-
-
[原创][第三阶段]看雪论坛.腾讯公司2008软件安全技术竞赛
-
发表于:
2008-11-1 17:32
4330
-
[原创][第三阶段]看雪论坛.腾讯公司2008软件安全技术竞赛
病毒描述:
病毒运行后,打开\\.\slHBKernel32驱动设备创建HBKernel32.sys到%System32%\drivers目录下,创建病毒服务,添加注册表启动项,衍生病毒DLL文件"HBQQXX.dll、system.exe"到%System32%目录下,试图将病毒DLL文件注入到所有进程,创建病毒互斥量名为:"HBInjectMutex",防止病毒多次运行,创建system.exe病毒进程,启动病毒DLL文件,加载完毕后删除临时文件夹下的病毒文件,病毒运行完毕后删除自身。
修改、添加注册表启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
描述:添加AppInit_DLLs启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
描述:添加开机启动项
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\HBKernel32HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\HBKernel32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HBKernel32
描述:添加驱动服务
清除方案:
向驱动发包,取消system.exe进程的保护,删除System.exe
远程卸载所有进程里的 HBQQXX.dll ,然后修改HBQQXX.dll 文件名(由于驱动的保护,无法删除)
提高进程的权限,然后打开驱动句柄,关闭驱动句柄,删除驱动文件 HBKernel32.sys
重启计算机。这时,System.exe文件已经删除,HBQQXX.dll文件已经改名 HBKernel32.sys文件已经删除。机器重启后,驱动无法加载,HBQQXX.dll也不能注入
删除改名后的HBQQXX.dll文件,恢复注册表内容
清除完毕。
科锐学子:沙金
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
