器狗木马有10多个变种!
%Temp%释放随机命名的P处理,建立pcihdd.sys文件夹
本身并不判断文件系统,直接P处理,保证pcihdd.sys、userinit.exe不被NTFS文件系统的权限控制:
Parentprocess:
Path:C:\WINNT\system32\CMD.EXE
PID:468
Information:WindowsNTCommandProcessor(MicrosoftCorporation)
Childprocess:
Path:C:\WINNT\system32\cacls.exe
Information:ControlACLsProgram(MicrosoftCorporation)
Commandline:caclsC:\winnt\system32\drivers\pcihdd.sys/e/peveryone:n
Parentprocess:
Path:C:\WINNT\system32\CMD.EXE
PID:468
Information:WindowsNTCommandProcessor(MicrosoftCorporation)
Childprocess:
Path:C:\WINNT\system32\cacls.exe
Information:ControlACLsProgram(MicrosoftCorporation)
Commandline:caclsC:\winnt\system32\userinit.exe/e/peveryone:r
然后释放病毒文件pvc.exe,于192.168.0.1-192.168.0.254网段
加入框架(病毒)数据包,参数为:
-idx0-ip192.168.0.1-192.168.0.254-port80-insert""
病毒行为:
去除pcihdd.sys的文件属性,并删除原有的pcihdd.sys文件夹。Tw.wiNgwit.CoM
然后继续下载:
h**p://xx*/big.exe
h**p://xx*/big1.exe
哈哈,自始至终终于见到机器狗了(big.exe)
第2个是上面分析过的ARP病毒,哈哈``54ing``删掉
再看看那个机器狗,哈``首先检测pcihdd.sys是否存在。
若不在则注册该驱动,然后判断条件,如果满足以下条件则退出,不做其他操作:
1、不是启动分区,比如说双系统。
2、文件系统,哈哈``不会是针对FAT16的吧
3、如果是NTFS,使用了文件压缩功能,可能导致病毒驱动在计算Userinnt地址时会出现错误?
4、读取Userinnt失败(设置权限),这个版本的小狗应该还不至于出现这情况。
如果没有意外,则pcihdd.sys访问磁盘底层,读取%SystemRoot%\System32\Userinit.exe
并修改。(应该会穿过一些还原类的东东`)
我测试被HIPS自动拒绝,所以。。。。>_<
能不能穿透影子还不知道。
被修改后的Userinit.exe,重启系统后联网下载东东:
至于解决方法,基本有这几条思路:
1、杀软或HIPS禁止其运行。(对个人PC比较实用)
2、权限设置,禁止修改Userinit.exe和创建pcihdd.sys。(看起来比较渺茫``HIPS的FD可以)
3、路由或防火墙那里把hXXp://屏蔽了
4、注册表权限,这个比较简单,网吧或局域环境的,操作起来不会太难:
我的是2K系统,比较麻烦```:
开始-运行-regedt32(XP系统不用,直接运行regedit就可以!)
在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\(系统服务)
建立个名为PciHdd的空键,然后上权限,system和管理员权限的都要设置。
如果已经有了PciHdd,不用删它,设置为禁止控制和读取^_^
5、最后一个比较推荐:
CMD
cdhellip;hellip;到drivers
mdpcihdd.sys
cdpcihdd.sys
md1...\