修改进程PEB结构的后门病毒分析
英文名称:Backdoor/Huigezi.rvh
中文名称:“灰鸽子”变种rvh
病毒类型:后门
文件大小:15,360 字节
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
该病毒添加3层保护壳。
全部脱壳后的程序入口点为:00003DCE。
采用编译器:Microsoft Visual C++ 6.0
对病毒主安装程序部分进行分析:
骇客通信地址,初始化读取解密:
"218.24.148.196:5000"
自我复制:
"C:\WINDOWS\system32\RacMondY.exe" ->文件属性设置为:系统、隐藏。
调用运行复制后的病毒体时使用的方式:
LoadLibraryA
\FileName = "kernel32.dll"
GetProcAddress
hModule = 7C800000 (kernel32)
ProcNameOrOrdinal = "CreateProcessInternalA"
CreateProcessInternalA
"C:\WINDOWS\system32\RacMondY.exe"
自我删除:
CreateProcessA
CommandLine = "C:\WINDOWS\system32\cmd.exe /c del C:\DOCUME~1\ADMINI~1\桌面\1.exe > nul"
关闭退出:
DS:[004040CC]=77C09E9A (msvcrt._exit)
对病毒“RacMondY.exe”的执行部分进行分析:
以服务方式启动运行(伪装自身为“瑞星”服务):
CreateServiceA
0012FCBC 00145708 hManager = 00145708
0012FCC0 004061C5 ServiceName = "RacMondY"
0012FCC4 004061F7 DisplayName = "RacMondY 瑞星服务"
0012FCC8 000F01FF DesiredAccess = SERVICE_ALL_ACCESS
0012FCCC 00000110 ServiceType = SERVICE_WIN32_OWN_PROCESS SERVICE_INTERACTIVE_PROCESS
0012FCD0 00000002 StartType = SERVICE_AUTO_START
0012FCD4 00000000 ErrorControl = SERVICE_ERROR_IGNORE
0012FCD8 0012FD28 BinaryPathName = "C:\WINDOWS\system32\RacMondY.exe"
0012FCDC 00000000 LoadOrderGroup = NULL
0012FCE0 00000000 pTagId = NULL
0012FCE4 00000000 pDependencies = NULL
0012FCE8 00000000 ServiceStartName = NULL
0012FCEC 00000000 \Password = NULL
关闭退出:
DS:[004040CC]=77C09E9A (msvcrt._exit)
对病毒“RacMondY.exe”的服务部分进行分析:
修改自身进程的“PEB”结构表,把自己伪装成系统“svchost.exe”进程。
然后再去连接网络进行秘密通信,可以躲避掉防火墙的监控(利用白名单原理)。
在被感染计算机系统的后台“循环”连接骇客服务器进行秘密通信:
"218.24.148.196:5000"
会下载恶意程序(可能和自动更新有关):
"URLDownloadToCacheFileA"
"c:\1.exe" <-保存文件名称
该病毒是一个远程控制后门程序,可以远程控制被感染的计算机,并且执行一些恶意性质的操作。
病毒开机后以服务方式启动:
服务名称:RacMondY 瑞星服务
服务项名:RacMondY
服务类型:独立进程服务
程序路径:"C:\WINDOWS\system32\RacMondY.exe"
手动杀毒方法步骤(经过实际测试有效):
1、关闭结束掉病毒进程“RacMondY.exe”。
2、删除掉病毒文件体“C:\WINDOWS\system32\RacMondY.exe”。
3、终止、卸载掉病毒开机自启动服务“RacMondY 瑞星服务”。
4、该后门已经清除干净,请使用杀毒软件扫描全盘,看是否还存在其它恶意程序。