)
以上文件使用后会自删除。
3. Ring3还原各种钩子
读取原始KiServiceTable表 ,还原SSDT 表,其他特定钩子的恢复。
4. 结束卡巴斯基 (R3)
通过结束卡巴斯基事件句柄BaseNamedObjectsf953EA60-8D5F-4529-8710- 42F8ED3E8CDC 使得卡巴进程异常退出。
5. 结束其它杀软(R3)
获取杀毒软件进程的公司名,进行hash运算并跟内置杀软的HASH值进行比较,发现相同就结束进程。
6. 通过hive技术绕 过江民主防,使用类似硬件驱动安装方式绕过其他主防拦截。
7. 抹掉线程起始地址防止被手工检测
8. 找到explorer(资 源管理器)进程,然后插入用户态的apc实现下载病毒木马的功能
9. 枚举进程对象,比较进程对应文件的公司名。 发现需对抗进程则获取线程对象然后结束线程,此时杀软进程异常退出
10. 感染引导区,并将其它文件写入引导区,隐蔽加 载难发现,反复感染的难清除
11. 木马下载器功能
下载针对DNF,梦幻西游等热门游戏盗号木马。
12.桌面创建一个名为播放器的快捷方式并 指向某网站,并修改IE首 页为http://www.ttjlb.com/
三 感染以后可能现象
1 电脑非常卡,操作程序有明显的停滞感,常见杀毒软件无法正常打开,同时发 现反复重装系统后问题依旧无法解决
2 系统文件被感染杀毒查杀以后提示找不到相应的dll或者系统功能不正常
rpcss.dll,ddraw.dll(这个是盗号木马现在常修改的 系统dll)
以上文件使用后会自删除。
3. Ring3还原各种钩子
读取原始KiServiceTable表 ,还原SSDT 表,其他特定钩子的恢复。
4. 结束卡巴斯基 (R3)
通过结束卡巴斯基事件句柄BaseNamedObjectsf953EA60-8D5F-4529-8710- 42F8ED3E8CDC 使得卡巴进程异常退出。
5. 结束其它杀软(R3)
获取杀毒软件进程的公司名,进行hash运算并跟内置杀软的HASH值进行比较,发现相同就结束进程。
6. 通过hive技术绕 过江民主防,使用类似硬件驱动安装方式绕过其他主防拦截。
7. 抹掉线程起始地址防止被手工检测
8. 找到explorer(资 源管理器)进程,然后插入用户态的apc实现下载病毒木马的功能
9. 枚举进程对象,比较进程对应文件的公司名。 发现需对抗进程则获取线程对象然后结束线程,此时杀软进程异常退出
10. 感染引导区,并将其它文件写入引导区,隐蔽加 载难发现,反复感染的难清除
11. 木马下载器功能
下载针对DNF,梦幻西游等热门游戏盗号木马。
12.桌面创建一个名为播放器的快捷方式并 指向某网站,并修改IE首 页为http://www.ttjlb.com/
三 感染以后可能现象
1 电脑非常卡,操作程序有明显的停滞感,常见杀毒软件无法正常打开,同时发 现反复重装系统后问题依旧无法解决
2 系统文件被感染杀毒查杀以后提示找不到相应的dll或者系统功能不正常
rpcss.dll,ddraw.dll(这个是盗号木马现在常修改的 系统dll)
