trojan/rootkit.agent.da
发布网友
发布时间:2022-06-03 05:21
共1个回答
热心网友
时间:2023-10-12 08:12
报告名称:对第3代机器狗变种的简单分析(内含工作原理)报告类型:病毒分析播报分析编辑:Coderui编写日期:2008年02月20日标注信息:“TrojanDownloader.Delf.iiu”为第3代机器狗病毒变种病毒名称:TrojanDownloader.Delf.iiu中 文 名:“TrojanDownloader.Delf”变种iiu病毒长度:21504字节病毒类型:木马下载器危险级别:★★影响平台:Win 9X/ME/NT/2000/XP/2003病毒描述: TrojanDownloader.Delf.iiu“TrojanDownloader.Delf”变种iiu是木马下载器家族的最新成员之一,采用delphi语言编写,并经过添加UPX壳压缩处理,脱壳后的程序入口点为:00006FB4。“TrojanDownloader.Delf”变种iiu运行后,会在被感染计算机系统中的临时文件夹下释放一个恶意驱动文件(命名方式为“~*.tmp”,符号“*”表示随机。文件大小为:10,496 字节。),会自我复制到被感染计算机系统的“\Documents and Settings\All Users\「开始」菜单\程序\启动\”目录下,并以原文件名称保存(同时会利用释放出来安装后的恶意驱动程序,将自身保存到真实的物理磁盘中,达到穿透“系统还原保护程序”的目的)。当“TrojanDownloader.Delf”变种iiu执行完毕后,会将恶意驱动文件删除,但该驱动还在内存中运行工作着。“TrojanDownloader.Delf”变种iiu会在被感染计算机系统的后台连接骇客指定远程服务器站点“http://www.ing168.cn/gaga/”和“www.shadowmp3.com/test/”,下载其它恶意程序“1.exe”、“2.exe”、“3.exe”和“logonsvc.exe”并自动调用运行。其中,所下载的恶意程序可能为木马下载器、远程控制后门或网络游戏盗号木马等,会给被感染计算机用户带去不同程度的损失。 恶意驱动程序“~*.tmp”(符号“*”表示随机)为Rootkit.Agent.da“代理”变种da,是“TrojanDownloader.Delf”变种iiu的恶意驱动文件,利用了磁盘过滤驱动技术和关机HOOK技术等。安装运行后,可以直接挂接磁盘IO端口进行读写真实磁盘物理地址中的数据和进行监控关机行为等操作。“TrojanDownloader.Delf”变种iiu会利用该恶意驱动文件将自身复制并保存到被感染计算机系统中真实磁盘的“\Documents and Settings\All Users\「开始」菜单\程序\启动\”目录下,达到穿透“还原保护系统”的目的。并且当用户关闭或重新启动计算机时,这个恶意驱动文件还会把“TrojanDownloader.Delf”变种iiu重新再次写入到真实磁盘中对应的“启动”文件夹里。从而使“TrojanDownloader.Delf”变种iiu每次开机都可以利用“启动”文件夹来实现开机自我启动运行。
