文件名称:DominoTest.exe\Server.exe 文件大小:229632 byte AV命名:Trojan.Win32.Agent.ddl(卡吧斯基)\Backdoor.Win32.Agent.yps(瑞星) 加壳方式:未 编写语言:Microsoft Visual C++ 6.0 文件MD5:18ddeaccc2b08de213eb15a1d453a3b1 病毒类型:Rootkit 行为(不一定全): 1、释放病毒副本: %Systemroot%\System32\DRIVERS\DominoTest.sys %Systemroot%\System32\DominoTest.dll %Systemroot%\System32\DominoTest.exe %Systemroot%\System32\iecookie.log %Systemroot%\System32\win32ssl.dll (排名分先后,哈哈```) 2、注册系统服务,开机启动: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MicrosoftNT] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MicrosoftNT\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MicrosoftNT\Enum] 3、查找并获得SFC恢复台函数地址(SFC.dll),在感染系统文件Explorer.exe时防止被恢复。 感染方式和之前的Win32.Downloader类似。增加区段,里面包含加载DominoTest.dll的命令。 4、通过DominoTest.sys驱动修改SSDT,使以下函数指向自身。 ZwDeviceIoControlFile 隐藏自身的网络端口。 ZwQueryDirectoryFile 隐藏3个文件,防止被删除:
ZwWriteVirtualMemory 这个可能是远程控制进程用的。 5、反弹连接控制端,可能使用端口复用技术,但是没有实现。 6、DominoTest.dll注入Lsass.exe、Svchost.exe进程,So..每次开机都以这种无进程方式加载。 解决方法: 方法一: 用冰刃(可到down.45it.com下载)把DominoTest.exe、DominoTest.dll、DominoTest.sys这3个文件删除就可以了。 冰刃可以发现,呵呵 方法二: 用可恢复SSDT的工具,修复病毒Hook的API。然后先删除病毒驱动,再删除服务,最后删文件。 方法三: 下载PowerRmv(可到down.45it.com下载),如果你知道路径的话,直接覆盖就可以了,哈哈。 不过基本上中这病毒的很难被发现,SREng不能显示其服务项,只能看到驱动。 方法四: 利用Anit Rootkit(可到down.45it.com下载)的工具扫描后删除或用杀毒软件清理都可以... 最后记得把那个Explorer.exe从dllcache里复制出来! |