文件名称:DominoTest.exe\Server.exe
文件大小:229632 byte
AV命名:Trojan.Win32.Agent.ddl(卡吧斯基)\Backdoor.Win32.Agent.yps(瑞星)
加壳方式:未
编写语言:Microsoft Visual C++ 6.0
文件MD5:18ddeaccc2b08de213eb15a1d453a3b1
病毒类型:Rootkit
行为(不一定全):
1、释放病毒副本:
%Systemroot%\System32\DRIVERS\DominoTest.sys
%Systemroot%\System32\DominoTest.dll
%Systemroot%\System32\DominoTest.exe
%Systemroot%\System32\iecookie.log
%Systemroot%\System32\win32ssl.dll
(排名分先后,哈哈```)
2、注册系统服务,开机启动:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MicrosoftNT]
"Type"=dword:00000010
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):43,00,3a,00,5c,00,77,00,69,00,6e,00,6e,00,74,00,5c,00,53,00,\
59,00,53,00,54,00,45,00,4d,00,33,00,32,00,5c,00,44,00,6f,00,6d,00,69,00,6e,\
00,6f,00,54,00,65,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,75,00,\
00,00
"DisplayName"="MicrosoftNT"
"ObjectName"="LocalSystem"
"Description"="Services"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MicrosoftNT\Security]
"Security"=hex:01,00,14,80,a0,00,00,00,ac,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,70,00,04,00,00,00,00,00,18,00,fd,01,02,00,01,01,00,00,00,00,00,\
05,12,00,00,00,00,00,00,00,00,00,1c,00,ff,01,0f,00,01,02,00,00,00,00,00,05,\
20,00,00,00,20,02,00,00,7a,e0,92,4f,00,00,18,00,8d,01,02,00,01,01,00,00,00,\
00,00,05,0b,00,00,00,20,02,00,00,00,00,1c,00,fd,01,02,00,01,02,00,00,00,00,\
00,05,20,00,00,00,23,02,00,00,7a,e0,92,4f,01,01,00,00,00,00,00,05,12,00,00,\
00,01,01,00,00,00,00,00,05,12,00,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MicrosoftNT\Enum]
"0"="Root\\LEGACY_MICROSOFTNT\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
3、查找并获得SFC恢复台函数地址(SFC.dll),在感染系统文件Explorer.exe时防止被恢复。
感染方式和之前的Win32.Downloader类似。增加区段,里面包含加载DominoTest.dll的命令。
修复方法:
[url]http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/640fa9440ac2c44f510ffe1f.html[/url]
4、通过DominoTest.sys驱动修改SSDT,使以下函数指向自身。
ZwDeviceIoControlFile 隐藏自身的网络端口。
ZwQueryDirectoryFile 隐藏3个文件,防止被删除:
DominoTest.exe
DominoTest.dll
DominoTest.sys
ZwWriteVirtualMemory 这个可能是远程控制进程用的。
5、反弹连接控制端,可能使用端口复用技术,但是没有实现。
6、DominoTest.dll注入Lsass.exe、Svchost.exe进程,So..每次开机都以这种无进程方式加载。
解决方法:
方法一:
用冰刃把DominoTest.exe、DominoTest.dll、DominoTest.sys这3个文件删除就可以了。
冰刃可以发现,呵呵
方法二:
用可恢复SSDT的工具,修复病毒Hook的API。然后先删除病毒驱动,再删除服务,最后删文件。
方法三:
下载PowerRmv,如果你知道路径的话,直接覆盖就可以了,哈哈。
不过基本上中这病毒的很难被发现,SREng不能显示其服务项,只能看到驱动。
方法四:
利用Anit Rootkit的工具扫描后删除或用杀毒软件清理都可以...
最后记得把那个Explorer.exe从dllcache里复制出来!
另外感谢“dominolife ”提供的样本。