病毒描述:
该病毒后门类,病毒运行后获取系统文件夹路径%System32%\drivers\beep.sys,调用LoadLibraryA函数加载SFC.DLL文件。将%System32%\drivers\目录下的beep.sys文件删除,并创建一个同名的文件,以系统原服务加载病毒释放的驱动文件,达到不对注册表操作的目的,即可躲避多款杀软的主动防御,释放驱动文件恢复SSDT使卡巴主动防御失效,等待加载完驱动后将beep.sys驱动文件删除,释放临时文件1923531_res.tmp到%temp%目录下,将文件创建时间修改成2004年然后将文件拷贝到%System32%目录下并重命名为:BITSEx.dll,执行完毕后将临时文件1923531_res.tmp删除,修改添加注册表病毒项,将病毒BITSEx.dll文件注入到svhost.exe进程中,等待病毒执行完以上操作将以命令行方式删除病毒自身,等待接受病毒作者发送的控制指令,受感染用户可能会被操纵进行Ddos攻击、远程控制、发送垃圾邮件、创建本地Tftp、下载病毒文件等行为。
行为分析-本地行为:
1、文件运行后会释放以下文件
%System32%\BITSEx.dll 69,632 字节
2、修改注册表项:
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_BITS\0000\Service]
值: 字符串: "BITS"
描述:病毒服务名
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BITS\Parameters\ServiceDll]
新: C:\WINDOWS\system32\BITSEx.dll.
旧: C:\WINDOWS\system32\qmgr.dll.
描述:将注册表启动的DLL文件修改为病毒文件的DLL文件,使系统启动加载病毒文件
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BITS\Start]
新: DWORD: 2 (0x2)
旧: DWORD: 3 (0x3)
描述:设置病毒服务的启动方式为自动
3、获取系统文件夹路径%System32%\drivers\beep.sys,调用LoadLibraryA函数加载SFC.DLL文件。将%System32%\drivers\目录下的beep.sys文件删除,并创建一个同名的文件,以系统原服务加载病毒释放的驱动文件,达到不对注册表操作的目的,即可躲避多款杀软的主动防御,释放驱动文件恢复SSDT使卡巴主动防御失效,等待加载完驱动后将beep.sys驱动文件删除。
4、释放临时文件1923531_res.tmp到%temp%目录下,将文件创建时间修改成2004年然后将文件拷贝到%System32%目录下并重命名为:BITSEx.dll,执行完毕后将临时文件1923531_res.tmp删除。
5、将病毒BITSEx.dll文件注入到svhost.exe进程中,等待病毒执行完以上操作将以命令行方式《/c del %s > nul》删除病毒自身,等待接受病毒作者发送的控制指令。
行为分析-网络行为
协议:TCP
端口:48
连接服务器名:nbnb48.3***.org
IP地址:61.151.239.***
连接到该服务器等待接受病毒作者发送的控制指令
清除方案:
手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用ATOOL进程管理找到svhost.exe进程中模块中的
BITSEx.dll病毒文件强行结束该病毒进程模块。
(2) 强行删除病毒衍生的文件%System32%\BITSEx.dll
(3) 删除病毒创建的注册表项,恢复注册表修改项
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_BITS\0000\Service]
值: 字符串: "BITS"
删除该键值
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BITS\Parameters\ServiceDll]
新: C:\WINDOWS\system32\BITSEx.dll.
旧: C:\WINDOWS\system32\qmgr.dll.
恢复注册表原值C:\WINDOWS\system32\qmgr.dll.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BITS\Start]
新: DWORD: 2 (0x2)
旧: DWORD: 3 (0x3)
恢复注册表原值DWORD: 3 (0x3)
您的位置: