机器狗变种简单分析~

其实这东西跟以前这个差不多：

 

[url]http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/1bccac02ebd8170c4bfb51d3.html[/url]

 

只不过做了一些变动，载体为随机命名的~

 

好了，简单分析下：

 

1、释放文件方面：

 

2个SYS文件，其中一个是PE文件，病毒的副本。

 

wxptdi.sys 77824 字节

 

fat32.sys

 

注意啊，这2个的路径都是在C:\windows\system32\下的

 

2、调用一个P处理tmipo.bat，执行stop sharedaccess命令。

 

3、控制系统文件svchost，加载在内存中。

 

4、连接网络先获得下载列表： [url]http://d.93se.com/listo.txt[/url]

 

然后下载木马，释放到c:\Program Files\，命名为：

 

c:\Program Files\lsassu.exe
c:\Program Files\lsasst.exe
c:\Program Files\lsasss.exe
c:\Program Files\lsassr.exe
c:\Program Files\lsassq.exe
c:\Program Files\lsassp.exe
c:\Program Files\lsasso.exe
c:\Program Files\lsassn.exe
c:\Program Files\lsassm.exe
c:\Program Files\lsassl.exe
c:\Program Files\lsassk.exe
c:\Program Files\lsassj.exe
c:\Program Files\lsassi.exe
c:\Program Files\lsassh.exe
c:\Program Files\lsassf.exe
c:\Program Files\lsasse.exe
c:\Program Files\lsassd.exe
c:\Program Files\lsassc.exe
c:\Program Files\lsassb.exe
c:\Program Files\lsassa.exe
c:\Program Files\lsass9.exe
c:\Program Files\lsass8.exe
c:\Program Files\lsass7.exe
c:\Program Files\lsass6.exe
c:\Program Files\lsass5.exe
c:\Program Files\lsass4.exe
c:\Program Files\lsass3.exe
c:\Program Files\lsass2.exe
c:\Program Files\lsass1.exe
c:\Program Files\lsass0.exe

 

有大话、梦幻、征途、三国、QQ、QQgame、机战、魔域、大话3、传奇等木马。

 

5、释放fat32.sys驱动，注册为PciHardDisk。

 

会访问磁盘底层，修改userinit.exe。但我阻止了~

 

其他没跟踪，就直接运行了~主要特征就是上面这些。

 

解决方法就是从dllcache把正常的userinit.exe覆盖到原来的地方。

 

然后删除c:\Program Files\的那些东西，还有wxptdi.sys和fat32.sys。

 

注意啊，这2个的路径都是在C:\windows\system32\下的

 

C:\windows\system32\fat32.sys

 

C:\windows\system32\wxptdi.sys