Win32.Troj.Agent.dz.11636
病毒名称(中文):机器狗变种11636
病毒别名:机器狗,IGM
威胁级别:★★☆☆☆
病毒类型:木马下载器
病毒长度:11636
影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
这是一个可以穿透还原软件的病毒。病毒通过直接读写文件簇来绕过一些文件过滤系统的监视,病毒会释放一个驱动来实现还原软件的穿透,并修改系统文件USERINIT.EXE,中毒后每次开机就会下载大量木马到本地运行。
该病毒就解除还原系统的保护,使冰点、硬盘保护卡实效。接着,该病毒会利用MS06-014和MS07-017系统漏洞和等多个应用软件漏洞,从http://xx.exiao***.com/ 、http://www.h***.biz/ 、http://www.xqh***.com/ 等恶意网址下载多款网游木马,盗取包括传奇、魔兽世界、征途、奇迹等多款网游帐号和密码,严重威胁游戏玩家数字财产的安全。正因为冰点还原软件和硬盘保护卡大多在网吧使用,因此网吧成为该病毒发作的重灾区。
一、病毒运行后,病毒会释放一个驱动文件pcihdd.sys 到 %system32%drivers 下,
并创建服务加载它,加载完毕后就将其删除.
二、.病毒通过读 \.PhysicalDrive0 (注,和\.PhysicalHardDisk0 区别开来)来获取MBR的信息,并根据MBR信息来判断第一分区是否为启动分区且分区类型为病毒所支持的,若不是则不继续破坏,目前该病毒支持 FAT32,FAT32 LBA,NTFS 三种分区格式.
三、病毒利用pcihdd.sys创建了DevicePhysicalHardDisk0及其符号连接\.PhysicalHardDisk0来对病毒提供解密,破解还原软件等功能. 并只处理 :
IRP_MJ_CREATE,IRP_MJ_CLOSE,IRP_MJ_DEVICE_CONTROL.
四、病毒感染%system32%Userinit.exe 流程如下:
1.病毒首先打开 \.PhysicalHardDisk0 ,这时驱动便找到硬盘的驱动设备DeviceHarddisk0DR0(实际就是\.PhysicalDrive0 所指向的设备), 并判断是否有被冰点之类还原软件的设备所挂接,若有则解除还原软件的挂接,是还原类软件对\.PhysicalDrive0 拦截失效.
2.然后打开 Userinit.exe,并利用FSCTL_GET_RETRIEVAL_POINTERS 来获取文件数据的分布信息, 再将控制码0xF0003C04 发送给 \.PhysicalHardDisk0 来获取解密的资源数据.
3.最后,通过 \.PhysicalDrive0 将获取的解密数据写入到 Userinit.exe的第一簇. 由于病毒是直接修改文件簇的, 所以感染后的Userinit.exe 大小和属性等信息是不变,唯一不同的是文件内容及版本信息.
五、被修改后的Userinit.exe :
1. 查询SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon下的Shell键值
2. 创建Shell进程
3. 等待网络链接,当网络链接畅通后,则从http://yu.8s7.net/cert.cer下载病毒列表
4. 对于列表中的文件每个文件,创建一个新线程下载并执行,线程计数加 1
5. 等待所有线程结束后(线程计数为0)结束进程.