基本介紹
- 中文名:黑客門
- 外文名:Backdoor.Win32.Haxdoor.hw
- 病毒類型:後門類
- 公開範圍:完全公開
- 檔案MD5:A8E360597222A5A51C6AD6979BE0C41C
- 危害等級:高
- 檔案長度:55,066 位元組
- 感染系統:Win95以上系統
- 開發工具:Microsoft Visual C++ 6.0
- 加殼類型:FSG 2.0 -> bart/xt [Overlay]
- 命名對照:驅逐艦[BackDoor.Haxdoor.232]瑞星[Backdoor.Haxdoor.qk]
病毒描述,行為分析,清除方案,
病毒描述
首先,病毒釋放驅動檔案並載入,然後在用戶空間可以通過直接讀寫\device\physicalmemory來修改SSDT的入口,從而可攔截系統調用API函式,當有查詢或創建與病毒釋放檔案同名的事件發生時,即刻過濾掉。病毒通過創建系統服務的形式載入病毒體。該病毒可被人利用來控制用戶電腦。
行為分析
(1)、衍生病毒檔案:
%system32%\ips.dat
%system32%\kgctini.dat
%system32%\qo.dll
%system32%\qo.sys
%system32%\yvpp01.dll
%system32%\yvpp01.sys
%system32%\yvpp02.sys
(2)、新建註冊表鍵值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Winlogon\Notify\yvpp01\DllName
鍵值: 類型: REG_EXPAND_SZ 長度: 11 (0xb) 位元組yvpp01.dll.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\yvpp01\DisplayName
鍵值: 字元串: "NDIS OSI32"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\yvpp02
\ImagePath
鍵值: 類型: REG_EXPAND_SZ 長度: 35 (0x23) 位元組
\??\C:\WINDOWS\system32\yvpp02.sys.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\yvpp02
\DisplayName
鍵值: 字元串: "NDIS OSI"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\yvpp02
\ImagePath
鍵值: 類型: REG_EXPAND_SZ 長度: 35 (0x23) 位元組
\??\C:\WINDOWS\system32\yvpp02.sys.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
\Session Manager
\Memory Management\EnforceWriteProtection
鍵值: DWORD: 0 (0)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
\Network\yvpp02.sys\@鍵值: 字元串: "Driver"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
\Minimal\yvpp02.sys\@鍵值: 字元串: "Driver"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
\Parameters\FirewallPolicy\StandardProfile\Authorized
Applications\List\
C:\WINDOWS\Explorer.EXE
鍵值: 字元串: "C:\WINDOWS\Explorer.EXE:*:Enabled:explorer"
(3)、插入執行緒到下列進程中:
%WINDOWS%\system32\yvpp02.sys
%WINDOWS%\system32\qo.sys
%WINDOWS%\system32\qo.dll
插入到system進程中
%WINDOWS%\system32\yvpp01.dll
插入到explorer.exe
註:% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
--------------------------------------------------------------------------------
清除方案
1、使用安天木馬防線可徹底清除此病毒(推薦)
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 打開註冊表,刪除下列服務項:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\yvpp01\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\yvpp02\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\yvpp01\DllName
(2) 重啟電腦,利用木馬防線刪除下列檔案:
%system32%\ips.dat
%system32%\kgctini.dat
%system32%\qo.dll
%system32%\qo.sys
%system32%\yvpp01.dll
%system32%\yvpp01.sys
%system32%\yvpp02.sys
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Run\svcshare 鍵值: 字元串: "%WINDOWS%\system32\drivers\spoclsv.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Run\System鍵值: 字元串: "%Program Files%\Common Files\System
\Updaterun.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\RunOnce\alsmt.exe鍵值: 字元串: "%WINdir\system32\alsmt.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D3341007-C77C-4F1C-B2A5-D94D5BE55F7E}\InprocServer32\@
鍵值: 字元串: "C:\WINDOWS\system32\ybzwkdjnrfvijev.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D3341007-C77C-4F1C-B2A5-D94D5BE55F7E}\InprocServer32\ThreadingModel鍵值: 字元串: "Apartment"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Browser Helper Objects\{D3341007-C77C-4F1C-B2A5-D94D5BE55F7E}\
