修改进程peb结构的后门病毒分析

《修改进程peb结构的后门病毒分析》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、修改进程PEB结构的后门病毒分析～教育资源库　　英文名称：Backdoor/Huigezi.rvh　　中文名称：灰鸽子变种rvh　　病毒类型：后门　　文件大小：15,360字节　　危险级别：★★　　影响平台：E/NT/2000/XP/2003　　该病毒添加3层保护壳。　　全部脱壳后的程序入口点为：00003DCE。　　采用编译器：MicrosoftVisualC++6.0　　对病毒主安装程序部分进行分析：　　骇客通信地址，初始化读取解密：　　218.24.148.196:5000　　自我复制：　　C:ondY.exe->文件属性设

2、置为：系统、隐藏。　　调用运行复制后的病毒体时使用的方式：　　LoadLibraryA　　FileName=kernel32.dll　　GetProcAddress　　hModule=7C800000(kernel32)　　ProcNameOrOrdinal=CreateProcessInternalA　　CreateProcessInternalA　　C:ondY.exe　　自我删除：　　CreateProcessA　　mandLine=C:E~1ADMINI~1桌面1.exe>nul　　关闭退出：　　DS:[004040CC]

3、=77C09E9A(msvcrt._exit)　　对病毒RacMondY.exe的执行部分进行分析：　　以服务方式启动运行(伪装自身为瑞星服务)：　　CreateServiceA　　0012FCBC00145708　hManager=00145708　　0012FCC0004061C5　ServiceName=RacMondY　　0012FCC4004061F7　DisplayName=RacMondY瑞星服务　　0012FCC8000F01FF　DesiredAccess=SERVICE_ALL_ACCESS　　0012FCCC000

4、00110　ServiceType=SERVICE_ondY.exe　　0012FCDC00000000　LoadOrderGroup=NULL　　0012FCE000000000　pTagId=NULL　　0012FCE400000000　pDependencies=NULL　　0012FCE800000000　ServiceStartName=NULL　　0012FCEC00000000Passsvcrt._exit)　　对病毒RacMondY.exe的服务部分进行分析：　　修改自身进程的PEB结构表，把自己伪装成系统svchost

5、.exe进程。　　然后再去连接网络进行秘密通信，可以躲避掉防火墙的监控(利用白名单原理)。　　在被感染计算机系统的后台循环连接骇客服务器进行秘密通信：　　218.24.148.196:5000　　会下载恶意程序(可能和自动更新有关)：　　URLDo32RacMondY.exe　　手动杀毒方法步骤(经过实际测试有效)：　　1、关闭结束掉病毒进程RacMondY.exe。　　2、删除掉病毒文件体C:ondY.exe。　　3、终止、卸载掉病毒开机自启动服务RacMondY瑞星服务。　　4、该后门已经清除干净，请使用杀毒软件扫描全盘，看是否还存

6、在其它恶意程序。友情提醒：，特别！