-
远程控制木马样本播报 发布日期: 2012-11-27 病毒描述
病毒名称:Backdoor.PcShare.nd
文件MD5:CE062FB2830FA47DEE0CEDC2971B1847
文件大小:45,954 字节
编写环境:C++
是否加壳:否
文档公开级别 :完全公开
病毒执行体描述:
Backdoor.PcShare.nd 病毒伪装在正常签名软件的环境中,由被劫持的dll来加载执行,当Backdoor.PcShare.nd被加载入内存中后,对系统进行破坏,释放驱动文件修改,对系统相关的操作进行监控,来保护自己不被查到,将自身复制到系统目录下隐藏,修改系统注册表添加系统服务进行上线启动,注入到Svchost.exe中,以系统白信任的方式加载驱动到内核,将自身通信服务注入到Internet Explorer中与远程服务端进行通信。并监视用户键盘的输入,保存在特定的位置,远程控制服务端连接后会自动下载键盘记录的数据。
病毒行为流程分析:
一.传播途径
通过对具有签名的可执行文件进行DLL的劫持来达到自身可以被加载到内存的机会,可执行文件的签名有效,在执行的时候杀毒软件并不会去检测其内部的结构情况,会认为此可执行文件的进程是安全的,当被劫持的DLL被加载进内存后,首先加载被加密的Backdoor.PcShare.nd 病毒,然后解密,在内存中定位文件结构,让其可执行。
二、执行流程
Backdoor.PcShare.nd 病毒执行会先检测系统环境,得到系统目录,释放临时随机文件,文件名均为Z开头后7位随机的 8位字符串(例如:Zwrrkfgx)。
释放目录 文件名称 文件作用 C:WindowsSystem32 Zwrrkfgx.dll(为随机名称) 远程控制核心文件 C:WindowsSystem32 Zwrrkfgx.ime(为随机名称) 模块组件_键盘记录 C:WindowsSystem32 Zwrrkfgx.drv(为随机名称) 模块组件_DDOS C:WindowsSystem32 Zwrrkfgx.log(为随机名称) 键盘记录信息 C:WindowsSystem32Drivers Zwrrkfgx.sys(为随机名称) 驱动文件_保护自身 通过加载释放的Zwrrkfgx.dll 调用到导出函数ServiceMain,把代码注入Svchost.exe进程并远程创建一个线程执行注的入代码(在被注入的Svchost.exe进程中实际 只做了调用LoadLibraryW 加载自身到Svchost.exe进程里)。
Zwrrkfgx.dll注入到Svchost.exe进程里并远程创建一个线程执行代码,给系统动态加载NT驱动,并写注册表。Svchost.exe会创建一个IE进程并将自身载入到IE进程中,与远程主机进行通信。
在IE进程内会修改注册表相关操作,让每次系统服务启动的时候会自动启动远程控制软件,并与服务端进行连接。
修改注册表供存放远程控制核心文件位置
注册表 键值 内容 MKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\SENS\PARAMETERS\ Service Dll C:\Windows\System32\Zwrrkfgx.dll(为随机名称) MKLM\SYSTEM\CONTROLSET001\SERVICES\SENS\PARAMETERS\ Service Dll C:\Windows\System32\Zwrrkfgx.dll(为随机名称) MKLM\SYSTEM\CONTROLSET002\SERVICES\SENS\PARAMETERS\ Service Dll C:\Windows\System32\Zwrrkfgx.dll(为随机名称) 通过加载释放的Zwrrkfgx.dll 调用到导出函数ServiceMain,把代码注入Svchost.exe进程并远程创建一个线程执行注的入代码(在被注入的Svchost.exe进程中实际 只做了调用LoadLibraryW 加载自身到Svchost.exe进程里)。
Zwrrkfgx.dll注入到Svchost.exe进程里并远程创建一个线程执行代码,给系统动态加载NT驱动,并写注册表。Svchost.exe会创建一个IE进程并将自身载入到IE进程中,与远程主机进行通信。
在IE进程内会修改注册表相关操作,让每次系统服务启动的时候会自动启动远程控制软件,并与服务端进行连接。
API名称 作用 NtDeviceIoControlFile 拦截一些收发包的数据,比如打开杀毒网页等等 NtEnumerateKey 防止自身注册表被枚举 NtOpenKey 防止自身注册表被枚举 NtQueryDirectoryFile 自身文件隐藏 NtQuerySystemInformation 系统信息查询,进程或线程等 注册表添加开机驱动自动启动
注:红色为创建,并开机自动启动
注册表 键值 内容 HKLM\System\CurrentControlSet\Services\Zwrrkfgx Type 0x1 Start 0x2 ErrorControl 0x1 ImagePath "\??\c:\WINDOWS\system32\drivers\Zwrrkfgx.sys" DisplayName "Zwrrkfgx" HKLM\System\CurrentControlSet\Services\Zwrrkfgx\Security Security 01 00 14 80 90 00 00 00 MKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\Zwrrkfgx\Enum 0 "Root\LEGACY_ZWRRKFGX\000" Count 0x1 NexInstance 0x1 IE完成此些操作以后会检测当前可执行文件的位置,创建批处理命令自删除Backdoor.PcShare.nd病毒。
链接地址 端口 是否回应 59.212.10.201 8000 否 病毒技术要点
Backdoor.PcShare.nd 隐藏在正常的签名软件目录下,通过劫持DLL来完成自己被加载到内存,一般签名的文件都是被杀毒软件认为是可信的,病毒作者利用签名文件本身的漏洞,利用了签名文件来加载自身至系统中得到可执行的机会,并且不会被查杀。在对系统内核进行挂钩的时候使用了让驱动自己被服务管理器加载,而不是由进程加载,减少了一步驱动文件被检测。并让病毒驱动文件优先于其他驱动加载。
病毒清理流程
1.检测注册表项下是否有对应的文件,找到直接删除。
2.检测目录看是否有可疑项,找到直接删除。
3.找到HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\SENS\PARAMETERS注册表下,查看键值ServiceDll的内容是否为"%SystemRoot%\system32\sens.dll",如果不是sens.dll则可能已经中毒,建议手动清除注册表项中的内容。
4.如果您无法分辨是否病毒,请安装使用江民杀毒软件对系统进行扫描,以清除系统服务的内存残留病毒。
来源:江民科技