天高云淡

危险等级：★★★
病毒名称：Hack.Win32.HashDump.a
截获时间：2007-10-09
入库版本：19.44.21
类型：病毒

感染的操作系统：Windows XP, Windows NT, Windows Server 2003, Windows 2000

威胁情况：

传播级别：低

全球化传播态势：低

破坏力：低

清除难度：中

破坏手段：暴力破解

这是一个C/C 编写的黑客工具。

该工具主要用来获取当前主机用户的LM/NTLM散列,使用者可以通过该散列对主机用户密码进行暴力破解.

支持用法：pwdump2 <pid of lsass.exe>

主程序行为:
1.若没有指定lsass.exe/pid参数，则执行如下操作：
[1].加载ntdll.dll,获取导出函数
NtQuerySystemInformation
RtlCompareUnicodeString
[2].调用NtQuerySystemInformation，InformationClass=5,获取进程信息列表
[3].遍历列表查找LSASS.EXE,获取该进程ID

2.打开自身进程，添加SeDebugPrivilege权限,以答应当前进程对LSASS.EXE等进程进行内存操作和线程操作

3.打开查找到的进程LSASS.EXE，获取该进程句柄

4.创建一事件，用于与通信线程同步

5.创建通信线程，执行如下操作：
[1]. 根据当前进程ID创建命名管道\\.\pipe\pwdump2-%ID%
[2]. 设置事件为有状态，通知主线程管道创建成功
[3]. 连接到管道并从中读取数据直到关闭

6.在创建的事件上等待，与之前创建的管道通信线程同步

7.向LSASS.EXE进程空间中写入创建的管道名和辅助动态库SamDump.dll导出函数名(DumpSam)作为参数，创建远程线程.
在远程线程中，根据传递的API地址，加载DLL，获取DLL导出函数(DumpSam)并调用

8.等待远程线程返回，释放资源。

动态库SamDump.dll导出函数DumpSam(char *)执行如下操作：

1.根据传入参数打开通信管道

2.加载samsrv.dll，获取如下函数地址
SamIConnect
SamrOpenDomain
SamrOpenUser
SamrQueryInformationUser
SamrEnumerateUsersInDomain
SamIFree_SAMPR_USER_INFO_BUFFER
SamIFree_SAMPR_ENUMERATION_BUFFER
SamrCloseHandle

3.依次调用如下函数
LsaOpenPolicy打开NT工作站
LsaQueryInformationPolicy获取工作站域SID
SamIConnect连接到SAM数据库
SamrOpenDomain根据域SID打开域
SamrEnumerateUsersInDomain枚举域内用户
SamrOpenUser打开域内指定用户,获取句柄
SamrQueryInformationUser枚举域用户信息
SamIFree_SAMPR_USER_INFO_BUFFER
SamrCloseHandle

4.将获取信息写入通信管道

安全建议：

1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级，瑞星杀毒软件天天至少升级三次。

2 使用“瑞星系统安全漏洞扫描”，打好补丁，弥补系统漏洞。

3 不浏览不良网站，不随意下载安装可疑插件。

4 不接收QQ、MSN、Emial等传来的可疑文件。

5 上网时打开杀毒软件实时监控功能。

6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中，可以有效保护密码安全。

清除办法：

瑞星杀毒软件清除办法：

安装瑞星杀毒软件，升级到19.44.21版以上，对电脑进行全盘扫描，按照软件提示进行操作，即可彻底查杀。