首页|退出

11月27日病毒播报


发布者:网安网  发布时间:2012/11/27 10:58:00  阅读:12725

远程控制木马样本播报
病毒描述

病毒名称    :   Backdoor.PcShare.nd
文件MD5     :  CE062FB2830FA47DEE0CEDC2971B1847
文件大小    :  45,954 字节
编写环境    :  C++
是否加壳    :  否

文档公开级别 : 完全公开


病毒执行体描述:

    Backdoor.PcShare.nd 病毒伪装在正常签名软件的环境中,由被劫持的dll来加载执行,当Backdoor.PcShare.nd被
加载入内存中后,对系统进行破坏,释放驱动文件修改,对系统相关的操作进行监控,来保护自己不被查到,将自身复制到系
统目录下隐藏,修改系统注册表添加系统服务进行上线启动,注入到Svchost.exe中,以系统白信任的方式加载驱动到内核,
将自身通信服务注入到Internet Explorer中与远程服务端进行通信。并监视用户键盘的输入,保存在特定的位置,远程控
制服务端连接后会自动下载键盘记录的数据。


病毒行为流程分析:

一.传播途径
     通过对具有签名的可执行文件进行DLL的劫持来达到自身可以被加载到内存的机会,可执行文件的签名有效,在执行的
时候杀毒软件并不会去检测其内部的结构情况,会认为此可执行文件的进程是安全的,当被劫持的DLL被加载进内存后,首
先加载被加密的Backdoor.PcShare.nd 病毒,然后解密,在内存中定位文件结构,让其可执行。

二、执行流程
     Backdoor.PcShare.nd 病毒执行会先检测系统环境,得到系统目录,释放临时随机文件,文件名均为Z开头后7位
随机的 8位字符串(例如:Zwrrkfgx)。
释放目录
文件名称
文件作用
C:WindowsSystem32
Zwrrkfgx.dll(为随机名称)
远程控制核心文件
C:WindowsSystem32
Zwrrkfgx.ime(为随机名称)
模块组件_键盘记录
C:WindowsSystem32
Zwrrkfgx.drv(为随机名称)
模块组件_DDOS
C:WindowsSystem32
Zwrrkfgx.log(为随机名称)
键盘记录信息
C:WindowsSystem32Drivers
Zwrrkfgx.sys(为随机名称)
驱动文件_保护自身
通过加载释放的Zwrrkfgx.dll 调用到导出函数ServiceMain,把代码注入Svchost.exe进程并远程创建一个线程执行注的
入代码(在被注入的Svchost.exe进程中实际 只做了调用LoadLibraryW 加载自身到Svchost.exe进程里)。
Zwrrkfgx.dll注入到Svchost.exe进程里并远程创建一个线程执行代码,给系统动态加载NT驱动,并写注册表。
Svchost.exe会创建一个IE进程并将自身载入到IE进程中,与远程主机进行通信。 在IE进程内会修改注册表相关操作,
让每次系统服务启动的时候会自动启动远程控制软件,并与服务端进行连接。
通过加载释放的Zwrrkfgx.dll 调用到导出函数ServiceMain,把代码注入Svchost.exe进程并远程创建一个线程执行注的
入代码(在被注入的Svchost.exe进程中实际 只做了调用LoadLibraryW 加载自身到Svchost.exe进程里)。
Zwrrkfgx.dll注入到Svchost.exe进程里并远程创建一个线程执行代码,给系统动态加载NT驱动,并写注册表。
Svchost.exe会创建一个IE进程并将自身载入到IE进程中,与远程主机进行通信。
在IE进程内会修改注册表相关操作,让每次系统服务启动的时候会自动启动远程控制软件,并与服务端进行连接。
注册表添加开机驱动自动启动
IE完成此些操作以后会检测当前可执行文件的位置,创建批处理命令自删除Backdoor.PcShare.nd病毒。
病毒技术要点
Backdoor.PcShare.nd 隐藏在正常的签名软件目录下,通过劫持DLL来完成自己被加载到内存,一般签名的文件都是被杀
毒软件认为是可信的,病毒作者利用签名文件本身的漏洞,利用了签名文件来加载自身至系统中得到可执行的机会,并且不
会被查杀。在对系统内核进行挂钩的时候使用了让驱动自己被服务管理器加载,而不是由进程加载,减少了一步驱动文件被
检测。并让病毒驱动文件优先于其他驱动加载。
病毒清理流程
1.检测注册表项下是否有对应的文件,找到直接删除。
2.检测目录看是否有可疑项,找到直接删除。
3.找到HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\SENS\PARAMETERS 注册表下,查看键值ServiceDll的内
容是否为"%SystemRoot%\system32\sens.dll",如果不是sens.dll则可能已经中毒,建议手动清除注册表项中的内容。
4.如果您无法分辨是否病毒,请安装使用杀毒软件对系统进行扫描,以清除系统服务的内存残留病毒。
【来源:江民科技】


技术支持:  深圳市计算机安全应急服务中心
广东安证计算机司法鉴定所
版权所有 2008-2009 © 中国网络安全保障服务网 All Right Reserved
粤ICP备09101699号-1  

粤公网安备 44030502000970号