Backdoor.Win32.Haxdoor.du分析
Backdoor.Win32.Haxdoor.du分析一、 病毒标签:
病毒名称: Backdoor.Win32.Haxdoor.du
病毒类型: 后门类
文件 MD5: 01E413B17A1F77277EDEB8668581FA53
公开范围: 完全公开
危害等级: 4
文件长度: 197,559 字节
感染系统: windows 98以上版本
加壳类型: 未知壳
二、 病毒描述:
该病毒为后门类,病毒运行后衍生大量病毒文件,修改多处注册表键值,并创建服务,并以服务的方式达到启动的目的。设置远程线程来执行avpx32.dll,在执行时将avpx32.dll插入到EXPLORER.EXE进程和其它相关进程中。该病毒利用SSDT Hook技术来实现注册表、文件、运行的DLL等的隐藏,在使用正常的文件,注册表,DLL查看器查看时看不到该病毒的信息,不能对其进行任何操作;从而对清除该病毒带来了一定的困难,使该病毒的生命周期更长久。
三、 行为分析:
1、病毒运行后衍生病毒文件如下:
%DOCUME~1%\(当前用户)\LOCALS~1\Temp\355a_appcompat.txt
%DOCUME~1%\(当前用户)\LOCALS~1\Temp\4E3A9C.dmp
%system%\avpx32.dll
%system%\qz.dll
%system%\avpx64.sys
%system%\qz.sys
%system%\avpx32.sys
%system%\qy.sys
%system%\p3.ini
2、创建服务,并以服务的方式达到启动的目的:
服务名称:avpx32
DisplayName: AVPX TCP
ErrorControl:0
ImagePath:\??\C:\WINDOWS\system32\avpx32.sys
Start:2
Type: 1
服务名称: avpx64
DisplayName: AVPX64 TCP
ErrorControl:0
ImagePath:\??\C:\WINDOWS\system32\avpx64.sys
Start:1
Type: 1
3、查找EXPLORER.EXE和其它相关进程信息;设置远程线程来执行avpx32.dll,在执行时将avpx32.dll插入到EXPLORER.EXE进程和其它相关进程中。
4、修改注册表如下:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify\avpx32\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify\avpx32\Asynchronous
键值: DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify\avpx32\DllName
键值: 类型: REG_EXPAND_SZ 长度: 11 (0xb) 字节
61 76 70 78 33 32 2E 64 6C 6C 00 | avpx32.dll.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify\avpx32\Impersonate
键值: DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify\avpx32\MaxWait
键值: DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify\avpx32\secureTIME
键值: 字符串: "19:7"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify\avpx32\secureUID
键值: 字符串: "[30186865094139783897]"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify\avpx32\Startup
键值: 字符串: "MmMapView3"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\avpx32.sys\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\avpx32.sys\@
键值: 字符串: "Driver"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\avpx64.sys\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\avpx64.sys\@
键值: 字符串: "Driver"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\avpx32.sys\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\avpx32.sys\@
键值: 字符串: "Driver"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\avpx64.sys\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\avpx64.sys\@
键值: 字符串: "Driver"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\Memory Manage
ment\EnforceWriteProtection
键值: DWORD: 0 (0)
5、在系统服务描述符表中插入服务函数,以截获系统的服务函数调用,通过hook技术来实现注册表、文件等的隐藏,服务函数如下:
服务函数名称:NtOpenProcess 服务函数所在模块:avpx64.sys
服务函数名称:NtQueryDirectoryFile 服务函数所在模块:avpx64.sys
注:%System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
四、 清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。推荐使用ATools免费工具(安天安全管理工具集),下载地址为:[url]http://www.antiy.com/about/news/20070806.htm[/url]
(1) 使用ATools关闭病毒插入到EXPLORER.EXE进程的avpx32.dll
(2) 强行删除病毒相关文件:
%DOCUME~1%\(当前用户)\LOCALS~1\Temp\355a_appcompat.txt
%DOCUME~1%\(当前用户)\LOCALS~1\Temp\4E3A9C.dmp
%system%\avpx32.dll
%system%\qz.dll
%system%\avpx64.sys
%system%\qz.sys
%system%\avpx32.sys
%system%\qy.sys
%system%\p3.ini
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify\avpx32\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify\avpx32\Asynchronous
键值: DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify\avpx32\DllName
键值: 类型: REG_EXPAND_SZ 长度: 11 (0xb) 字节
61 76 70 78 33 32 2E 64 6C 6C 00 | avpx32.dll.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify\avpx32\Impersonate
键值: DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify\avpx32\MaxWait
键值: DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify\avpx32\secureTIME
键值: 字符串: "19:7"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify\avpx32\secureUID
键值: 字符串: "[30186865094139783897]"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify\avpx32\Startup
键值: 字符串: "MmMapView3"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\avpx32.sys\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\avpx32.sys\@
键值: 字符串: "Driver"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\avpx64.sys\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\avpx64.sys\@
键值: 字符串: "Driver"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\avpx32.sys\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\avpx32.sys\@
键值: 字符串: "Driver"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\avpx64.sys\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\avpx64.sys\@
键值: 字符串: "Driver"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\Memory Manage
ment\EnforceWriteProtection
键值: DWORD: 0 (0)
(4) 使用ATools禁用下列服务项:
服务avpx32
服务avpx64 这个好像比较难清理
貌似有些难度。。 呵呵 还是 先做好预防的好 !等中招了 就麻烦了 ! 谢谢楼主的分享,但是感觉还是用还原软件快一点呢 还是预防为主哈哈:hug: :victory:
页:
[1]