西伯利亚渔夫
西伯利亚渔夫为蒙古人种,最早出现在1750年,贝尔加湖北段。1876年,因沙皇俄国向远东扩张,这群渔夫又被迫从由贝尔加湖北段南迁至蒙古北部的巴楞格河上游。1921年,蒙古人民共和国成立,这群渔夫因与当年大清帝国有关联,则被驱逐出境,被流放到巴尔喀什湖附近。1991年,苏联解体,他们则成为了哈萨克斯坦国民。
西伯利亚渔夫病毒 Win32.Troj.Agent.ib.69632
病毒名称(中文):西伯利亚渔夫
病毒别名:
威胁级别:★★☆☆☆
病毒类型:木马程序
病毒长度:69632
影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
这是一个专门劫持浏览器的木马。它通过修改用户的DNS设置,使用户在浏览正常网站时,被指引到病毒作者指定的钓鱼网站。病毒作者采用一系列复杂的加密手法,试图干扰安全软件的正常查杀。
这个病毒,修改用户DNS设置,使用户正常网站链接被定位到病毒设置的钓鱼网站
这个病毒经过变形处理,解密前的导出表是两个随机名,运行后会解密真正的导出表函数与代码。
调用导出表函数_mp@4:
1:打开当前令牌,获取TokenPrivileges,循环打开权限列表中存在的所有权限,通过GetProcAddress,读IMAGE_EXPORT_DIRECTORY,硬编码地址等多种方法获取Api:
EnumProcessModules
GetModuleFileNameExA
NtQuerySystemInformation
NtQueryInformationProcess
NtQueryInformationThread
NtOpenThread
NtQueryObject
NtQueryInformationFile
NtEnumerateValueKey
NtQueryValueKey
GetProcAddress
LoadLibraryA
等等
2:
检查进程ieuser.exe,找到了就结束该进程
复制自身到%sys32dir%kdxxx.exe的中,xxx为3位"a--z"的随机小写字母,同时复制explorer.exe到%sys32dir%下
添加注册表启动项:
SoftwareMicrosoftWindows NTCurrentVersionWinlogon system 指向病毒文件
SoftwareMicrosoftWindowsCurrentVersion run 指向病毒文件
如果系统是Vista,会添加一个服务启动项: Windows Tribute Service
3:
关闭 Dnscache 服务;
修改
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
DhcpNameServer 和 NameServer
85.2*5.1*4.106,85.2*5.1*2.1*5
修改DNS服务器到白俄罗斯的域名解析服务器。
重新打开Dnscache服务
4:Hook下列函数,隐藏病毒文件
NtSetValueKey
NtResumeThread
NtQueryDirectoryFile
NtDeleteValueKey
OpenProcess
DebugActiveProcess
5:
将病毒代码注入到其他的系统进程中执行,
被注入代码的、进程的头部+Ch处,有"PE"的标记。
尝试注入的进程有explorer.exe,csrss.exe,runonce.exe,service.exe等等
注入代码包括循环添加注册表启动项,循环修改DNS服务器设置;
连接远端地址64.*8.1*8.2*1,执行其他的黑客行为,盗取信息,下载;
检查到浏览器iexplorer.exe时,hook下列Api:HttpSendRequestA,RegisterBindStatusCallback,recv
检查到浏览器firefox.exe的话,hook下列Api:recv
6:
结束自身进程
保留一个打开的句柄在csrss.exe中,防止自身被删除