天高云淡

危险等级：★★★病毒名称：Rootkit.Agent.xd截获时间：2007-4-20入库版本：19.19.42类型：病毒
感染的操作系统：Windows XP, Windows NT, Windows Server 2003, Windows 2000
威胁情况：
传播级别：低
全球化传播态势：低
清除难度：困难
破坏力：低
破坏手段：隐藏其他恶意程序
此程序为rootkit类型程序1.在驱动初始化时，对设备名和设备符号链接字符串进行解码，并创建设备和相应的符号链接来与用户态程序通信；2.去除CR0寄存器中的WP位，以防止写只读页出现页异常，然后将内存中的加密字符串解码并写回，此解密字符串将用来与IOCTL传递的参数比较，从而判定是否响应该用户程序的IOCTRL；3.获取进程的EPROCESS地址，在此结构体中搜索”system”字符串偏移，然后根据此偏移计算进程名在EPROCESS中的偏移，以备比较进程时使用；4.注册IRP处理例程支持：创建文件、设置注册表键值、关闭线程和卸载驱动5.创建系统线程，每隔指定的时间后，尝试写入驱动程序对应的注册表项6.注册进程创建通知例程，每当创建新进程时，该驱动做如下操作：1)获取创建进程的EPROCESS，根据计算的偏移获取当前进程名称2)判定当前创建进程是否为userinit.exe或者是explorer.exe,假如是则创建系统线程，写入注册表项\registry\machine\software\microsoft\windows\currentversion\runonce键值：%systemroot%\system32\Rundll32.exe %systemroot%\system32\%s.dll,DllUnregisterServer3)映射ntoskrnl.exe到内存中，获取ntoskrnl.exe的服务表中指定服务函数的地址并保存，利用获取的服务函数地址枚举注册表，试图绕过其他软件的拦截；4)记录 Winlogon.exe 的启动，但没有做其它操作，可能在以后的版本中会进行相关处理
安全建议：
1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级，瑞星杀毒软件天天至少升级三次。
2 使用“瑞星系统安全漏洞扫描”，打好补丁，弥补系统漏洞。
3 不浏览不良网站，不随意下载安装可疑插件。
4 不接收QQ、MSN、Emial等传来的可疑文件。
5 上网时打开杀毒软件实时监控功能。
6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中，可以有效保护密码安全。
清除办法：
1 . 瑞星杀毒软件清除办法：
安装瑞星杀毒软件，升级到19.19.42版以上，对电脑进行全盘扫描，按照软件提示进行操作，即可彻底查杀。

[Read more →]

危险等级：★★★病毒名称：Rootkit.Win32.Paice.a截获时间：2007-9-18入库版本：19.41.20类型：病毒
感染的操作系统：Windows XP, Windows NT, Windows Server 2003, Windows 2000
威胁情况：
传播级别：低
破坏力：低
清除难度：困难
破坏手段：破坏磁盘保护软件
此程序为rootkit类型程序。
1．反调试。
在驱动初始化时，比较中断0×9（协处理器异常）和中断0xE（页失败异常）的处理例程地址的高8位是否相同，不同则置中断0xE的处理例程地址的高16位为0；通过sidt得到idt基址，并得到中断0×9的处理例程的地址到eax，大致如下：
.text:004004DF and eax, 0FF000000h.text:004004E4 mov [ebp-4], eax
接着得到中断0xE的处理例程地址，并将得到地址的高8位置eax，然后比较两个中断例程的地址高8位是否相同：
.text:0040050A cmp eax, [ebp-4]
假如不相等则将中断E的处理例程地址的高16位0，使其指向一个错误的地址。破坏该中断的功能。
[…]

[Read more →]

危险等级：★★★病毒名称：Rootkit.Win32.KeyLogger.a截获时间：2007-10-22入库版本：19.46.02类型：感染型病毒
感染的操作系统：Windows 98以后所有版本Windows系统
威胁情况：
传播级别：低
全球化传播态势：低
破坏力：低
清除难度：困难
破坏手段：被病毒程序用于盗取密码，通过键盘过滤驱动记录键盘按键
此病毒是一个Rootkit病毒，由C语言编写的过滤驱动程序，提供键盘按键记录功能。
该Rootkit病毒近期多次被Trojan.PSW.Win32.GameOnline型的病毒释放使用，在该病毒体内可以看到“C:\new-gamehack\GameHack\Driver\bin\i386\mssock.pdb”的字样，从编译路径可以看出该Rootkit显然是作者特意为盗取游戏密码病毒所写。
1、该病毒驱动程序入口函数执行如下操作：
（1） 检查系统是否存在USB键盘设备：病毒首先通过调用ObReferenceObjectByName函数得到\Driver\hidusb的驱动对象，然后遍历该驱动对象创建的功能设备的设备链。对设备链上的每个设备对象，遍历其所在的设备栈，对设备栈上的每个设备对象，通过 DEVICE_OBJECT->DriverObject->DriverName获取每个设备的驱动名称，比较是否是Driver\kbdhid，假如找到表示有USB键盘设备，得到USB键盘设备对象的指针。
（2）对键盘设备挂接过滤驱动：建立名称为“\Device\mssock”、符号链接名为“\??\mssock”、类型为“FILE_DEVICE_UNKNOWN”的设备，然后通过调用函数IoAttachDeviceToDeviceStack将该设备挂接到键盘设备所在的设备栈。
对于USB键盘设备，挂接的目标设备为通过前面搜索得到的USB设备对象。对于没有USB键盘设备的情况，通过调用IoGetDeviceObjectPointer获取名称为“\Device\KeyboardClass0”的PS/2 键盘设备作为目标设备。
（3）填写功能函数地址：填充卸载例程及各个IRP处理例程回调。
2、病毒的IRP_MJ_READ处理例程：设置完成例程后直接调用IofCallDriver向下一设备传递IRP
3、病毒驱动设立的对键盘读的irp包的完成例程：在该完成例程中，病毒驱动实现了获取并记录键盘按键的功能。病毒将读到的按键记录到缓冲区(通过DEVICE_OBJECT.DeviceExtension传递地址)。同时病毒作者在这里和IRP_MJ_DEVICE_CONTROL例程中通过写0×60端口发送命令控制键盘NumLock灯的开闭，可能是作者为了调试时能够方便的知道其过滤驱动的工作情况。
4、病毒驱动的IRP_MJ_DEVICE_CONTROL处理例程：在这个处理例程中，病毒对值为“0x 80102180”和“80102184”的IOCTL进行了处理。对于IOCTL = 0x 80102180 , 进行初始化处理，如清空记录缓冲区、计数器等。对于IOCTL = 0x 80102180 […]

[Read more →]