本文目录一览:
Trojan/Rootkit.o 是什么病毒,有什么危害?
键盘记录器Rootkit”
此病毒是一个Rootkit病毒,由C语言编写的过滤驱动程序,提供键盘按键记录功能。
该Rootkit病毒近期多次被Trojan.PSW.Win32.GameOnline型的病毒释放使用,在该病毒体内可以看到“C:\new-gamehack\GameHack\Driver\bin\i386\mssock.pdb”的字样,从编译路径可以看出该Rootkit显然是作者特意为盗取游戏密码病毒所写。
1、该病毒驱动程序入口函数执行如下操作:
(1) 检查系统是否存在USB键盘设备:病毒首先通过调用ObReferenceObjectByName函数得到\Driver\hidusb的驱动对象,然后遍历该驱动对象创建的功能设备的设备链。对设备链上的每个设备对象,遍历其所在的设备栈,对设备栈上的每个设备对象,通过 DEVICE_OBJECT-DriverObject-DriverName获取每个设备的驱动名称,比较是否是Driver\kbdhid,如果找到表示有USB键盘设备,得到USB键盘设备对象的指针。
(2)对键盘设备挂接过滤驱动:建立名称为“\Device\mssock”、符号链接名为“\??\mssock”、类型为“FILE_DEVICE_UNKNOWN”的设备,然后通过调用函数IoAttachDeviceToDeviceStack将该设备挂接到键盘设备所在的设备栈。
对于USB键盘设备,挂接的目标设备为通过前面搜索得到的USB设备对象。对于没有USB键盘设备的情况,通过调用IoGetDeviceObjectPointer获取名称为“\Device\KeyboardClass0”的PS/2 键盘设备作为目标设备。
(3)填写功能函数地址:填充卸载例程及各个IRP处理例程回调。
2、病毒的IRP_MJ_READ处理例程:设置完成例程后直接调用IofCallDriver向下一设备传递IRP
3、病毒驱动设立的对键盘读的irp包的完成例程:在该完成例程中,病毒驱动实现了获取并记录键盘按键的功能。病毒将读到的按键记录到缓冲区(通过DEVICE_OBJECT.DeviceExtension传递地址)。同时病毒作者在这里和IRP_MJ_DEVICE_CONTROL例程中通过写0x60端口发送命令控制键盘NumLock灯的开闭,可能是作者为了调试时能够方便的知道其过滤驱动的工作情况。
4、病毒驱动的IRP_MJ_DEVICE_CONTROL处理例程:在这个处理例程中,病毒对值为“0x 80102180”和“80102184”的IOCTL进行了处理。对于IOCTL = 0x 80102180 , 进行初始化处理,如清空记录缓冲区、计数器等。对于IOCTL = 0x 80102180 ,病毒将把在缓冲区中记录的按键扫描码返回给调用者。使用这个rootkit的程序可以调用DeviceIoContro函数进行控制和读取按键记录。
5、卸载例程:
调用IoDetachDevice摘除过滤设备
调用IoDeleteSymbolicLink删除符号链接
检查是否有IRP未完成且IRP有效则调用IoCancelIrp尝试取消这个IRP,如果取消IRP失败则等待直到有下一次IRP然后取消。
调用IoDeleteDevice删除设备。
由于该驱动在卸载例程中安全地删除了过滤设备并尝试取消未完成的IRP,所以该Rootkit可以被安全地卸载。不过一般的病毒作者很少会给用户留下安全的卸载例程,所以怀疑该Rootkit是作者从网上抄来的代码,作者有可能甚至不了解该驱动真正的工作原理。
“幻影后门”
这是一个具有感染功能、提供多种连接方式、可配置的后门病毒。
病毒作者在病毒体(客户端控制程序)内留下了明确的签名:
作者:dream2fly 作者网址: 作者邮箱:hyrootkit@126.com
作者的网址(论坛)中提供了多个自己编写的软件,包括本后门病毒。
作者的论坛中称本病毒为UAM (Universal Access Manager),中文名称“幻影远程控制”,提供收费注册使用。
病毒分为5个部分:服务端安装程序(ctfime.exe)、服务端核心程序(SysIdt00.dll)、服务端启动程序(被感染的explorer.exe)、客户端控制程序(UAManager.exe)、隐藏端口的Rootkit (uamanger.sys)。
服务端安装程序由C/C++语言编写,UPX加壳保护。其它部分由C/C++或汇编语言编写。
1、 服务端安装程序
服务端安装程序执行如下操作:
(1) 服务端安装程序运行后从程序资源中释放如下文件:
"%windir%\system32\SysIdt00.dll"、"%windir%\system32\DRIVERS\uamanger.sys"
(2) 然后将自己复制为"%windir%\system32\ctfime.exe"并启动,同时删除原文件。
(3) 将SysIdt00.dll、ctfime.exe、uamanger.sys的文件时间修改为同系统的cmd.exe相同,并将属性设置为“系统+隐藏”。
(4) 修改系统的文件保护,然后感染系统的explorer.exe。
