤
王朝萬家燈火計劃
期待原創作者加盟
 
 
 
>>返回首頁<<
 
 
 
 
 
 熱帖排行
 
 
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有