某释放驱动的样本分析及手杀报告
此為樣本文件下載鏈接:http://download.csdn.net/detail/cs08211317dn/3982364,壓縮包解壓縮密碼為:virus。
今天花了1個多小時分析了一款名為123.exe的病毒,覺得挺有意思的,于是順手寫個手殺報告,以備以后查看。
1.病毒行為:
(1)利用注冊表項?HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options劫持多個軟件,在powertool中看到的劫持情況如下圖:
(2)釋放一個名字隨機的驅動:C:\WINDOWS\system32\ 77037933.sys。此驅動釋放文件系統dispatch鉤子,以隱藏自身和另外一個病毒文件
C:\WINDOWS\system32\appmgmts.dll。驅動鉤子如下圖:
(3)刪除了以下兩個注冊表項:
HKEY_LOCAL_MACHINESYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINE SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
使得用戶無法進入安全模式。
2.手殺步驟:
(1)僅僅摘除鉤子是不夠的,因為驅動會回寫鉤子。所以用powertool卸載掉掛鉤的驅動:C:\WINDOWS\system32\ 77037933.sys。隨著驅動被卸載,鉤子也就不復存在了。
(2)此時在資源管理器中能夠看到C:\WINDOWS\system32\ 77037933.sys和C:\WINDOWS\system32\appmgmts.dll。sys文件能夠順利刪除。但是在刪除appmgmts.dll系統彈出以下錯誤框:
無法刪除的原因很有可能是還有進程在調用此文件。在xuetr中查找進程模塊,發現pid為1128的進程svchost.exe在調用appmgmts.dll,截圖如下:
于是先結束掉svchost.exe進程,再刪除appmgmts.dll成功。注意,要盡快刪掉appmgmts.dll,否則此文件又會重新釋放一個驅動文件,來替換剛才我們刪除的驅動文件的功能。這樣前面做的步驟就都白費了。
(3)修復鏡像劫持:刪除?HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options這個注冊表項。
(4)修復安全模式:添加注冊表項:
HKEY_LOCAL_MACHINESYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINE SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
(5)到此為止,手殺完畢。提醒一點。不能刪除appmgmts.dll時,用一些軟件是可以刪除的,但是不完全。比如我用一款叫“頑固木馬克星”的殺毒軟件掃描到此文件并刪除,刪除確實是刪除了,但是pid為1128的進程svchost.exe會再生成此文件,以下是我用processmonitor監測到的回寫行為:
所以,要寫完全刪除appmgmts.dl文件,必須先結束pid為1128的進程svchost.exe的進程。否則svchost.exe會生成appmgmts.dl,而appmgmts.dl會再釋放一個驅動。這樣就相當于又回到了手殺的最初。
總結
以上是生活随笔為你收集整理的某释放驱动的样本分析及手杀报告的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Linux Kettle 闪退问题解决方
- 下一篇: showModalDialog页面