文档介绍:机器狗变种分析~教育资源库
我是一个菜鸟,第一次学别人分析病毒,做得不好,大家多多包涵。
因为分析的是比较接近系统底层的机器狗,若有很多错漏的。请高手们指出,谢谢。
学无止境,以后还得更加刻苦学****才行,经过这次的分析,让我懂得我有太多太多不懂了。。。。
病毒新颖的地方就是通过感染系统关键的DLL,使它在保持原来的功能的前提下,打开被病毒感染的另一个系统文件。
与修改系统文件输入表,感染DLL差不多,但是危害性要更强,,重启后无法进入系统
:墨羽刃(防止万一还是说说吧)
样本名:
卡巴斯基:Trojan-
瑞星:无
MD5:d38139085d83607f895fc91f043ca8e6
壳:Root%,%SystemRoot%,%SystemRoot%
获取系统安装目录,释放一个4位随机字母的程序,然后运行。
(驱动防火墙)若没有找到会建立一个E:(???意图不明),并创建一个服务,服务名为Ntsapi。,达到隐蔽的目的。,获得函数ZInformation的地址,,然后用LoadLibraryEx装入。导出SSDT表,但是EQ和SSM的挂钩貌似没有被还原,还有(应该还有,我看不出来了,我是菜鸟不好意思)对自身进行***,,找到后用函数ZinateProcess终止进程。,也是瑞星的(瑞星的进程,瑞星的自我防护一向不怎么好,估计是会被终止的)。。后面,,专挑软骨头啃
重头戏,穿还原建立C:与EQ均无反应。据说是把文件加载到内存中,然后读写后覆盖原文件。
查找注册表的SOFTicrosoftents and
文件路径:C:ents and
文件路径:C:
触发规则:所有程序规则->系统文件->%32drivers*.sys
2008-08-12 12:37:37 安装服务或者驱动操作:允许
进程路径:C:
文件路径:C:
触发规================================================
释放文件:****.exe(四位随机字母名) 瑞星:
江民:TrojanDok
卡巴:Trojan-PSi./9/
.baidu.
.google.
历遍进程,,找到后终止。
获得系统system32目录,进而找到C:32dllca