文件名称:6to4ex.dll
文件大小:89600 字节
AV命名:
Virus.Win32.AutoRun.z(卡巴斯基) Win32.Troj.Agent.ce.114688(金山) Dropped:Backdoor.Hupigon.ZPW(BitDefender)
加壳方式:Naked Packer
编写语言:VC
文件MD5:528684975059444f58aca2d2a139404b
行为分析:
1、释放文件:
C:\WINDOWS\system32\6to4ex.dll 89600 字节
2、替换beep.sys驱动,并将原来的重命名:beep.sys.tmp
最后重新加载,恢复SSDT,绕过一部分主动防御和HIPS。
3、注册服务:
项名称: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\6to4 类别名: <无类别> 值 0 名称: DisplayName 类型: REG_SZ 数据: 6to4
值 1 名称: ImagePath 类型: REG_EXPAND_SZ 数据: %SystemRoot%\System32\svchost.exe -k netsvcs
值 2 名称: ObjectName 类型: REG_SZ 数据: LocalSystem
值 3 名称: ErrorControl 类型: REG_DWORD 数据: 0x1
值 4 名称: Type 类型: REG_DWORD 数据: 0x120
值 5 名称: Start 类型: REG_DWORD 数据: 0x2
项名称: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\6to4\Parameters 类别名: <无类别> 值 0 名称: ServiceDllUnloadOnStop 类型: REG_DWORD 数据: 0x0
值 1 名称: ServiceDll 类型: REG_EXPAND_SZ 数据: C:\windows\system32\6to4ex.dll
4、6to4ex.dll注入svchost,可能借宿主与外部通信。
解决方法:
1、打开注册表(详细步骤:打开SREng(可到down.45it.com下载)-启动项目-注册表),删除服务:6to4
2、删除C:\WINDOWS\system32\drivers\beep.sys
这个是假冒呃,删除后系统会从dllcache自动恢复原本的系统文件。
3、重启计算机(如果出现蓝屏,则冷启动),删除文件:
C:\WINDOWS\system32\6to4ex.dll 89600 字节(如遇提示无法删除文件,到down.45it.com下载费尔木马强制删除器工具进行强制删除) |