当前位置:站长防黑网防黑文章程序漏洞病毒分析

文章正文

Trojan.Backdoor.b的病毒样本分析

减小字体 增大字体 作者:佚名  来源:本站整理  发布时间:2014-12-02 10:32:22

 病毒描述


病毒名称    :  Trojan.Backdoor.b

文件MD5     :  9310F7FD087632EF850BDBE7F2DA1798
文件大小    :  176,128 字节
编写环境    :  ASM
是否加壳    :  否


文档公开级别 : 完全公开

病毒执行体描述:

    Trojan.Backdoor.b 病毒伪装成OFFICE 办公软件的 EXCEL图标,诱骗用户点击,当用户点击后会弹出EXCEL的界面,对注册表EXCEL的宏安全属性进行修改级别到最低,以方便EXCEL宏的执行。在系统程序安装目录创建伪装隐藏文件夹,释放两个随机名称的动态链接库(DLL)文件。检测特定系统服务是否启动,并修改系统服务动态链接库的加载项为病毒程序替换的,当服务被启动时会加载释放的DLL来连接远程服务器,远程控制用户的机器,上传下载用文件窃取资料,监听键盘鼠标,监视网页浏览等。


病毒行为流程分析:

一.传播途径
    通过伪装成EXCEL的文件图标,当用户点击的时候会对机器有安全威胁,通常这种文件被传送的途径是邮箱传播与QQ文件传送,邮箱传播多为垃圾邮件传播,QQ文件传送为客户之间传送资料,代理商之间的资料传送,木马的传播方式隐蔽很难被用户发现,多数在商业公司或政府单位的机器里传播,普通电脑玩家的中毒率较低。

二、执行流程
    Trojan.Backdoor.b 病毒执行会先检测系统中是否有安装Office办公软件系列,遍历注册表修改EXCEL表格的宏安全等级。并调用执行EXCEL。

注册表

键值

内容

HKEY_CURRENT_USER\Software\MicrosoftOffice\X\Excel\Security(X 对应为遍历的版本)

level

默认为4(最高级别)

更改为1(安全级别)

 完成对office软件的宏安全级别修改后,开始搭建远程控制的上线环境。取得系统软件安装的目录,并检测"NVIDIA"文件夹,未找到则创建此文件夹权限为隐藏。病毒完成对文件夹的创建后,并读取自身的资源文件,并释放两个动态链接库文件。都为随机名称,使程序内相互调用的时候不直接使用链接库文件名称。为了远控加载器可以找到释放后的远控核心文件,则对注册表进行添加核心文件的位置供两个互相不知道名称的文件找到对方。

释放目录

文件名称

文件作用

C:\Program Files\NVIDIA\

MGntEx.Dll(为随机名称)

远程控制加载器

C:\Program Files\NVIDIA\

LRntEx.OLE(为随机名称)

远程控制核心文件

 

 

 


修改注册表供存放远程控制核心文件位置

 

注册表

键值

内容

HKEY_LOCAL_MACHI\ESoftware\install

Debug

c:\ProgramFiles\NVIDIA\LRntEx.OLE

 

 

 

以上的上线环境搭建完成后,需要对系统相关的服务依赖DLL进行替换,则直接对注册表进行修改。


注册表

键值

内容

HKEY_LOCAL_MACHIE\SYSTEM\CURRENTCONTROLSET\Services\W32Time\TimeProviders\NtpServer

DllName

C:\Program Files\NVIDIA\MGntEx.Dll

 

 

 

 修改后由于系统服务没启动,修改策略为每次开机自动启动服务,当前系统服务立即启动。启动后MGntEx.Dll会被加载入服务进程的内存中,并检测当前执行的进程是否是Svchost.exe,不是则退出。是则读取注册表"HKEY_LOCAL_MACHIE\Software\install"位置的Debug里面的内容,并加载到当前内存中。此时远程控制则进行上线的检测,等待远程服务端的信号了,远程控制具备上传下载,屏幕监控,软件捕捉,进程监控等功能。 

 

连接地址

端口

是否回应

bxcenh521.3322.org

8808

 

病毒技术要点

       Trojan.Backdoor.b 是伪装病毒里比较少见的加载方式,为DIY版本,在病毒对Office 环境进行修改的时候,远程控制进行安装,使用DLL为加载器,常见的多为EXE可执行文件加载到系统之中,保证了远控的核心文件不直接被找到,在替换系统服务直接替换的动态链接库,而不直接新建一个服务,具有隐蔽性,在防止杀毒软件云上传和检测的时候将自身膨胀到19M大小。

 

病毒清理流程

1.检测注册表项下是否有对应的文件,找到直接删除。

注册表

键值

内容

HKEY_LOCAL_MACHIE\Software\install

Debug

c:\ProgramFiles\NVIDIAL\RntEx.OLE


2.检测目录看是否有可疑项,找到直接删除。

释放目录

文件名称

文件作用

C:\Program Files\NVIDIA

MGntEx.Dll(为随机名称)

远程控制加载器

C:\Program Files\NVIDIA

LRntEx.OLE(为随机名称)

远程控制核心文件


3.如果您无法分辨是否病毒,请安装使用江民杀毒软件对系统进行扫描,以清除系统服务的内存残留病毒。
 
温馨提示:您正在浏览的是来自站长防黑网收集的文章【Trojan.Backdoor.b的病毒样本分析

Tags:

好的评价 如果您觉得此文章好,就请您
  0%(0)
差的评价 如果您觉得此文章差,就请您
  0%(0)

文章评论

文章评论 评论内容只代表网友观点,与本站立场无关!
   评论摘要(共 0 条,得分 0 分,平均 0 分) 查看完整评论
网站首页 关于本站 网站帮助 广告合作 联系我们 免责申明 网站地图  ©2010- zzfhw.com . All rights reserved. 站长防黑网 版权所有