“磁碟机”病毒技术分析报告
病毒运行后首先会在C盘根目录下释放病毒驱动NetApi000.sys,该驱动用来恢复SSDT,把杀毒软件挂的钩子全部卸掉。然后在System32路径下的com文件夹中释放病毒文件smss.exe、netcfg.dll、netcfg.000、lsass.exe。
然后该程序退出,运行刚刚释放的lsass.exe。
lsass.exe运行后,会在com文件夹下重新释放刚才所释放的文件,同时会在system32文件夹下释放一个新的动态库文件dnsq.dll,然后生成两个随机名的log文件该文件是lsass.exe和dnsq.dll的副本,然后进行以下操作:
1. 从以下网址下载脚本[url]http://www.[/url]****.****/*.htm、.....。
2. 生成名为”MCI Program Com Application”的窗口。
3. 程序会删除注册表SOFTWARE\Microsoft\Windows\CurrentVersion\Run项下的所有键值。
4. 查找带以下关键字的窗口,查找带以下关键字的窗口,如果找到则向其发消息将其退出:RsRavMon、McShield、PAVSRV…
5. 启动regsvr32.exe进程,把动态库netcfg.dll注到该进程中。
6. 遍历磁盘,在所有磁盘中添加autorun.inf和pagefile.pif,使得用户打开磁盘的同时运行病毒。
7. 通过calcs命令启动病毒进程得到完全控制权限,使得其他进程无法访问该进程。
8. 感染可执行文件,当找个可执行文件时,把正常文件放在自己最后一个节中,通过病毒自身所带的种子值对正常文件进行加密。
smss.exe用来实现进程保护,程序运行后会进行以下操作:
1.创建一个名为xgahrez的互斥体,防止进程中有多个实例运行。
2.然后创建一个名为MSICTFIME SMSS的窗口,该窗口会对三种消息做出反应:
1.WM_QUERYENDSESSION:当收到该消息时,程序会删除注册表SOFTWARE\Microsoft\Windows\CurrentVersion\Run项下的所有键值。
2.WM_TIMER:该程序会设置一个时钟,每隔0.2秒查找“MCI Program Com Application”窗口,如果找不到则运行病毒程序。
3.WM_CAP_START:当收到该消息时,向其发送退出消息。
3.把lsass.exe拷贝到C盘根目录下命名为037589.log,同时把该文件拷到启动目录下实现自启动。
dnsq.dll通过挂接全局消息钩子,把自己注到所有进程中,该动态库主要用来HOOK API和重写注册表。动态库被加载后会进行以下操作:
1. 判断自己所在进程是否是lsass.exe、smss.exe、alg.exe,如果是则退出。
2. HOOK psapi.dll中EnumProcessModules、kernel32.dll中 OpenProcess和CloseHandle这几个API使得杀毒软件无法查杀病毒进程。
3. 遍历进程如果进程名为lsass.exe、smss.exe、alg.exe则直接退出,如果是其他进程则创建一个线程,该线程每隔2秒进行以下操作:
1.修改以下键值使得用户无法看到隐藏的受保护的系统文件
HKEY_CURRENT_USERSoftware\Microsoft\Windows\CurrentVersion\Explorer\Advanced
ShowSuperHidden = 0
2.删除以下注册表键值使得用户无法进入安全模式
HKEY_LOCAL_MACHINE SYSTEM\ControlSet001\Control\SafeBoot\Minimal\
{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINE SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINE SYSTEM\ControlSet001\Control\SafeBoot\Network\
{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINE SYSTEM\CurrentControlSet\Control\SafeBoot\Network\
{4D36E967-E325-11CE-BFC1-08002BE10318}
3.删除以下注册表项,使得镜像劫持失效
HKEY_LOCAL_MACHINE SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options
4.读取以下注册表键值,判断当前系统是否允许移动设备自动运行,如果不允许则修改为允许
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoDriveTypeAutoRun
5.修改以下注册表项使得手动修改以下键值无效
HKEY_LOCAL_MACHINE SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\Folder\SuperHidden
Type = radio
6.添加以下注册表项使得开机时,系统会把该动态库注到大部分进程中
HKEY_LOCAL_MACHINE SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Windows
AppInit_DLLs = %SYSTEM%\dnsq.dll.
