通过加载释放的Zwrrkfgx.dll 调用到导出函数ServiceMain,把代码注入Svchost.exe进程并远程创建一个线程执行注的
入代码(在被注入的Svchost.exe进程中实际 只做了调用LoadLibraryW 加载自身到Svchost.exe进程里)。
Zwrrkfgx.dll注入到Svchost.exe进程里并远程创建一个线程执行代码,给系统动态加载NT驱动,并写注册表。
Svchost.exe会创建一个IE进程并将自身载入到IE进程中,与远程主机进行通信。 在IE进程内会修改注册表相关操作,
让每次系统服务启动的时候会自动启动远程控制软件,并与服务端进行连接。
通过加载释放的Zwrrkfgx.dll 调用到导出函数ServiceMain,把代码注入Svchost.exe进程并远程创建一个线程执行注的
入代码(在被注入的Svchost.exe进程中实际 只做了调用LoadLibraryW 加载自身到Svchost.exe进程里)。
Zwrrkfgx.dll注入到Svchost.exe进程里并远程创建一个线程执行代码,给系统动态加载NT驱动,并写注册表。
Svchost.exe会创建一个IE进程并将自身载入到IE进程中,与远程主机进行通信。
在IE进程内会修改注册表相关操作,让每次系统服务启动的时候会自动启动远程控制软件,并与服务端进行连接。
注册表添加开机驱动自动启动
IE完成此些操作以后会检测当前可执行文件的位置,创建批处理命令自删除Backdoor.PcShare.nd病毒。
病毒技术要点
Backdoor.PcShare.nd 隐藏在正常的签名软件目录下,通过劫持DLL来完成自己被加载到内存,一般签名的文件都是被杀
毒软件认为是可信的,病毒作者利用签名文件本身的漏洞,利用了签名文件来加载自身至系统中得到可执行的机会,并且不
会被查杀。在对系统内核进行挂钩的时候使用了让驱动自己被服务管理器加载,而不是由进程加载,减少了一步驱动文件被
检测。并让病毒驱动文件优先于其他驱动加载。
病毒清理流程
1.检测注册表项下是否有对应的文件,找到直接删除。
2.检测目录看是否有可疑项,找到直接删除。
3.找到HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\SENS\PARAMETERS 注册表下,查看键值ServiceDll的内
容是否为"%SystemRoot%\system32\sens.dll",如果不是sens.dll则可能已经中毒,建议手动清除注册表项中的内容。
4.如果您无法分辨是否病毒,请安装使用杀毒软件对系统进行扫描,以清除系统服务的内存残留病毒。
【来源:江民科技】