(5) 以隐藏窗口方式启动被感染的explorer.exe。
2、 服务端启动程序(被感染的explorer.exe)
服务端安装程序在感染explorer.exe时,在其最后增加一个大小为0x1000的节写入病毒代码,并将入口点改为指向新的节的开始。被感染的病毒代码执行时通过调用LoadLibraryA装载SysIdt00.dll,然后返回原入口点。病毒感染explorer.exe的目的是为了在系统启动时都能运行SysIdt00.dll,达到自启动的目的。
3、服务端核心程序(SysIdt00.dll)
SysIdt00.dll中是远端监控的核心代码。
SysIdt00.dll通过被感染的explorer.exe被装载后执行如下功能:
(1) 通过调用SeDebugPrivilege等函数提升权限。
(2) 遍历进程对找到的第一个”svchost”进程,将自己将注入其内存,然后通过CreateRemoteThread启动其导出函数”Entry”。
SysIdt00.dll被注入svchost进程后执行如下功能:
(1) 通过尝试打开名为"UAM_4803"的互斥量来检查驱动是否加载,如加载则不做其它操作。
(2) 如果驱动没有加载,根据设置(可在生成服务端时设置是否加载驱动)加载驱动"%windir%\system32\DRIVERS\uamanger.sys"。
(3) 启动工作线程,实现远程监控功能。
(4) 在实现连接时,通过写文件"\\.\UAM"将连接的端口传给驱动,实现隐藏端口。
(5) 根据设置的连接方式和密码连接客户端(控制端)
生成服务端时可以设置三种连接方式:
直接连接方式(设置监听,由控制端来连接服务端)
反弹连接方式1 (设置ip地址和端口,服务端去连接控制端)
反弹连接方式2 (设置网页地址,服务端从这个地址下载ip.txt,按照其内容去连接控制端)
(6) 远程控制可以接受如下命令执行操作:
远程shell (cmd.exe命令操作)
进程管理
文件管理
远程桌面
视频监控
日志管理(查看、删除系统日志)
从任意网址下载、执行文件
远程更新、卸载服务端
4、客户端控制程序(UAManager.exe)
客户端控制程序提供远程连接控制功能,并且可以生成服务端程序。
在生成服务端程序时,可以进行如下设置:
连接方式和地址、连接密码、是否加载驱动、服务端运行时间。
5、隐藏端口的Rootkit (uamanger.sys)
病毒名称为Rootkit.Win32.PortHide.a,该驱动加载后首先创建一个名为\Device\hypy的设备和一个名为\??\hypy的符号链接用来和3环程序交互。这个设备名与3环程序所使用的符号链接(\\.\UAM)不同,所以显然我们所截获的样本是无法正常工作的。
之后该驱动注册IRP处理回调,在IRP_MJ_WRITE处理例程中,该驱动接受3环传入的需要隐藏的端口号,并保存在一个全局变量中。不过该Rootkit作者显然对驱动编写很不熟悉,所有的IRP处理例程均没有通过IofCompleteRequest完成,而是直接返回到I/O管理器。所以该驱动是无法正常地完成所希望实现的功能的。
该驱动通过替换KeServiceDescriptorTable中的函数地址来挂钩ZwDeviceIoControlFile,该Rootkit通过挂钩该API来隐藏指定端口。
“代理Rootkit变种XD”
此程序为rootkit类型程序
1.在驱动初始化时,对设备名和设备符号链接字符串进行解码,并创建设备和相应的符号链接来与用户态程序通信;
2.去除CR0寄存器中的WP位,以防止写只读页出现页异常,然后将内存中的加密字符串解码并写回,此解密字符串将用来与IOCTL传递的参数比较,从而判断是否响应该用户程序的IOCTRL;
3.获取进程的EPROCESS地址,在此结构体中搜索"system"字符串偏移,然后根据此偏移计算进程名在EPROCESS中的偏移,以备比较进程时使用;
4.注册IRP处理例程
支持:创建文件、设置注册表键值、关闭线程和卸载驱动
5.创建系统线程,每隔指定的时间后,尝试写入驱动程序对应的注册表项
6.注册进程创建通知例程,每当创建新进程时,该驱动做如下操作:
1)获取创建进程的EPROCESS,根据计算的偏移获取当前进程名称
2)判断当前创建进程是否为userinit.exe或者是explorer.exe,
如果是则创建系统线程,写入注册表项
\registry\machine\software\microsoft\windows\currentversion\runonce
键值:
%systemroot%\system32\Rundll32.exe %systemroot%\system32\%s.dll,DllUnregisterServer
3)映射ntoskrnl.exe到内存中,获取ntoskrnl.exe的服务表中指定服务函数的地址并保存,利用获取的服务函数地址枚举注册表,试图绕过其他软件的拦截;
4)记录 Winlogon.exe 的启动,但没有做其它操作,可能在以后的版本中会进行相关处理
“哈希信息窃取器”
这是一个C/C++编写的黑客工具。
该工具主要用来获取当前主机用户的LM/NTLM散列,使用者可以通过该散列对主机用户密码进行暴力破解.