7.通过calcs命令启动病毒进程得到完全控制权限,使得其他进程无法访问该进程。
8.查找带以下关键字的窗口,如果找到则向其发消息将其退出:
SREng 介绍、360safe、木、antivir、…
netcfg.dll主要用来下载文件,动态库被加载后会从以下网址下载病毒程序
[url]http://js.k0102.com/data.gif[/url],查找窗口”MCI Program Com Application”如果该窗口不存在则运行下载的程序。
转载于:https://blog.51cto.com/dgcnn/72634
“磁碟机”病毒技术分析报告相关推荐
- 瑞星发布“MSN骗子”病毒技术分析报告
10月10日,瑞星全球反病毒监测网截获了一个传播速度极快的蠕虫病毒,它可以通过QQ和MSN传播,向线上好友发送"FUNNY.EXE"文件,用户点击后就会中毒.病毒会屏蔽937个主流 ...
- “九头虫”病毒技术分析报告
2019独角兽企业重金招聘Python工程师标准>>> ##一.背景介绍 近日,阿里移动安全收到多方用户反馈,手机中了一种难以清除的病毒.病毒一旦发作,设备将不断弹出广告,并自动下载 ...
- 磁碟机变种简单分析(lsass.exe、smss.exe、dnsq.dll、NetApi000.sys)
from: http://bbs.xcdx169.net/redirect.php?tid=56034&goto=lastpost&sid=NrNn1c 磁碟机变种简单分析(lsass ...
- 关于两款游戏的自动寻路及同步技术分析报告
from: http://wenku.baidu.com/view/cf3353df50e2524de5187e36.html 关于两款游戏的自动寻路及同步技术分析报告 测试环境: 同PC机,双开不同 ...
- 利用NTLDR进入RING0的方法及MGF病毒技术分析
利用NTLDR进入RING0的方法及MGF病毒技术分析 2010年08月02日 [b]以前看了莫国防病毒的源代码.摸到了一个进入RING0的方法.今天又在EST论坛看到了代码,随手写一个笔记吧.其实w ...
- 熊猫烧香病毒技术分析及应急解决方案
熊猫烧香病毒技术分析及应急解决方案 BY Delphiscn(http://blog.csdn.net/delphiscn)cnBlaster#hotmail.com 目录 A.简介 B.样本分析 C ...
- Nimda.A病毒技术分析笔记
Nimda.A病毒技术分析笔记 BY Delphiscn(cnBlaster#sohu.com)http://blog.csdn.net/delphiscn 病毒类型:蠕虫病毒 文件大小:57344字 ...
- 天龙八部技术分析报告
刘洋 通过一段时间对天龙八部这款游戏进行分析研究,主要从客户端入手,从技术 角度学习天龙八部游戏中各种实现机制.最终写成此文,献给搜狐游戏,以表敬 意. 本文主要分为三个部分,分别是1 天龙八部基本技 ...
- 中国组合式咖啡煮茶机市场深度研究分析报告
[报告篇幅]:90 [报告图表数]:144 [报告出版时间]:2021年1月 2019年中国组合式咖啡煮茶机市场规模达到了XX亿元,预计2026年可以达到XX亿元,未来几年年复合增长率(CAGR)为X ...
- 中国家用便携式除湿机市场深度研究分析报告
[报告篇幅]:145 [报告图表数]:174 [报告出版时间]:2021年1月 报告摘要 2019年中国家用便携式除湿机市场规模达到了XX亿元,预计2026年可以达到XX亿元,未来几年年复合增长率(C ...
最新文章
- 计算机表格大小怎么调整,excel表格如何调整表格大小
- 用OpenCV实现超轻量的NanoDet目标检测模型!
- COMP0037 Coursework Investigating Path Planning Algorithms
- PF_PACKET和AF_PACKET
- Feign-自定义配置
- jsp中使用cookie时报错……
- 大学计算机应用基础考试题库,大学计算机应用基础考试题库
- jedis StreamEntryID参数解释
- Visual C++ 2011-07-18
- RabbitMq、ActiveMq、ZeroMq、kafka比较
- centos服务端ftp的搭建_centos下搭建ftp服务器
- 内镜碎石术装置行业调研报告 - 市场现状分析与发展前景预测
- py脚本实现用例执行html报告,pytest文档7-pytest-html生成html报告
- r语言 append_Python爬取近十年TIOBE编程语言热度数据并可视化可视化
- Android开发-Android项目结构
- 机器学习面试知识点总结
- 10分钟快速搭建多方视频会议系统
- 【论文笔记】RRU-Net: The Ringed Residual U-Net for Image Splicing Forgery Detection
- 《生物信息学:导论与方法》--本体论、分子通路鉴定--听课笔记(二十)
- 深井泵房无人值守系统 泵站无人值守平台 智慧水务