资源描述:
《一个会修改进程自身peb结构的后门病毒的分析资料》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、一个会修改进程自身PEB结构的后门病毒的分析资料~教育资源库 英文名称:Backdoor/Huigezi.rvh 中文名称:灰鸽子变种rvh 病毒类型:后门 文件大小:15,360字节 危险级别:★★ 影响平台:E/NT/2000/XP/2003 该病毒添加3层保护壳。 全部脱壳后的程序入口点为:00003DCE。 采用编译器:MicrosoftVisualC++6.0 对病毒主安装程序部分进行分析: ---------------------------------------------------------------
2、--------- 骇客通信地址,初始化读取解密: 218.24.148.196:5000 自我复制: C:ondY.exe->文件属性设置为:系统、隐藏。 调用运行复制后的病毒体时使用的方式: -------------------------------------------------- LoadLibraryA FileName=kernel32.dll GetProcAddress hModule=7C800000(kernel32) ProcNameOrOrdinal=CreateProcessIntern
3、alA CreateProcessInternalA C:ondY.exe -------------------------------------------------- 自我删除: CreateProcessA mandLine=C:E~1ADMINI~1桌面1.exe>nul 关闭退出: DS:[004040CC]=77C09E9A(msvcrt._exit) ------------------------------------------------------------------------ 对病毒R
4、acMondY.exe的执行部分进行分析: ------------------------------------------------------------------------ 以服务方式启动运行(伪装自身为瑞星服务): CreateServiceA 0012FCBC00145708
5、hManager=00145708 0012FCC0004061C5
6、ServiceName=RacMondY 0012FCC4004061F7
7、DisplayName=RacMondY瑞星服务 0012FCC8000F01FF
8、Desire
9、dAccess=SERVICE_ALL_ACCESS 0012FCCC00000110
10、ServiceType=SERVICE_ondY.exe 0012FCDC00000000
11、LoadOrderGroup=NULL 0012FCE000000000
12、pTagId=NULL 0012FCE400000000
13、pDependencies=NULL 0012FCE800000000
14、ServiceStartName=NULL 0012FCEC00000000Passsvcrt._exit) -----------------------
15、------------------------------------------------- 对病毒RacMondY.exe的服务部分进行分析: ------------------------------------------------------------------------ 修改自身进程的PEB结构表,把自己伪装成系统svchost.exe进程。 然后再去连接网络进行秘密通信,可以躲避掉防火墙的监控(利用白名单原理)。 在被感染计算机系统的后台循环连接骇客服务器进行秘密通信: 218.24.148.196:5000
16、 会下载恶意程序(可能和自动更新有关): URLDo32RacMondY.exe -------------------12下一页友情提醒:,特别!----------------------------------------------------- --------------------------------------------------------------------------------------------- 手动杀毒方法步骤(经过实际测试有效): 1、关闭结束掉病毒进程RacMondY.exe。 2、删
17、除掉病毒文件体C:ondY.exe。 3、终止、卸载掉病毒开机自启动服务RacMondY瑞星服务。 4、该后门已经清除