支持用法:pwdump2 pid of lsass.exe
主程序行为:
1.若没有指定lsass.exe/pid参数,则执行如下操作:
[1].加载ntdll.dll,获取导出函数
NtQuerySystemInformation
RtlCompareUnicodeString
[2].调用NtQuerySystemInformation,InformationClass=5,获取进程信息列表
[3].遍历列表查找LSASS.EXE,获取该进程ID
2.打开自身进程,添加SeDebugPrivilege权限,以允许当前进程对LSASS.EXE等进程进行内存操作和线程操作
3.打开查找到的进程LSASS.EXE,获取该进程句柄
4.创建一事件,用于与通信线程同步
5.创建通信线程,执行如下操作:
[1]. 根据当前进程ID创建命名管道\\.\pipe\pwdump2-%ID%
[2]. 设置事件为有状态,通知主线程管道创建成功
[3]. 连接到管道并从中读取数据直到关闭
6.在创建的事件上等待,与之前创建的管道通信线程同步
7.向LSASS.EXE进程空间中写入创建的管道名和辅助动态库SamDump.dll导出函数名(DumpSam)作为参数,创建远程线程.
在远程线程中,根据传递的API地址,加载DLL,获取DLL导出函数(DumpSam)并调用
8.等待远程线程返回,释放资源。
动态库SamDump.dll导出函数DumpSam(char *)执行如下操作:
1.根据传入参数打开通信管道
2.加载samsrv.dll,获取如下函数地址
SamIConnect
SamrOpenDomain
SamrOpenUser
SamrQueryInformationUser
SamrEnumerateUsersInDomain
SamIFree_SAMPR_USER_INFO_BUFFER
SamIFree_SAMPR_ENUMERATION_BUFFER
SamrCloseHandle
3.依次调用如下函数
LsaOpenPolicy打开NT工作站
LsaQueryInformationPolicy获取工作站域SID
SamIConnect连接到SAM数据库
SamrOpenDomain根据域SID打开域
SamrEnumerateUsersInDomain枚举域内用户
SamrOpenUser打开域内指定用户,获取句柄
SamrQueryInformationUser枚举域用户信息
SamIFree_SAMPR_USER_INFO_BUFFER
SamrCloseHandle
木马病毒到底有多厉害
木马最主要的是不知不觉的进入你的电脑,从取盗取你的各种信息。如:QQ号密码、游戏密码、银行账号密码等。一般木马破坏性不大,但也有特别的,像落雪就可以改变exe文件关联,让你正常的应用程序无法运行。还有个别的可以感染文件(木马类比较少)。由于病毒没有太细的分类,所以我以上讲的是木马。病毒是可以感染和传染的。
幻影后门木马病毒到底有多厉害?
希望我的回答可以为楼主排忧解难
首先中了这个木马之后的主要危害是对电脑进行远程控制,比如强制重启电脑、执行系统命令、获取系统信息等。不对它进行彻底查杀的话电脑就会丢失系统文件造成word文档等程序打不开,建议楼主彻底对电脑进行全盘病毒以及顽固木马的查杀
1.下载腾讯电脑管家-对电脑进行安全体检,并且打开所有防火墙避免系统其余文件的感染,防止病毒再次侵入,它是防御病毒的第一道防线,尤其重要。
2.打开电脑管家-杀毒-闪电查杀/全盘查杀,记得在杀毒时要打开小红伞引擎。
3.为了更加安全,同样可以对电脑进行顽固木马的清理,方法很简单,打开电脑管家-工具箱-安全-顽固木马克星来进行顽固木马程序的清理
4.同时我也建议楼主哦,如果电脑存在系统高危漏洞时,电脑本身不安全是很容易感染病毒和木马的,建议用电脑管家来经常进行系统漏洞的修复,方法为打开电脑管家-修复漏洞-一键修复
5.最好在杀毒或是清理过木马以后尽量重启电脑,确保清除多余系统缓存文件,避免重复感染的问题产生。
6.平时也不要接陌生人发的文件和图片,里面很有可能加的木马病毒,对于危险网站建议也不要进入,里面也是有木马的。
以上我的回答供楼主参考解决问题,望采纳。
后门木马有什么危害?
