Loading...

当前位置:资讯中心主页 >网络安全 >文章内容

  • 修改进程PEB结构的后门病毒分析
  • 来源:金山 作者:金山 发布时间:2008-05-27 08:00:00

    • 域名注册

    • 域名惊喜价格 cn域名1元注册
    • com域名39.9

      虚拟主机

    • 主机按月支付,低至19元/月
    • 超大流量,可开子站点

      VPS主机

    • 特惠VPS168元/月,4-8M独享带宽保证
    • 独立操作系统,无限开站点

     英文名称:Backdoor/Huigezi.rvh

      中文名称:“灰鸽子”变种rvh

      病毒类型:后门

      文件大小:15,360 字节

      危险级别:★★

      影响平台:Win 9X/ME/NT/2000/XP/2003

      该病毒添加3层保护壳。

      全部脱壳后的程式入口点为:00003DCE。

      采用编译器:Microsoft Visual C++ 6.0

      对病毒主安装程式部分进行分析:

      骇客通信地址,初始化读取解密:

      "218.24.148.196:5000"

      自我复制:

      "C:\WINDOWS\system32\RacMondY.exe" ->文件属性设置为:系统、隐藏。

      调用运行复制后的病毒体时使用的方式:

      LoadLibraryA

      \FileName = "kernel32.dll"

      GetProcAddress

      hModule = 7C800000 (kernel32)

      ProcNameOrOrdinal = "CreateProcessInternalA"

      CreateProcessInternalA

      "C:\WINDOWS\system32\RacMondY.exe"

      自我删除:

      CreateProcessA

      CommandLine = "C:\WINDOWS\system32\cmd.exe /c del C:\DOCUME~1\ADMINI~1\桌面\1.exe > nul"

      关闭退出:

      DS:[004040CC]=77C09E9A (msvcrt._exit)

      对病毒“RacMondY.exe”的执行部分进行分析:

      以服务方式启动运行(伪装自身为“瑞星”服务):

      CreateServiceA

      0012FCBC 00145708  hManager = 00145708

      0012FCC0 004061C5  ServiceName = "RacMondY"

      0012FCC4 004061F7  DisplayName = "RacMondY 瑞星服务"

      0012FCC8 000F01FF  DesiredAccess = SERVICE_ALL_ACCESS

      0012FCCC 00000110  ServiceType = SERVICE_WIN32_OWN_PROCESS SERVICE_INTERACTIVE_PROCESS

      0012FCD0 00000002  StartType = SERVICE_AUTO_START

      0012FCD4 00000000  ErrorControl = SERVICE_ERROR_IGNORE

      0012FCD8 0012FD28  BinaryPathName = "C:\WINDOWS\system32\RacMondY.exe"

      0012FCDC 00000000  LoadOrderGroup = NULL

      0012FCE0 00000000  pTagId = NULL

      0012FCE4 00000000  pDependencies = NULL

      0012FCE8 00000000  ServiceStartName = NULL

      0012FCEC 00000000 \Password = NULL

      关闭退出:

      DS:[004040CC]=77C09E9A (msvcrt._exit)

      对病毒“RacMondY.exe”的服务部分进行分析:

      修改自身进程的“PEB”结构表,把自己伪装成系统“svchost.exe”进程。

      然后再去连接网络进行秘密通信,能躲避掉防火墙的监视(利用白名单原理)。

      在被感染计算机系统的后台“循环”连接骇客服务器进行秘密通信:

      "218.24.148.196:5000"

      会下载恶意程式(可能和自动更新有关):

      "URLDownloadToCacheFileA"

      "c:\1.exe" <-保存文件名称

      该病毒是个远程控制后门程式,能远程控制被感染的计算机,并且执行一些恶意性质的操作。

    共2页: 上一页 [1] [2] 下一页 [1][2]

  • 以上内容由 华夏名网 搜集整理,如转载请注明原文出处,并保留这一部分内容。

      “华夏名网” http://www.sudu.cn 和 http://www.bigwww.com 是成都飞数科技有限公司的网络服务品牌,专业经营虚拟主机,域名注册,VPS,服务器租用业务。公司创建于2002年,经过6年的高速发展,“华夏名网”已经成为我国一家知名的互联网服务提供商,被国外权威机构webhosting.info评价为25大IDC服务商之一。

    华夏名网网址导航: 虚拟主机 双线主机 主机 域名注册 cn域名 域名 服务器租用 酷睿服务器 vps vps主机

  • (阅读次数:65)
  • 上一篇: 巧治Vista下U盘自动运行病毒方法    下一篇: 常见手机病毒表现症状
  • [收藏] [推荐] [评论] [打印本页] [返回上一页][关闭窗口]
  • 昵称: (为空则显示guest)
  • 评论分数: ★ ★ ★★★ ★★★★ ★★★★★
  • 评论内容:(不能超过250字,需审核后才会公布,请自觉遵守互联网相关政策法规。