病毒標籤
病毒類型: 後門
檔案 MD5: 5C3BE8210DEEF401E1CF4A8623B068EE
感染系統: Windows98以上版本
加殼類型: nSPack 2.1 - 2.5 -> North Star/Liu Xing Ping
病毒描述
該病毒查找%system32%\drivers目錄下是否存在klif.sys檔案,開啟iexplore.exe進程,載入ntdll.dll,動態獲取ZwUnmapViewOfSection函式,利用該函式獲取當前進程的基址,申請記憶體空間,將病毒代碼寫入iexplore.exe進程中,創建病毒服務,以服務方式啟動病毒檔案,病毒運行完畢後刪除自身,自身克隆到系統進程calc.exe來保護病毒進程,系統利用iexplore.exe連線網路進行通信,等待接收病毒作者傳送的控制命令。
行為分析
本地行為
1、檔案運行後會釋放以下檔案
%Program Files%\Common Files\Microsoft Shared\MSINFO\r47.exe
%system32%\_r47.exe
2、查找%system32%\drivers目錄下是否存在klif.sys檔案,開啟iexplore.exe進程,載入ntdll.dll,動態獲取ZwUnmapViewOfSection函式,利用該函式獲取當前進程的基址,申請記憶體空間,寫入1048576位元組的病毒數據到iexplore.exe進程中,病毒運行完畢後刪除自身,自身克隆到系統進程calc.exe來保護病毒進程,利用iexplore.exe連線網路進行通信。
3、創建病毒服務
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows_ree47\DisplayName
值: 字元串: "Windows_ree47"
描述:病毒服務名
HKEY_LOCAL_MACHINE\SYSTEM\ ControlSet001\Services\ Windows_ree47\ImagePath
值: 字元串: "c:\Program Files\Common Files\Microsoft Shared\MSInfo\r47.exe."
描述:服務映像檔案的啟動路徑
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows_ree47\Start
值: DWORD: 2 (0x2)
描述:病毒啟動方式為手動
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows_ree47\Type
值: DWORD: 272 (0x110)
描述:病毒服務類型
網路行為
協定:TCP
連線埠:818`
IP位址:221.225.30.***
連線IP位址等待控制端傳送控制命令
註:%System32%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。
%Windir% WINDODWS所在目錄
%DriveLetter% 邏輯驅動器根目錄
%ProgramFiles% 系統程式默認安裝目錄
%HomeDrive% 當前啟動的系統的所在分區
%Documents and Settings% 當前用戶文檔根目錄
%Temp% \Documents and Settings\當前用戶\Local Settings\Temp
%System32% 系統的 System32資料夾
Windows2000/NT中默認的安裝路徑是C:\Winnt\System32
windows95/98/me中默認的安裝路徑是C:\Windows\System
windowsXP中默認的安裝路徑是C:\Windows\System32
清除方案
1、使用安天防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用ATOOL“進程管理”結束iexplore.exe、calc.exe進程。
(2)使用ATOOL工具刪除病毒檔案
%Program Files%\Common Files\Microsoft Shared\MSINFO\r47.exe
%system32%\_r47.exe
(3)刪除病毒添加的註冊表項
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows_ree47
刪除Services鍵值下的Windows_ree47主鍵值
