返回
sbl.sys,beep.sys,ravmond.exe分析查杀

sbl.sys,beep.sys,ravmond.exe分析查杀

ID:9489705

大小:64.50 KB

页数:7页

时间:2018-05-01

sbl.sys,beep.sys,ravmond.exe分析查杀_第1页
sbl.sys,beep.sys,ravmond.exe分析查杀_第2页
sbl.sys,beep.sys,ravmond.exe分析查杀_第3页
sbl.sys,beep.sys,ravmond.exe分析查杀_第4页
sbl.sys,beep.sys,ravmond.exe分析查杀_第5页
资源描述:

《sbl.sys,beep.sys,ravmond.exe分析查杀》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、sbl.sys,beep.sys,RavMonD.exe分析查杀~教育资源库  病毒摘要  该样本是使用Delphi编写的木马下载器程序,由微点主动防御软件自动捕获,采用NSPack加壳方式试图躲避特征码扫描,加壳后长度为37,223字节,图标为,使用exe扩展名,通过网页木马、文件捆绑途径植入用户计算机,运行后联网下载其他木马到本地运行。  病毒分析  该样本程序被执行后,创建名为AvLoveAvAvAvAvAv的互斥体,防止程序的再次调用,尝试修改如下360安全卫士相关键值,实现关闭其实时监控来保护自身:  Quote:  项:HKLMSofton  键:

2、ExecAccess  指向数据:0  键:MonAccess  指向数据:0  键:LeakShoRoot%system32drivers目录下beep.sys文件读到内存缓冲区作备份,并释放病毒驱动文件sbl.sys到此目录下,调用API函数关闭beep服务,拷贝病毒驱动sbl.sys为beep.sys,并使用相关API函数启动beep服务以加载病毒驱动。驱动加载成功后,恢复SSDT,使部分杀毒软件安全监控失效。后该样本使用API函数DeleteFileA删除病毒驱动文件sbl.sys,并将内存缓冲区备份的原系统文件beep.sys进行回写,恢复系统bee

3、p.sys文件,实现此病毒驱动的隐藏,遍历查找下列指定的安全进程,找到后尝试关闭该安全进程,实现自身的保护:  Quote:  RavMonD.exe  RavMon.exe  Rav.exe  RavTask.exe  RavStub.exe  CCenter.exe  360rpt.exe  360Safe.exe  360tray.exe  rfRoot%下,名称为system32StopAor.exe,添加如下相关注册表项实现自身随机启动:  Quote:  项:HKLMSoftRoot%system32StopAor.exe  修改下列的注册表键值实

4、现不显示隐藏文件,企图隐藏木马:  Quote:  项:HKCUSoftageFileExecutionOptions下添加下列项,达到劫持大部分安全软件的目的:  Quote:  360safe.exe  adffgh785v.exe  360tray.exe  adam.exe  agentsvr.exe  appsvc32.exe  autoruns.exe  avgrssvc.exe  avmonitor.exe  avp.  avp.exe  ccenter.exe  ccsvchst.exe  filedsty.exe  ftcleanershel

5、l.exe  hijackthis.exe  iceso.exe  iparmor.exe  ispain.exe  kastask.exe  kav32.exe  kavdx.exe  kavp12下一页友情提醒:,特别!failmon.exe  kmfilter.exe  kpfcl.exe  kvmonxp.kxp  kvmonxp_1.kxp  kvol.exe  kvolself.exe  kvreport.kxp  kvsrvxp.exe  kvstub.kxp  kvupload.exe  kvagicset.exe  mcconsol.exe 

6、 mmqczj.exe  mmsk.exe  navsetup.exe  nod32krn.exe  nod32kui.exe  pfon.exe  ravmond.exe  ravstub.exe  ravtask.exe  regclean.exe  rfain.exe  rfartup.exe  sreng.exe  symlcsvc.exe  syssafe.exe  trojandetector.exe  trojanxagent.exe  umxattachment.exe  umxcfg.exe  umxfxpol.exe  uplive.exe

7、  gr.exe  guangd.exe  appdllman.exe  kerneles.exe  txomou.exe  guangd.exe  cross.exe  sdgames.exe  regedit.exe  regedit32.exe  Root%system32StopAor.exe  调用API函数URLDoRoot%system32下,名称为Contxt.dat:  Quote:  ma/si.txt  读取木马列表配置文件Contxt.dat,下载大量木马并在下载后调用运行木马,读完配置文件后,调用API函数DeleteFileA删除此

8、Contxt.dat配置文件,通过枚举

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。