|
 
- 帖子
- 4728
- 积分
- 7436
- 注册时间
- 2007-10-25
   
|
[分享] 对“带有进程映像劫持功能的机器狗病毒”进行分析
对“带有进程映像劫持功能的机器狗病毒”进行分析
报告名称:对“带有进程映像劫持功能的机器狗病毒”进行分析
报告类型:病毒分析播报
分析编辑:Coderui
编写日期:2008年03月05日
该主程序文件经过加壳保护处理。
C:\WINDOWS\system32\drivers\pcihdd2.sys ->释放驱动(文件大小:5,504 字节)
C:\WINDOWS\system32\lssass.exe ->释放木马下载器程序(文件大小:17,668 字节)
C:\WINDOWS\system32\userinit.exe ->覆盖(好象覆盖失败,没得到覆盖后的文件)
C:\WINDOWS\explorer.exe ->覆盖(没发现覆盖这个文件,但程序内部判这个文件了,说明可能会覆盖)
c:\_uninsep.bat ->调用后,会执行“自我删除”的批处理。
有进程映像劫持功能,大概劫持50个以上安全软件进程(程序名这里就不一一列举了)。
对“lssass.exe”分析:
该程序文件经过加壳保护处理。
判断自己是不是“explorer.exe或userinit.exe”程序。
C:\WINDOWS\system32\drivers\ati32srv.sys ->释放驱动(文件大小:5,376 字节)
C:\WINDOWS\system32\HDDGuard.dll ->释放DLL组件(文件大小:20,480 字节)
安装“ati32srv.sys”驱动,会利用“ati32srv.sys”驱动去关闭指定程序进程。
调用“HDDGuard.dll”组件,“HDDGuard.dll”组件会调用“:\Program Files\Internet Explorer\iexplore.exe”去连接网络(躲
避部分防火墙的监控),下载其它病毒文件。
病毒内的日期,判断木马下载列表的日期:
2008-1-25 |
|
发表于 2008-3-31 22:12
|