器狗木馬有10多個變種!
%Temp%釋放隨機命名的P處理,建立pcihdd.sys文件夾
本身並不判斷文件系統,直接P處理,保證pcihdd.sys、userinit.exe不被NTFS文件系統的權限控制:
Parentprocess:
Path:C:\WINNT\system32\CMD.EXE
PID:468
Information:WindowsNTCommandProcessor(MicrosoftCorporation)
Childprocess:
Path:C:\WINNT\system32\cacls.exe
Information:ControlACLsProgram(MicrosoftCorporation)
Commandline:caclsC:\winnt\system32\drivers\pcihdd.sys/e/peveryone:n
Parentprocess:
Path:C:\WINNT\system32\CMD.EXE
PID:468
Information:WindowsNTCommandProcessor(MicrosoftCorporation)
Childprocess:
Path:C:\WINNT\system32\cacls.exe
Information:ControlACLsProgram(MicrosoftCorporation)
Commandline:caclsC:\winnt\system32\userinit.exe/e/peveryone:r
然後釋放病毒文件pvc.exe,於192.168.0.1-192.168.0.254網段
加入框架(病毒)數據包,參數為:
-idx0-ip192.168.0.1-192.168.0.254-port80-insert""
病毒行為:
去除pcihdd.sys的文件屬性,並刪除原有的pcihdd.sys文件夾。Tw.wiNgwit.CoM
然後繼續下載:
h**p://xx*/big.exe
h**p://xx*/big1.exe
哈哈,自始至終終於見到機器狗了(big.exe)
第2個是上面分析過的ARP病毒,哈哈``54ing``刪掉
再看看那個機器狗,哈``首先檢測pcihdd.sys是否存在。
若不在則注冊該驅動,然後判斷條件,如果滿足以下條件則退出,不做其他操作:
1、不是啟動分區,比如說雙系統。
2、文件系統,哈哈``不會是針對FAT16的吧
3、如果是NTFS,使用了文件壓縮功能,可能導致病毒驅動在計算Userinnt地址時會出現錯誤?
4、讀取Userinnt失敗(設置權限),這個版本的小狗應該還不至於出現這情況。
如果沒有意外,則pcihdd.sys訪問磁盤底層,讀取%SystemRoot%\System32\Userinit.exe
並修改。(應該會穿過一些還原類的東東`)
我測試被HIPS自動拒絕,所以。。。。>_<
能不能穿透影子還不知道。
被修改後的Userinit.exe,重啟系統後聯網下載東東:
至於解決方法,基本有這幾條思路:
1、殺軟或HIPS禁止其運行。(對個人PC比較實用)
2、權限設置,禁止修改Userinit.exe和創建pcihdd.sys。(看起來比較渺茫``HIPS的FD可以)
3、路由或防火牆那裡把hXXp://屏蔽了
4、注冊表權限,這個比較簡單,網吧或局域環境的,操作起來不會太難:
我的是2K系統,比較麻煩```:
開始-運行-regedt32(XP系統不用,直接運行regedit就可以!)
在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\(系統服務)
建立個名為PciHdd的空鍵,然後上權限,system和管理員權限的都要設置。
如果已經有了PciHdd,不用刪它,設置為禁止控制和讀取^_^
5、最後一個比較推薦:
CMD
cdhellip;hellip;到drivers
mdpcihdd.sys
cdpcihdd.sys
md1...\
From:http://tw.wingwit.com/Article/os/xtgl/201401/30151.html