病毒描述

病毒名称:Backdoor.PcShare.nd

文件MD5:CE062FB2830FA47DEE0CEDC2971B1847

文件大小:45,954 字节

编写环境:C++

是否加壳:否

文档公开级别 ：完全公开

病毒执行体描述：

　　Backdoor.PcShare.nd 病毒伪装在正常签名软件的环境中,由被劫持的dll来加载执行，当Backdoor.PcShare.nd被加载入内存中后，对系统进行破坏，释放驱动文件修改，对系统相关的操作进行监控，来保护自己不被查到，将自身复制到系统目录下隐藏，修改系统注册表添加系统服务进行上线启动，注入到Svchost.exe中，以系统白信任的方式加载驱动到内核，将自身通信服务注入到Internet Explorer中与远程服务端进行通信。并监视用户键盘的输入，保存在特定的位置，远程控制服务端连接后会自动下载键盘记录的数据。

病毒行为流程分析:

　　一.传播途径

　　通过对具有签名的可执行文件进行DLL的劫持来达到自身可以被加载到内存的机会，可执行文件的签名有效，在执行的时候杀毒软件并不会去检测其内部的结构情况，会认为此可执行文件的进程是安全的，当被劫持的DLL被加载进内存后，首先加载被加密的Backdoor.PcShare.nd 病毒，然后解密，在内存中定位文件结构，让其可执行。

　　二、执行流程

　　Backdoor.PcShare.nd 病毒执行会先检测系统环境，得到系统目录，释放临时随机文件，文件名均为Z开头后7位随机的 8位字符串（例如：Zwrrkfgx）。

　　通过加载释放的Zwrrkfgx.dll 调用到导出函数ServiceMain，把代码注入Svchost.exe进程并远程创建一个线程执行注的入代码（在被注入的Svchost.exe进程中实际 只做了调用LoadLibraryW 加载自身到Svchost.exe进程里）。

　　Zwrrkfgx.dll注入到Svchost.exe进程里并远程创建一个线程执行代码，给系统动态加载NT驱动，并写注册表。Svchost.exe会创建一个IE进程并将自身载入到IE进程中，与远程主机进行通信。

　　在IE进程内会修改注册表相关操作，让每次系统服务启动的时候会自动启动远程控制软件，并与服务端进行连接。

修改注册表供存放远程控制核心文件位置

　　通过加载释放的Zwrrkfgx.dll 调用到导出函数ServiceMain，把代码注入Svchost.exe进程并远程创建一个线程执行注的入代码（在被注入的Svchost.exe进程中实际 只做了调用LoadLibraryW 加载自身到Svchost.exe进程里）。

　　Zwrrkfgx.dll注入到Svchost.exe进程里并远程创建一个线程执行代码，给系统动态加载NT驱动，并写注册表。Svchost.exe会创建一个IE进程并将自身载入到IE进程中，与远程主机进行通信。

　　在IE进程内会修改注册表相关操作，让每次系统服务启动的时候会自动启动远程控制软件，并与服务端进行连接。

　　注册表添加开机驱动自动启动

　　注：红色为创建，并开机自动启动

　　IE完成此些操作以后会检测当前可执行文件的位置，创建批处理命令自删除Backdoor.PcShare.nd病毒。

病毒技术要点

　　Backdoor.PcShare.nd 隐藏在正常的签名软件目录下，通过劫持DLL来完成自己被加载到内存，一般签名的文件都是被杀毒软件认为是可信的，病毒作者利用签名文件本身的漏洞，利用了签名文件来加载自身至系统中得到可执行的机会，并且不会被查杀。在对系统内核进行挂钩的时候使用了让驱动自己被服务管理器加载，而不是由进程加载，减少了一步驱动文件被检测。并让病毒驱动文件优先于其他驱动加载。

病毒清理流程

　　1.检测注册表项下是否有对应的文件，找到直接删除。

　　2.检测目录看是否有可疑项，找到直接删除。

　　3.找到HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\SENS\PARAMETERS注册表下，查看键值ServiceDll的内容是否为"%SystemRoot%\system32\sens.dll"，如果不是sens.dll则可能已经中毒，建议手动清除注册表项中的内容。

　　4.如果您无法分辨是否病毒，请安装使用江民杀毒软件对系统进行扫描，以清除系统服务的内存残留病毒。

来源：江民科技