Win32.Troj.Agent.dz.11636

2008-08-14 23:01:42  編輯來源:互聯網  简体版  手機版  評論  字體: 小|中|大

 

　　病毒名稱(中文):

　　機器狗變種11636

　　病毒別名:

　　機器狗,IGM

　　

　　威脅級別:

　　★★☆☆☆

　　病毒類型:

　　木馬下載器

　　病毒長度:

　　11636

　　影響系統:

　　Win9xWinMeWinNTWin2000WinXPWin2003

　　

　　病毒行爲:

　　這是一個可以穿透還原軟件的病毒。病毒通過直接讀寫文件簇來繞過一些文件過濾系統的監視，病毒會釋放一個驅動來實現還原軟件的穿透，並修改系統文件USERINIT.EXE，中毒後每次開機就會下載大量木馬到本地運行。

　　該病毒就解除還原系統的保護，使冰點、硬盤保護卡實效。接著，該病毒會利用MS06-014和MS07-017系統漏洞和等多個應用軟件漏洞，從http://xx.exiao***.com/、http://www.h***.biz/、http://www.xqh***.com/等惡意網址下載多款網遊木馬，盜取包括傳奇、魔獸世界、征途、奇迹等多款網遊帳號和密碼，嚴重威脅遊戲玩家數字財産的安全。正因爲冰點還原軟件和硬盤保護卡大多在網吧使用，因此網吧成爲該病毒發作的重災區。

　　一、病毒運行後，病毒會釋放一個驅動文件pcihdd.sys到%system32%drivers\下,

　　並創建服務加載它,加載完畢後就將其刪除.

　　二、.病毒通過讀\\.\PhysicalDrive0(注,和\\.\PhysicalHardDisk0區別開來)來獲取MBR的信息,並根據MBR信息來判定第一分區是否爲啓動分區且分區類型爲病毒所支持的,若不是則不繼續破壞,目前該病毒支持FAT32,FAT32LBA,NTFS三種分區格式.

　　三、病毒利用pcihdd.sys創建了\Device\PhysicalHardDisk0及其符號連接\\.\PhysicalHardDisk0來對病毒提供解密,破解還原軟件等功能.並只處理:

　　IRP_MJ_CREATE,IRP_MJ_CLOSE,IRP_MJ_DEVICE_CONTROL.

　　四、病毒感染%system32%Userinit.exe流程如下:

　　1.病毒首先打開\\.\PhysicalHardDisk0,這時驅動便找到硬盤的驅動設備\Device\Harddisk0\DR0(實際就是\\.\PhysicalDrive0所指向的設備),並判定是否有被冰點之類還原軟件的設備所挂接,若有則解除還原軟件的挂接,是還原類軟件對\\.\PhysicalDrive0攔截失效.

　　2.然後打開Userinit.exe,並利用FSCTL_GET_RETRIEVAL_POINTERS來獲取文件數據的分布信息,再將控制碼0xF0003C04發送給\\.\PhysicalHardDisk0來獲取解密的資源數據.

　　3.最後,通過\\.\PhysicalDrive0將獲取的解密數據寫入到Userinit.exe的第一簇.由于病毒是直接修改文件簇的,所以感染後的Userinit.exe大小和屬性等信息是不變,唯一不同的是文件內容及版本信息.

　　五、被修改後的Userinit.exe:

　　1.查詢SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon下的Shell鍵值

　　2.創建Shell進程

　　3.等待網絡鏈接，當網絡鏈接暢通後，則從http://yu.8s7.net/cert.cer下載病毒列表

　　4.對于列表中的文件每個文件,創建一個新線程下載並執行,線程計數加1

　　5.等待所有線程結束後（線程計數爲0）結束進程.

 

病毒名稱(中文): 機器狗變種11636 病毒別名: 機器狗,IGM 威脅級別: ★★☆☆☆ 病毒類型: 木馬下載器 病毒長度: 11636 影響系統: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行爲: 這是一個可以穿透還原軟件的病毒。病毒通過直接讀寫文件簇來繞過一些文件過濾系統的監視，病毒會釋放一個驅動來實現還原軟件的穿透，並修改系統文件USERINIT.EXE，中毒後每次開機就會下載大量木馬到本地運行。 該病毒就解除還原系統的保護，使冰點、硬盤保護卡實效。接著，該病毒會利用MS06-014和MS07-017系統漏洞和等多個應用軟件漏洞，從http://xx.exiao***.com/、http://www.h***.biz/、http://www.xqh***.com/等惡意網址下載多款網遊木馬，盜取包括傳奇、魔獸世界、征途、奇迹等多款網遊帳號和密碼，嚴重威脅遊戲玩家數字財産的安全。正因爲冰點還原軟件和硬盤保護卡大多在網吧使用，因此網吧成爲該病毒發作的重災區。 一、病毒運行後，病毒會釋放一個驅動文件pcihdd.sys到%system32%drivers\下, 並創建服務加載它,加載完畢後就將其刪除. 二、.病毒通過讀\\.\PhysicalDrive0(注,和\\.\PhysicalHardDisk0區別開來)來獲取MBR的信息,並根據MBR信息來判定第一分區是否爲啓動分區且分區類型爲病毒所支持的,若不是則不繼續破壞,目前該病毒支持FAT32,FAT32LBA,NTFS三種分區格式. 三、病毒利用pcihdd.sys創建了\Device\PhysicalHardDisk0及其符號連接\\.\PhysicalHardDisk0來對病毒提供解密,破解還原軟件等功能.並只處理: IRP_MJ_CREATE,IRP_MJ_CLOSE,IRP_MJ_DEVICE_CONTROL. 四、病毒感染%system32%Userinit.exe流程如下: 1.病毒首先打開\\.\PhysicalHardDisk0,這時驅動便找到硬盤的驅動設備\Device\Harddisk0\DR0(實際就是\\.\PhysicalDrive0所指向的設備),並判定是否有被冰點之類還原軟件的設備所挂接,若有則解除還原軟件的挂接,是還原類軟件對\\.\PhysicalDrive0攔截失效. 2.然後打開Userinit.exe,並利用FSCTL_GET_RETRIEVAL_POINTERS來獲取文件數據的分布信息,再將控制碼0xF0003C04發送給\\.\PhysicalHardDisk0來獲取解密的資源數據. 3.最後,通過\\.\PhysicalDrive0將獲取的解密數據寫入到Userinit.exe的第一簇.由于病毒是直接修改文件簇的,所以感染後的Userinit.exe大小和屬性等信息是不變,唯一不同的是文件內容及版本信息. 五、被修改後的Userinit.exe: 1.查詢SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon下的Shell鍵值 2.創建Shell進程 3.等待網絡鏈接，當網絡鏈接暢通後，則從http://yu.8s7.net/cert.cer下載病毒列表 4.對于列表中的文件每個文件,創建一個新線程下載並執行,線程計數加1 5.等待所有線程結束後（線程計數爲0）結束進程.