【转帖】后门程序Backdoor.Win32.Delf.fna(MsWinBox.exe)分析
[color=black][quote][/color][color=green][color=purple][color=darkorange][b]【系网络转帖,无样本】[/b]
[b]【因分析比较到位,特转】[/b]
[b][color=#0000ff][/color][/b][/color][/color][/color][/quote]
[b][color=#0000ff][/color][/b]
[quote]采用UPX加壳方式试图躲避特征码扫描,加壳后长度为24,064字节,图标为,病毒扩展名为exe,主要通过网页木马、文件捆绑的方式传播,病毒主要作为被入侵系统的后门使用。
[color=blue]该样本程序被执行后,在目录%SystemRoot%\system32下释放动态库MsWinBox.exe;使用相关API函数关闭服务beep,将%SystemRoot%\system32\drivers目录下系统驱动文件beep.sys读到内存中作为备份,之后替换系统驱动文件beep.sys为病毒驱动,使用相关API函数启动服务beep以加载病毒驱动,驱动加载成功后使用内存备份将[/color][b][color=red]beep.sys[/color][/b][color=blue]恢复为系统驱动;驱动的作用是:恢复SSDT,使部分杀毒软件的监控实效;使用相关API函数关闭服务W32Time,添加如下注册表健值,使用相关API函数启动服务W32Time以加载动态库MsWinBox.exe;
[/color]
注册表项:HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\
健值:ServiceDLL
指向数据:%SystemRoot%\System32\MsWinBox.exe
遍历进程查找explorer.exe,申请内存空间将动态库MsWinBox.exe写入,使用远程线程激活病毒代码实现代码注入逃避常规杀毒软件查杀;以命令行的方式删除病毒原文件;
动态库MsWinBox.exe加载运行后,使用API函数开启多个线程与黑客进行通讯,接受黑客的控制,使被病毒感染主机伦为傀儡主机。
[/quote]
[color=green][b][quote]【编后语】用hips防御此类病毒应该很容易。还是那句话,重者恒重:%SystemRoot%[/b]
[b]前面几个病毒样本分析已经提到,不用过多解释。[/quote][/b][/color]
[[i] 本帖最后由 pils 于 2008-7-3 00:00 编辑 [/i]] 真是勤劳的斑斑。[:01:] *** 作者被禁止或删除 内容自动屏蔽 ***
回复 3楼 spiha 的帖子
[quote]该样本程序被执行后,在目录%SystemRoot%\system32下释放动态库MsWinBox.exe;使用相关API函数关闭服务beep,将%SystemRoot%\system32\drivers目录下系统驱动文件beep.sys读到内存中作为备份,之后替换系统驱动文件beep.sys为病毒驱动,使用相关API函数启动服务beep以加载病毒驱动,驱动加载成功后使用内存备份将beep.sys恢复为系统驱动;驱动的作用是:恢复SSDT,使部分杀毒软件的监控实效;使用相关API函数关闭服务W32Time,添加如下注册表健值,使用相关API函数启动服务W32Time以加载动态库MsWinBox.exe;[/quote]这部分还是不错的。
期待Spiha大作。
页:
[1]