| 導購 | 订阅 | 在线投稿
分享
 
 
 

Win32.Troj.Agent.dz.11636

2008-08-14 23:01:42  編輯來源:互聯網  简体版  手機版  評論  字體: ||
 
  病毒名稱(中文):

  機器狗變種11636

  病毒別名:

  機器狗,IGM

  

  威脅級別:

  ★★☆☆☆

  病毒類型:

  木馬下載器

  病毒長度:

  11636

  影響系統:

  Win9xWinMeWinNTWin2000WinXPWin2003

  

  病毒行爲:

  這是一個可以穿透還原軟件的病毒。病毒通過直接讀寫文件簇來繞過一些文件過濾系統的監視,病毒會釋放一個驅動來實現還原軟件的穿透,並修改系統文件USERINIT.EXE,中毒後每次開機就會下載大量木馬到本地運行。

  該病毒就解除還原系統的保護,使冰點、硬盤保護卡實效。接著,該病毒會利用MS06-014和MS07-017系統漏洞和等多個應用軟件漏洞,從http://xx.exiao***.com/、http://www.h***.biz/、http://www.xqh***.com/等惡意網址下載多款網遊木馬,盜取包括傳奇、魔獸世界、征途、奇迹等多款網遊帳號和密碼,嚴重威脅遊戲玩家數字財産的安全。正因爲冰點還原軟件和硬盤保護卡大多在網吧使用,因此網吧成爲該病毒發作的重災區。

  一、病毒運行後,病毒會釋放一個驅動文件pcihdd.sys到%system32%drivers\下,

  並創建服務加載它,加載完畢後就將其刪除.

  二、.病毒通過讀\\.\PhysicalDrive0(注,和\\.\PhysicalHardDisk0區別開來)來獲取MBR的信息,並根據MBR信息來判定第一分區是否爲啓動分區且分區類型爲病毒所支持的,若不是則不繼續破壞,目前該病毒支持FAT32,FAT32LBA,NTFS三種分區格式.

  三、病毒利用pcihdd.sys創建了\Device\PhysicalHardDisk0及其符號連接\\.\PhysicalHardDisk0來對病毒提供解密,破解還原軟件等功能.並只處理:

  IRP_MJ_CREATE,IRP_MJ_CLOSE,IRP_MJ_DEVICE_CONTROL.

  四、病毒感染%system32%Userinit.exe流程如下:

  1.病毒首先打開\\.\PhysicalHardDisk0,這時驅動便找到硬盤的驅動設備\Device\Harddisk0\DR0(實際就是\\.\PhysicalDrive0所指向的設備),並判定是否有被冰點之類還原軟件的設備所挂接,若有則解除還原軟件的挂接,是還原類軟件對\\.\PhysicalDrive0攔截失效.

  2.然後打開Userinit.exe,並利用FSCTL_GET_RETRIEVAL_POINTERS來獲取文件數據的分布信息,再將控制碼0xF0003C04發送給\\.\PhysicalHardDisk0來獲取解密的資源數據.

  3.最後,通過\\.\PhysicalDrive0將獲取的解密數據寫入到Userinit.exe的第一簇.由于病毒是直接修改文件簇的,所以感染後的Userinit.exe大小和屬性等信息是不變,唯一不同的是文件內容及版本信息.

  五、被修改後的Userinit.exe:

  1.查詢SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon下的Shell鍵值

  2.創建Shell進程

  3.等待網絡鏈接,當網絡鏈接暢通後,則從http://yu.8s7.net/cert.cer下載病毒列表

  4.對于列表中的文件每個文件,創建一個新線程下載並執行,線程計數加1

  5.等待所有線程結束後(線程計數爲0)結束進程.
 
病毒名稱(中文): 機器狗變種11636 病毒別名: 機器狗,IGM 威脅級別: ★★☆☆☆ 病毒類型: 木馬下載器 病毒長度: 11636 影響系統: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行爲: 這是一個可以穿透還原軟件的病毒。病毒通過直接讀寫文件簇來繞過一些文件過濾系統的監視,病毒會釋放一個驅動來實現還原軟件的穿透,並修改系統文件USERINIT.EXE,中毒後每次開機就會下載大量木馬到本地運行。 該病毒就解除還原系統的保護,使冰點、硬盤保護卡實效。接著,該病毒會利用MS06-014和MS07-017系統漏洞和等多個應用軟件漏洞,從http://xx.exiao***.com/、http://www.h***.biz/、http://www.xqh***.com/等惡意網址下載多款網遊木馬,盜取包括傳奇、魔獸世界、征途、奇迹等多款網遊帳號和密碼,嚴重威脅遊戲玩家數字財産的安全。正因爲冰點還原軟件和硬盤保護卡大多在網吧使用,因此網吧成爲該病毒發作的重災區。 一、病毒運行後,病毒會釋放一個驅動文件pcihdd.sys到%system32%drivers\下, 並創建服務加載它,加載完畢後就將其刪除. 二、.病毒通過讀\\.\PhysicalDrive0(注,和\\.\PhysicalHardDisk0區別開來)來獲取MBR的信息,並根據MBR信息來判定第一分區是否爲啓動分區且分區類型爲病毒所支持的,若不是則不繼續破壞,目前該病毒支持FAT32,FAT32LBA,NTFS三種分區格式. 三、病毒利用pcihdd.sys創建了\Device\PhysicalHardDisk0及其符號連接\\.\PhysicalHardDisk0來對病毒提供解密,破解還原軟件等功能.並只處理: IRP_MJ_CREATE,IRP_MJ_CLOSE,IRP_MJ_DEVICE_CONTROL. 四、病毒感染%system32%Userinit.exe流程如下: 1.病毒首先打開\\.\PhysicalHardDisk0,這時驅動便找到硬盤的驅動設備\Device\Harddisk0\DR0(實際就是\\.\PhysicalDrive0所指向的設備),並判定是否有被冰點之類還原軟件的設備所挂接,若有則解除還原軟件的挂接,是還原類軟件對\\.\PhysicalDrive0攔截失效. 2.然後打開Userinit.exe,並利用FSCTL_GET_RETRIEVAL_POINTERS來獲取文件數據的分布信息,再將控制碼0xF0003C04發送給\\.\PhysicalHardDisk0來獲取解密的資源數據. 3.最後,通過\\.\PhysicalDrive0將獲取的解密數據寫入到Userinit.exe的第一簇.由于病毒是直接修改文件簇的,所以感染後的Userinit.exe大小和屬性等信息是不變,唯一不同的是文件內容及版本信息. 五、被修改後的Userinit.exe: 1.查詢SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon下的Shell鍵值 2.創建Shell進程 3.等待網絡鏈接,當網絡鏈接暢通後,則從http://yu.8s7.net/cert.cer下載病毒列表 4.對于列表中的文件每個文件,創建一個新線程下載並執行,線程計數加1 5.等待所有線程結束後(線程計數爲0)結束進程.
󰈣󰈤
 
 
 
>>返回首頁<<
 
 
 
 
 熱帖排行
 
王朝網路微信公眾號
微信掃碼關註本站公眾號 wangchaonetcn
 
  免責聲明:本文僅代表作者個人觀點,與王朝網絡無關。王朝網絡登載此文出於傳遞更多信息之目的,並不意味著贊同其觀點或證實其描述,其原創性以及文中陳述文字和內容未經本站證實,對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,並請自行核實相關內容。
 
© 2005- 王朝網路 版權所有