病毒名称(中文):
木马攻击模块4608
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马程序
病毒长度:
4608
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是某木马的组成模块,用于对抗具有主动防御功能的杀毒软件和一些安全工具。它能通过还原SSDT表的方式,使得一些杀软的主动防御功能失效,并解除部分安全工具对系统的保护,为整个木马的下一步作案扫清障碍。
使用IoRegisterDriverReinitialization把驱动自身的一个函数注册为驱动初始化时的一个回调函数。
恢复SSDT.
把设备"\Driver\atapi"的处理例程全部修改为病毒的某个函数(使这个例程函数不执行任何操作).IRP_MJ_DEVICE_CONTROL、IRP_MJ_INTERNAL_DEVICE_CONTROL、IRP_MJ_POWER、IRP_MJ_SYSTEM_CONTROL、IRP_MJ_PNP这五个处理例程指向原来的.
把设备"\Driver\Disk"的处理例程全部修改为指向IRP_MJ_CREATE的处理例程.
通过在ZwAccessCheckAndAuditAlarm取得KiSystemService的地址,在KiSystemService函数地址头开始搜索指定指令(范围为300h),搜索的指令为"MOVEBX,DWORDPTRDS:[EDI+EAX*4]",搜索到则向后三位(即该条指令后),还原五个字节.
引用"\Driver\SafeDog"的对象,还原IoGetDeviceObjectPointer的头五个字节,然后对DgbPrint进行InlineHook,jmp到本驱动的一个函数。
