远程控制木马样本播报
作者: admin 点击次数: 添加时间: 2012-11-28
病毒描述
病毒名称:Backdoor.PcShare.nd
文件MD5:CE062FB2830FA47DEE0CEDC2971B1847
文件大小:45,954 字节
编写环境:C++
是否加壳:否
文档公开级别 :完全公开
病毒执行体描述:
Backdoor.PcShare.nd 病毒伪装在正常签名软件的环境中,由被劫持的dll来加载执行,当Backdoor.PcShare.nd被加载入内存中后,对系统进行破坏,释放驱动文件修改,对系统相关的操作进行监控,来保护自己不被查到,将自身复制到系统目录下隐藏,修改系统注册表添加系统服务进行上线启动,注入到Svchost.exe中,以系统白信任的方式加载驱动到内核,将自身通信服务注入到Internet Explorer中与远程服务端进行通信。并监视用户键盘的输入,保存在特定的位置,远程控制服务端连接后会自动下载键盘记录的数据。
病毒行为流程分析:
一.传播途径
通过对具有签名的可执行文件进行DLL的劫持来达到自身可以被加载到内存的机会,可执行文件的签名有效,在执行的时候杀毒软件并不会去检测其内部的结构情况,会认为此可执行文件的进程是安全的,当被劫持的DLL被加载进内存后,首先加载被加密的Backdoor.PcShare.nd 病毒,然后解密,在内存中定位文件结构,让其可执行。
二、执行流程
Backdoor.PcShare.nd 病毒执行会先检测系统环境,得到系统目录,释放临时随机文件,文件名均为Z开头后7位随机的 8位字符串(例如:Zwrrkfgx)。
| 释放目录 | 文件名称 | 文件作用 |
| C:WindowsSystem32 | Zwrrkfgx.dll(为随机名称) | 远程控制核心文件 |
| C:WindowsSystem32 | Zwrrkfgx.ime(为随机名称) | 模块组件_键盘记录 |
| C:WindowsSystem32 | Zwrrkfgx.drv(为随机名称) | 模块组件_DDOS |
| C:WindowsSystem32 | Zwrrkfgx.log(为随机名称) | 键盘记录信息 |
| C:WindowsSystem32Drivers | Zwrrkfgx.sys(为随机名称) | 驱动文件_保护自身 |
通过加载释放的Zwrrkfgx.dll 调用到导出函数ServiceMain,把代码注入Svchost.exe进程并远程创建一个线程执行注的入代码(在被注入的Svchost.exe进程中实际 只做了调用LoadLibraryW 加载自身到Svchost.exe进程里)。
Zwrrkfgx.dll注入到Svchost.exe进程里并远程创建一个线程执行代码,给系统动态加载NT驱动,并写注册表。Svchost.exe会创建一个IE进程并将自身载入到IE进程中,与远程主机进行通信。
在IE进程内会修改注册表相关操作,让每次系统服务启动的时候会自动启动远程控制软件,并与服务端进行连接。
修改注册表供存放远程控制核心文件位置
| 注册表 | 键值 | 内容 |
| MKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\SENS\PARAMETERS\ | Service Dll | C:\Windows\System32\Zwrrkfgx.dll(为随机名称) |
| MKLM\SYSTEM\CONTROLSET001\SERVICES\SENS\PARAMETERS\ | Service Dll | C:\Windows\System32\Zwrrkfgx.dll(为随机名称) |
| MKLM\SYSTEM\CONTROLSET002\SERVICES\SENS\PARAMETERS\ | Service Dll | C:\Windows\System32\Zwrrkfgx.dll(为随机名称) |
通过加载释放的Zwrrkfgx.dll 调用到导出函数ServiceMain,把代码注入Svchost.exe进程并远程创建一个线程执行注的入代码(在被注入的Svchost.exe进程中实际 只做了调用LoadLibraryW 加载自身到Svchost.exe进程里)。
Zwrrkfgx.dll注入到Svchost.exe进程里并远程创建一个线程执行代码,给系统动态加载NT驱动,并写注册表。Svchost.exe会创建一个IE进程并将自身载入到IE进程中,与远程主机进行通信。
在IE进程内会修改注册表相关操作,让每次系统服务启动的时候会自动启动远程控制软件,并与服务端进行连接。
| API名称 | 作用 |
| NtDeviceIoControlFile | 拦截一些收发包的数据,比如打开杀毒网页等等 |
| NtEnumerateKey | 防止自身注册表被枚举 |
| NtOpenKey | 防止自身注册表被枚举 |
| NtQueryDirectoryFile | 自身文件隐藏 |
| NtQuerySystemInformation | 系统信息查询,进程或线程等 |
注册表添加开机驱动自动启动
注:红色为创建,并开机自动启动
| 注册表 | 键值 | 内容 |
| HKLM\System\CurrentControlSet\Services\Zwrrkfgx | Type | 0x1 |
| Start | 0x2 | |
| ErrorControl | 0x1 | |
| ImagePath | "\??\c:\WINDOWS\system32\drivers\Zwrrkfgx.sys" | |
| DisplayName | "Zwrrkfgx" | |
| HKLM\System\CurrentControlSet\Services\Zwrrkfgx\Security | Security | 01 00 14 80 90 00 00 00 |
| MKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\Zwrrkfgx\Enum | 0 | "Root\LEGACY_ZWRRKFGX\000" |
| Count | 0x1 | |
| NexInstance | 0x1 |
IE完成此些操作以后会检测当前可执行文件的位置,创建批处理命令自删除Backdoor.PcShare.nd病毒。
| 链接地址 | 端口 | 是否回应 |
| 59.212.10.201 | 8000 | 否 |
病毒技术要点
Backdoor.PcShare.nd 隐藏在正常的签名软件目录下,通过劫持DLL来完成自己被加载到内存,一般签名的文件都是被杀毒软件认为是可信的,病毒作者利用签名文件本身的漏洞,利用了签名文件来加载自身至系统中得到可执行的机会,并且不会被查杀。在对系统内核进行挂钩的时候使用了让驱动自己被服务管理器加载,而不是由进程加载,减少了一步驱动文件被检测。并让病毒驱动文件优先于其他驱动加载。
病毒清理流程
1.检测注册表项下是否有对应的文件,找到直接删除。
2.检测目录看是否有可疑项,找到直接删除。
3.找到HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\SENS\PARAMETERS注册表下,查看键值ServiceDll的内容是否为"%SystemRoot%\system32\sens.dll",如果不是sens.dll则可能已经中毒,建议手动清除注册表项中的内容。
4.如果您无法分辨是否病毒,请安装使用江民杀毒软件对系统进行扫描,以清除系统服务的内存残留病毒。
来源:江民科技
- 上一条:
- 联想昭阳K29A笔记本样机推广
- 下一条:
- 2012年年终总经理奖项评选开始啦