簡介
這是一個核心木馬,它會把自己的進程,在註冊表中的鍵值,創建的檔案,創建的服務隱藏起來,盡最大可能不讓受害者發現木馬,以使木馬長久駐留在受害者計算機中執行外界發來的特定命令。
症狀
1.該病毒會把自身複製為%System32%\rtkit.exe並以服務的形式隨計算機啟動而運行.
2.在%System32%\創建資料夾RtKit,該資料夾用來存放該核心木馬得驅動程式npf.sys,記錄檔案rtkit.log,以及動態程式庫globalc.dll。
3.載入木馬釋放的驅動程式npf.sys,HOOK了關鍵的核心API,釋放的動態程式庫globalc.dll作為木馬與驅動程式通信的接口,木馬根據配置檔案ntrootkit.ini來隱藏進程,檔案,註冊表,服務等。
通過註冊表的鍵值
HKEY_LOCAL_MACHINE\SOFTWARE\RtKit\KeyName
"0"="HKLM\SYSTEM\*NPF"
"1"="HKLM\SOFTWARE\RTKIT"
"2"="HKLM\SYSTEM\*RTKIT"
來通知驅動程式隱藏指定的註冊表鍵值,以在註冊表中隱藏自己。
通過註冊表的鍵值
HKEY_LOCAL_MACHINE\SOFTWARE\RtKit\FileDirName
"0"="*SYSTEM32\RTKIT"
來通知驅動程式隱藏指定的檔案或者資料夾,以隱藏自己的檔案。
通過註冊表的鍵值
HKEY_LOCAL_MACHINE\SOFTWARE\RtKit\ServName
"0"="RTKIT"
來通知驅動程式隱藏指定的服務,以隱藏自己的服務。
通過註冊表的鍵值
HKEY_LOCAL_MACHINE\SOFTWARE\RtKit\ServName
"0"="RTKIT"
來通知驅動程式隱藏指定的服務,以隱藏自己的服務。
它還會隱藏自己的進程。
木馬是否載入驅動程式標誌:
HKEY_LOCAL_MACHINE\software\rtkit\IsUseDriver
載入服務:
NPF,該服務用來載入驅動程式。
RtKit,將自己註冊為服務。將自己描述為"Window system rpc service"。
IpFilterDriver, 開設後門服務,隱藏TCP/UDP連線埠。
開放遠程訪問註冊表服務(Remote Registry),以遠程操作受害者計算機系統中的註冊表,遠程載入木馬服務。
設定木馬版本信息,為以後升級木馬做準備:
HKEY_LOCAL_MACHINE\software\rtkit
"MajorVersion"=0x1
"MinorVersion"=0x16
配置檔案ntrootkit.ini中:
【HIDDEN PROCNAME】
保存要隱藏的進程名
【HIDDEN REGKEY】
保存要隱藏的註冊表主鍵
【HIDDEN REGVALUE】
保存要隱藏的註冊表鍵值
【HIDDEN FILEDIR】
保存要隱藏的資料夾
【HIDDEN SERVICE】
保存要隱藏的服務
【HIDDEN USER】
保存要隱藏的用戶
【HIDDEN TCPPORT】
保存要隱藏的TCP連線埠
【HIDDEN UDPPORT】
保存要隱藏的UDP連線埠
使用Sniffer模式收發數據包以和外界通信。
4.竊取用戶的系統資料,個人資料等。
5.記錄用戶的鍵盤輸入,保存在檔案rt_passfile.txt中,並會通過該木馬泄露出去。
6.外界可以傳送預定義的指令,如上傳下載檔案,運行程式,更新木馬和配置檔案,設定訪問密碼,對指定網址發動DDOS攻擊等,
7.一旦中了該木馬就很難清除,危害很大。
