欢迎来到天天文库
浏览记录
ID:24337125
大小:54.00 KB
页数:3页
时间:2018-11-13
《修改进程peb结构的后门病毒分析》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、修改进程PEB结构的后门病毒分析~教育资源库 英文名称:Backdoor/Huigezi.rvh 中文名称:灰鸽子变种rvh 病毒类型:后门 文件大小:15,360字节 危险级别:★★ 影响平台:E/NT/2000/XP/2003 该病毒添加3层保护壳。 全部脱壳后的程序入口点为:00003DCE。 采用编译器:MicrosoftVisualC++6.0 对病毒主安装程序部分进行分析: 骇客通信地址,初始化读取解密: 218.24.148.196:5000 自我复制: C:ondY.exe->文件属性设
2、置为:系统、隐藏。 调用运行复制后的病毒体时使用的方式: LoadLibraryA FileName=kernel32.dll GetProcAddress hModule=7C800000(kernel32) ProcNameOrOrdinal=CreateProcessInternalA CreateProcessInternalA C:ondY.exe 自我删除: CreateProcessA mandLine=C:E~1ADMINI~1桌面1.exe>nul 关闭退出: DS:[004040CC]
3、=77C09E9A(msvcrt._exit) 对病毒RacMondY.exe的执行部分进行分析: 以服务方式启动运行(伪装自身为瑞星服务): CreateServiceA 0012FCBC00145708 hManager=00145708 0012FCC0004061C5 ServiceName=RacMondY 0012FCC4004061F7 DisplayName=RacMondY瑞星服务 0012FCC8000F01FF DesiredAccess=SERVICE_ALL_ACCESS 0012FCCC000
4、00110 ServiceType=SERVICE_ondY.exe 0012FCDC00000000 LoadOrderGroup=NULL 0012FCE000000000 pTagId=NULL 0012FCE400000000 pDependencies=NULL 0012FCE800000000 ServiceStartName=NULL 0012FCEC00000000Passsvcrt._exit) 对病毒RacMondY.exe的服务部分进行分析: 修改自身进程的PEB结构表,把自己伪装成系统svchost
5、.exe进程。 然后再去连接网络进行秘密通信,可以躲避掉防火墙的监控(利用白名单原理)。 在被感染计算机系统的后台循环连接骇客服务器进行秘密通信: 218.24.148.196:5000 会下载恶意程序(可能和自动更新有关): URLDo32RacMondY.exe 手动杀毒方法步骤(经过实际测试有效): 1、关闭结束掉病毒进程RacMondY.exe。 2、删除掉病毒文件体C:ondY.exe。 3、终止、卸载掉病毒开机自启动服务RacMondY瑞星服务。 4、该后门已经清除干净,请使用杀毒软件扫描全盘,看是否还存
6、在其它恶意程序。友情提醒:,特别!
此文档下载收益归作者所有