该病毒为系统内核级病毒，通过修改系统服务调度表(SSDT)，HOOK掉病毒释放的附属文件、进程名，并插入线程到系统进程中，给清除病毒体带来极大困难。

概述

病毒描述

行为分析

清除方案

概述

病毒名称：Backdoor.Win32.Haxdoor.hw

中文名称：黑客门

病毒类型：后门类

文件 MD5：A8E360597222A5A51C6AD6979BE0C41C

公开范围：完全公开

危害等级：高

文件长度：55,066 字节

感染系统：Win95以上系统

开发工具：Microsoft Visual C++ 6.0

加壳类型：FSG 2.0 -> bart/xt [Overlay]

命名对照：驱逐舰[BackDoor.Haxdoor.232]

瑞星[Backdoor.Haxdoor.qk]

病毒描述

首先，病毒释放驱动文件并加载，然后在用户空间可以通过直接读写\\device\\physicalmemory来修改SSDT的入口，从而可拦截系统调用API函数，当有查询或创建与病毒释放文件同名的事件发生时，即刻过滤掉。病毒通过创建系统服务的形式加载病毒体。该病毒可被人利用来控制用户电脑。

行为分析

(1)、衍生病毒文件：

%system32%\\ips.dat

%system32%\\kgctini.dat

%system32%\\qo.dll

%system32%\\qo.sys

%system32%\\yvpp01.dll

%system32%\\yvpp01.sys

%system32%\\yvpp02.sys

(2)、新建注册表键值：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT

\\CurrentVersion\\Winlogon\otify\\yvpp01\\DllName

键值: 类型: REG_EXPAND_SZ 长度: 11 (0xb) 字节yvpp01.dll.

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services

\\yvpp01\\DisplayName

键值: 字符串: "NDIS OSI32"

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\yvpp02

\\ImagePath

键值: 类型: REG_EXPAND_SZ 长度: 35 (0x23) 字节

\\??\\C:\\WINDOWS\\system32\\yvpp02.sys.

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\yvpp02

\\DisplayName

键值: 字符串: "NDIS OSI"

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\yvpp02

\\ImagePath

键值: 类型: REG_EXPAND_SZ 长度: 35 (0x23) 字节

\\??\\C:\\WINDOWS\\system32\\yvpp02.sys.

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control

\\Session Manager

\\Memory Management\\EnforceWriteProtection

键值: DWORD: 0 (0)

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SafeBoot

\etwork\\yvpp02.sys\\@键值: 字符串: "Driver"

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SafeBoot

\\Minimal\\yvpp02.sys\\@键值: 字符串: "Driver"

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess

\\Parameters\\FirewallPolicy\\StandardProfile\\Authorized

Applications\\List\\

C:\\WINDOWS\\Explorer.EXE

键值: 字符串: "C:\\WINDOWS\\Explorer.EXE:*:Enabled:explorer"

(3)、插入线程到下列进程中：

%WINDOWS%\\system32\\yvpp02.sys

%WINDOWS%\\system32\\qo.sys

%WINDOWS%\\system32\\qo.dll

插入到system进程中

%WINDOWS%\\system32\\yvpp01.dll

插入到explorer.exe

注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\\Winnt\\System32，windows95/98/me中默认的安装路径是C:\\Windows\\System，windowsXP中默认的安装路径是C:\\Windows\\System32。

--------------------------------------------------------------------------------

清除方案

1、使用安天木马防线可彻底清除此病毒(推荐)

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 打开注册表，删除下列服务项：

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\yvpp01\\

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\yvpp02\\

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\otify\\yvpp01\\DllName

(2) 重启电脑，利用木马防线删除下列文件：

%system32%\\ips.dat

%system32%\\kgctini.dat

%system32%\\qo.dll

%system32%\\qo.sys

%system32%\\yvpp01.dll

%system32%\\yvpp01.sys

%system32%\\yvpp02.sys

(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion

\\Run\\svcshare 键值: 字符串: "%WINDOWS%\\system32\\drivers\\spoclsv.exe"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion

\\Run\\System键值: 字符串: "%Program Files%\\Common Files\\System

\\Updaterun.exe"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion

\\RunOnce\\alsmt.exe键值: 字符串: "%WINdir\\system32\\alsmt.exe"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID\\{D3341007-C77C-4F1C-B2A5-D94D5BE55F7E}\\InprocServer32\\@

键值: 字符串: "C:\\WINDOWS\\system32\\ybzwkdjnrfvijev.dll"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID\\{D3341007-C77C-4F1C-B2A5-D94D5BE55F7E}\\InprocServer32\\ThreadingModel键值: 字符串: "Apartment"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion

\\Explorer\\Browser Helper Objects\\{D3341007-C77C-4F1C-B2A5-D94D5BE55F7E}\\