• 远程控制木马样本播报
       发布日期:  2012-11-27

    病毒描述

    病毒名称:Backdoor.PcShare.nd

    文件MD5:CE062FB2830FA47DEE0CEDC2971B1847

    文件大小:45,954 字节

    编写环境:C++

    是否加壳:否

    文档公开级别 :完全公开

     

    病毒执行体描述:

      Backdoor.PcShare.nd 病毒伪装在正常签名软件的环境中,由被劫持的dll来加载执行,当Backdoor.PcShare.nd被加载入内存中后,对系统进行破坏,释放驱动文件修改,对系统相关的操作进行监控,来保护自己不被查到,将自身复制到系统目录下隐藏,修改系统注册表添加系统服务进行上线启动,注入到Svchost.exe中,以系统白信任的方式加载驱动到内核,将自身通信服务注入到Internet Explorer中与远程服务端进行通信。并监视用户键盘的输入,保存在特定的位置,远程控制服务端连接后会自动下载键盘记录的数据。

     

    病毒行为流程分析:

      一.传播途径

      通过对具有签名的可执行文件进行DLL的劫持来达到自身可以被加载到内存的机会,可执行文件的签名有效,在执行的时候杀毒软件并不会去检测其内部的结构情况,会认为此可执行文件的进程是安全的,当被劫持的DLL被加载进内存后,首先加载被加密的Backdoor.PcShare.nd 病毒,然后解密,在内存中定位文件结构,让其可执行。

     

      二、执行流程

      Backdoor.PcShare.nd 病毒执行会先检测系统环境,得到系统目录,释放临时随机文件,文件名均为Z开头后7位随机的 8位字符串(例如:Zwrrkfgx)。

     

    释放目录文件名称文件作用
    C:WindowsSystem32Zwrrkfgx.dll(为随机名称)远程控制核心文件
    C:WindowsSystem32Zwrrkfgx.ime(为随机名称)模块组件_键盘记录
    C:WindowsSystem32Zwrrkfgx.drv(为随机名称)模块组件_DDOS
    C:WindowsSystem32Zwrrkfgx.log(为随机名称)键盘记录信息
    C:WindowsSystem32DriversZwrrkfgx.sys(为随机名称)驱动文件_保护自身

     

      通过加载释放的Zwrrkfgx.dll 调用到导出函数ServiceMain,把代码注入Svchost.exe进程并远程创建一个线程执行注的入代码(在被注入的Svchost.exe进程中实际 只做了调用LoadLibraryW 加载自身到Svchost.exe进程里)。

      Zwrrkfgx.dll注入到Svchost.exe进程里并远程创建一个线程执行代码,给系统动态加载NT驱动,并写注册表。Svchost.exe会创建一个IE进程并将自身载入到IE进程中,与远程主机进行通信。

      在IE进程内会修改注册表相关操作,让每次系统服务启动的时候会自动启动远程控制软件,并与服务端进行连接。

     

    修改注册表供存放远程控制核心文件位置

    注册表键值内容
    MKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\SENS\PARAMETERS\Service DllC:\Windows\System32\Zwrrkfgx.dll(为随机名称)
    MKLM\SYSTEM\CONTROLSET001\SERVICES\SENS\PARAMETERS\Service DllC:\Windows\System32\Zwrrkfgx.dll(为随机名称)
    MKLM\SYSTEM\CONTROLSET002\SERVICES\SENS\PARAMETERS\Service DllC:\Windows\System32\Zwrrkfgx.dll(为随机名称)

     

      通过加载释放的Zwrrkfgx.dll 调用到导出函数ServiceMain,把代码注入Svchost.exe进程并远程创建一个线程执行注的入代码(在被注入的Svchost.exe进程中实际 只做了调用LoadLibraryW 加载自身到Svchost.exe进程里)。

      Zwrrkfgx.dll注入到Svchost.exe进程里并远程创建一个线程执行代码,给系统动态加载NT驱动,并写注册表。Svchost.exe会创建一个IE进程并将自身载入到IE进程中,与远程主机进行通信。

      在IE进程内会修改注册表相关操作,让每次系统服务启动的时候会自动启动远程控制软件,并与服务端进行连接。

     

    API名称作用
    NtDeviceIoControlFile拦截一些收发包的数据,比如打开杀毒网页等等
    NtEnumerateKey防止自身注册表被枚举
    NtOpenKey防止自身注册表被枚举
    NtQueryDirectoryFile自身文件隐藏
    NtQuerySystemInformation系统信息查询,进程或线程等

     

      注册表添加开机驱动自动启动

      注:红色为创建,并开机自动启动

    注册表键值内容
    HKLM\System\CurrentControlSet\Services\ZwrrkfgxType0x1
     Start0x2
     ErrorControl0x1
     ImagePath"\??\c:\WINDOWS\system32\drivers\Zwrrkfgx.sys"
     DisplayName"Zwrrkfgx"
    HKLM\System\CurrentControlSet\Services\Zwrrkfgx\SecuritySecurity01 00 14 80 90 00 00 00
    MKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\Zwrrkfgx\Enum0"Root\LEGACY_ZWRRKFGX\000"
     Count0x1
     NexInstance0x1

      IE完成此些操作以后会检测当前可执行文件的位置,创建批处理命令自删除Backdoor.PcShare.nd病毒。

    链接地址端口是否回应
    59.212.10.2018000

     

    病毒技术要点

      Backdoor.PcShare.nd 隐藏在正常的签名软件目录下,通过劫持DLL来完成自己被加载到内存,一般签名的文件都是被杀毒软件认为是可信的,病毒作者利用签名文件本身的漏洞,利用了签名文件来加载自身至系统中得到可执行的机会,并且不会被查杀。在对系统内核进行挂钩的时候使用了让驱动自己被服务管理器加载,而不是由进程加载,减少了一步驱动文件被检测。并让病毒驱动文件优先于其他驱动加载。

     

    病毒清理流程

      1.检测注册表项下是否有对应的文件,找到直接删除。

      2.检测目录看是否有可疑项,找到直接删除。

      3.找到HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\SENS\PARAMETERS注册表下,查看键值ServiceDll的内容是否为"%SystemRoot%\system32\sens.dll",如果不是sens.dll则可能已经中毒,建议手动清除注册表项中的内容。

      4.如果您无法分辨是否病毒,请安装使用江民杀毒软件对系统进行扫描,以清除系统服务的内存残留病毒。

     

    来源:江民科技