Win32.Troj.Agent.dz.11636是一個可以穿透還原軟體的病毒。病毒通過直接讀寫檔案簇來繞過一些檔案過濾系統的監視,病毒會釋放一個驅動來實現還原軟體的穿透,並修改系統檔案USERINIT.EXE,中毒後每次開機就會下載大量木馬到本地運行。
基本介紹
影響系統,病毒行為,
影響系統
Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行為
該病毒就解除還原系統的保護,使冰點、硬碟保護卡實效。接著,該病毒會利用MS06-014和MS07-017系統漏洞和等多個套用軟體漏洞,從http://xx.exiao***.com/ 、http://www.h***.biz/ 、http://www.xqh***.com/ 等惡意網址下載多款網遊木馬,盜取包括傳奇、魔獸世界、征途、奇蹟等多款網遊帳號和密碼,嚴重威脅遊戲玩家數字財產的安全。正因為冰點還原軟體和硬碟保護卡大多在網咖使用,因此網咖成為該病毒發作的重災區。
一、病毒運行後,病毒會釋放一個驅動檔案pcihdd.sys 到 %system32%drivers\ 下,
並創建服務載入它,載入完畢後就將其刪除.
二、.病毒通過讀 \\.\PhysicalDrive0 (注,和\\.\PhysicalHardDisk0 區別開來)來獲取MBR的信息,並根據MBR信息來判斷第一分區是否為啟動分區且分區類型為病毒所支持的,若不是則不繼續破壞,目前該病毒支持 FAT32,FAT32 LBA,NTFS 三種分區格式.
三、病毒利用pcihdd.sys創建了\Device\PhysicalHardDisk0及其符號連線\\.\PhysicalHardDisk0來對病毒提供解密,破解還原軟體等功能. 並只處理 :
IRP_MJ_CREATE,IRP_MJ_CLOSE,IRP_MJ_DEVICE_CONTROL.
四、病毒感染%system32%Userinit.exe 流程如下:
1.病毒首先打開 \\.\PhysicalHardDisk0 ,這時驅動便找到硬碟的驅動設備\Device\Harddisk0\DR0(實際就是\\.\PhysicalDrive0 所指向的設備), 並判斷是否有被冰點之類還原軟體的設備所掛接,若有則解除還原軟體的掛接,是還原類軟體對\\.\PhysicalDrive0 攔截失效.
2.然後打開 Userinit.exe,並利用FSCTL_GET_RETRIEVAL_POINTERS 來獲取檔案數據的分布信息, 再將控制碼0xF0003C04 傳送給 \\.\PhysicalHardDisk0 來獲取解密的資源數據.
3.最後,通過 \\.\PhysicalDrive0 將獲取的解密數據寫入到 Userinit.exe的第一簇. 由於病毒是直接修改檔案簇的, 所以感染後的Userinit.exe 大小和屬性等信息是不變,唯一不同的是檔案內容及版本信息.
五、被修改後的Userinit.exe :
1. 查詢SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下的Shell鍵值
2. 創建Shell進程
3. 等待網路連結,當網路連結暢通後,則從http://yu.8s7.net/cert.cer下載病毒列表
4. 對於列表中的檔案每個檔案,創建一個新執行緒下載並執行,執行緒計數加 1
5. 等待所有執行緒結束後(執行緒計數為0)結束進程.
