§ 概述

病毒别名：Backdoor.HacDef.b 【AVP】 Backdoor.HacDef.084 【KV】 Backdoor.HacDef.b 【RS】

处理时间：

威胁级别：★

中文名称：黑客保卫者

病毒类型：木马

影响系统：2000/XP/NT/2003

病毒行为:

编写工具:

传染条件:

发作条件:

§ 系统修改:

A、在当前文件夹生产驱动程序，名字由配置文件中相应的部分指定，可能为isplogger.sys。然后该驱动程序，并将自己提升为服务程序。

B、在注册表添加以下主键或者键值：

【HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesispLog】

"Type"=dword:00000010

"Start"=dword:00000002

"ErrorControl"=dword:00000000

"ImagePath"="<木马主程序所在的路径>"

"DisplayName"="Isp Logger"

"ObjectName"="LocalSystem"

"Description"="Logs Critical Errors"

【HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesispLogSecurity】

"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,

00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,

00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,

05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,

20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,

00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,

00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

【HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesispLogEnum】

"0"="Root\\LEGACY_ISPLOG\\0000"

"Count"=dword:00000001

"NextInstance"=dword:00000001

【HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_ISPLOG】

"NextInstance"=dword:00000001

【HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_ISPLOG000】

"Service"="ispLog"

"Legacy"=dword:00000001

"ConfigFlags"=dword:00000000

"Class"="LegacyDriver"

"ClassGUID"=""

"DeviceDesc"="Isp Logger"

【HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_ISPLOG000Control】

"*NewlyCreated*"=dword:00000000

"ActiveService"="ispLog"

【HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_ISPLOGG】

"NextInstance"=dword:00000001

【HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_ISPLOGG000】

"Service"="isplogg"

"Legacy"=dword:00000001

"ConfigFlags"=dword:00000000

"Class"="LegacyDriver"

"ClassGUID"=""

"DeviceDesc"="isplogg"

【HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_ISPLOGG000Control】

"*NewlyCreated*"=dword:00000000

"ActiveService"="isplogg"

【HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalispLog】

@="Service"

【HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootNetworkispLog】

@="Service"

§ 发作现象:

由于木马使用了驱动程序来隐藏自己，所以现象是无声无息。木马的驱动程序中HOOK了文件，注册表，进程以及服务相关的一系列内核API，通过配置文件，

是中了此木马的用户：

A、看不到指定的一些文件，比如isp*.ini和isp*.exe等文件；

B、看不到指定的一些进程，比如isplog.exe，rcmd.exe，R_server.exe；

C、看不到指定的一些服务，比如ispLog，r_server；

D、看不到注册表的指定键值，比如包含字符串ispLog，LEGACY_ISPLOG，isplogg，LEGACY_ISPLOGG的主键或者键值；

E、开机运行一些指定的程序；

F、开放一些指定的TCP和UDP后门端口；

另外，还可以设置未授权访问用户密码，后门的外壳程序，文件映射名字，木马服务名，木马服务描述名，木马服务的描述，加载的驱动程序名，

以及驱动程序文件名等。

§ 特别说明:

1.此内核木马由以下几个文件组成

r.bat 安装木马的批处理文件

AdmDll.dll 链接库文件，供R_server.exe使用

raddrv.dll 链接库文件

isplog.ini 木马程序的配置文件

radmin.reg 木马程序的注册表配置文件

isplog.exe 木马的主体程序

LogKiller.exe 日志清除程序

R_server.exe 木马服务安装以及监听程序

• 蓝富松烈士
• 蓝寿真烈士
• 蓝尹
• 蓝尾石龙子
• 蓝尾蝾螈云南亚种
• 蓝尾金蜥
• 蓝山县卫校附属医院
• 蓝山咖啡馆
• 蓝山山脉
• 蓝岭
• 蓝布尔氏雅尔氏鞭毛虫病
• 蓝帆
• 蓝带啤酒
• 蓝带荷包鱼
• 蓝广孚烈士
• 蓝庆武
• 蓝庭辉
• 蓝廷斌烈士
• 蓝开云烈士
• 蓝彩美人立俑
• 蓝心
• 蓝心湄
• 蓝志豪
• 蓝戈
• 蓝成模烈士