基本介紹
- 中文名:虛假服務
- 外文名:Win32.Troj.Qwin.08
- 別名:Backdoor.Qwin.08.a[AVP]
- 類別:病毒
- 威脅級別:二星
- 類型:木馬
- 影響系統:WinNT
病毒行為
其中QoSServer.dll是一個木馬檔案,它將偽裝成系統進程與外部通信,從而讓攻擊者控制用戶的電腦。
1.修改註冊表:
添加主鍵和鍵值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_QOSSERVER
"NextInstance"=dword:00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_QOSSERVER\0000
"Service"="QoSserver"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000000
"Class"="LegacyDriver"
"ClassGUID"="<系統相關>"
"DeviceDesc"="QoSserver"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_QOSSERVER\0000\Control
"*NewlyCreated*"=dword:00000000
"ActiveService"="QoSserver"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\QoSserver
"Type"=dword:00000010
"Start"=dword:00000002
"ErrorControl"=dword:00000000
"ImagePath"="<病毒的全路徑>"
"DisplayName"="QoSserver"
"ObjectName"="LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\QoSserver\Security
"Security"="<系統相關>"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\QoSserver\Enum
"0"="Root\LEGACY_QOSSERVER\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
2.將自己創建為自動運行的服務QoSserver。
3.創建遠程執行緒,嘗試將%System%\QoSServer.dll注入到進程LSASS.EXE中執行,在TCP連線埠8491打開後門。
