词条 | Win32.Troj.HacDef |
释义 | Win32.Troj.HacDef是一种木马病毒,它会通过驱动程序,将自己提升为服务程序,并在注册表添加以下主键或者键值。由于该木马使用了驱动程序来隐藏自己,所以中毒发作现象是无声无息。 Win32.Troj.HacDef病毒别名:Backdoor.HacDef.b 【AVP】 Backdoor.HacDef.084 【KV】 Backdoor.HacDef.b 【RS】 处理时间: 威胁级别:★ 中文名称:黑客保卫者 病毒类型:木马 影响系统:2000/XP/NT/2003 病毒行为: 编写工具: 传染条件: 发作条件: 系统修改A、在当前文件夹生产驱动程序,名字由配置文件中相应的部分指定,可能为isplogger.sys。然后该驱动程序,并将自己提升为服务程序。 B、在注册表添加以下主键或者键值: [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesispLog] "Type"=dword:00000010 "Start"=dword:00000002 "ErrorControl"=dword:00000000 "ImagePath"="<木马主程序所在的路径>" "DisplayName"="Isp Logger" "ObjectName"="LocalSystem" "Description"="Logs Critical Errors" [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesispLogSecurity] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02, 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00, 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00, 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00, 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00, 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01, 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesispLogEnum] "0"="Root\\LEGACY_ISPLOG\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_ISPLOG] "NextInstance"=dword:00000001 [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_ISPLOG000] "Service"="ispLog" "Legacy"=dword:00000001 "ConfigFlags"=dword:00000000 "Class"="LegacyDriver" "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}" "DeviceDesc"="Isp Logger" [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_ISPLOG000Control] "*NewlyCreated*"=dword:00000000 "ActiveService"="ispLog" [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_ISPLOGG] "NextInstance"=dword:00000001 [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_ISPLOGG000] "Service"="isplogg" "Legacy"=dword:00000001 "ConfigFlags"=dword:00000000 "Class"="LegacyDriver" "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}" "DeviceDesc"="isplogg" [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_ISPLOGG000Control] "*NewlyCreated*"=dword:00000000 "ActiveService"="isplogg" [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalispLog] @="Service" [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootNetworkispLog] @="Service" 发作现象木马的驱动程序中HOOK了文件,注册表,进程以及服务相关的一系列内核API,通过配置文件, 是中了此木马的用户: A、看不到指定的一些文件,比如isp*.ini和isp*.exe等文件; B、看不到指定的一些进程,比如isplog.exe,rcmd.exe,R_server.exe; C、看不到指定的一些服务,比如ispLog,r_server; D、看不到注册表的指定键值,比如包含字符串ispLog,LEGACY_ISPLOG,isplogg,LEGACY_ISPLOGG的主键或者键值; E、开机运行一些指定的程序; F、开放一些指定的TCP和UDP后门端口; 另外,还可以设置未授权访问用户密码,后门的外壳程序,文件映射名字,木马服务名,木马服务描述名,木马服务的描述,加载的驱动程序名, 以及驱动程序文件名等。 特别说明1.此内核木马由以下几个文件组成 r.bat 安装木马的批处理文件 AdmDll.dll 链接库文件,供R_server.exe使用 raddrv.dll 链接库文件 isplog.ini 木马程序的配置文件 radmin.reg 木马程序的注册表配置文件 isplog.exe 木马的主体程序 LogKiller.exe 日志清除程序 R_server.exe 木马服务安装以及监听程序 |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。