后门程序属于木马类的。
木马和病毒都是一种人为的程序,都属于电脑病毒,为什么木马要单独提出来说内?大家都知道以前的电脑病毒的作用,其实完全就是为了搞破坏,破坏电脑里的资料数据,除了破坏之外其它无非就是有些病毒制造者为了达到某些目的而进行的威慑和敲诈勒索的作用,或为了炫耀自己的技术 "木马"不一样,木马的作用是赤裸裸的偷偷监视别人和盗窃别人密码,数据等,如盗窃管理员密码-子网密码搞破坏,或者好玩,偷窃上网密码用于它用,游戏帐号,股票帐号,甚至网上银行帐户等达到偷窥别人隐私和得到经济利益的目的所以木马的作用比早期的电脑病毒更加有用更能够直接达到使用者的目的!导致许多别有用心的程序开发者大量的编写这类带有偷窃和监视别人电脑的侵入性程序,这就是目前网上大量木马泛滥成灾的原因鉴于木马的这些巨大危害性和它与早期病毒的作用性质不一样,所以木马虽然属于病毒中的一类,但是要单独的从病毒类型中间剥离出来独立的称之为"木马"程序
一般来说一种杀毒软件程序,它的木马专杀程序能够查杀某某木马的话,那么它自己的普通杀毒程序也当然能够杀掉这种木马,因为在木马泛滥的今天,为木马单独设计一个专门的木马查杀工具,那是能提高该杀毒软件的产品档次的,对其声誉也大大的有益,实际上一般的普通杀毒软件里都包含了对木马的查杀功能如果现在大家说某某杀毒软件没有木马专杀的程序,那这家杀毒软件厂商自己也好象有点过意不去,即使它的普通杀毒软件里当然的有杀除木马的功能
还有一点就是,把查杀木马程序单独剥离出来,可以提高查杀效率,现在很多杀毒软件里的木马专杀程序只对木马进行查杀,不去检查普通病毒库里的病毒代码,也就是说当用户运行木马专杀程序的时候,程序只调用木马代码库里的数据,而不调用病毒代码库里的数据,大大提高木马查杀速度我们知道查杀普通病毒的速度是比较慢的,因为现在有太多太多的病毒每个文件要经过几万条木马代码的检验,然后再加上已知的差不多有近10万个病毒代码的检验,那速度岂不是很慢了省去普通病毒代码检验,是不是就提高了效率,提高了速度内? 也就是说现在好多杀毒软件自带的木马专杀程序只查杀木马而一般不去查杀病毒,但是它自身的普通病毒查杀程序既查杀病毒又查杀木马!
发现的话~~就将其清除即可。
后门病毒挺麻烦,一般狡兔三窟。。。。具体的病毒要具体分析了,不是几句话能说明白的了。你真好学呀 :)
为你解除疑惑是我的快乐!
木马病毒,是什么样的病毒,他有什么危害性?
什么是木马
特洛伊木马(以下简称木马),英文叫做“Trojan house”,其名称取自希腊神话的特洛伊木马记。
它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。
所谓隐蔽性是指木马的设计者为了防止木马被发现,会采用多种手段隐藏木马,这样服务端即使发现感染了木马,由于不能确定其具体位置,往往只能望“马”兴叹。
所谓非授权性是指一旦控制端与服务端连接后,控制端将享有服务端的大部分操作权限,包括修改文件,修改注册表,控制鼠标,键盘等等,而这些权力并不是服务端赋予的,而是通过木马程序窃取的。
从木马的发展来看,基本上可以分为两个阶段。
最初网络还处于以UNIX平台为主的时期,木马就产生了,当时的木马程序的功能相对简单,往往是将一段程序嵌入到系统文件中,用跳转指令来执行一些木马的功能,在这个时期木马的设计者和使用者大都是些技术人员,必须具备相当的网络和编程知识。
而后随着WINDOWS平台的日益普及,一些基于图形操作的木马程序出现了,用户界面的改善,使使用者不用懂太多的专业知识就可以熟练的操作木马,相对的木马入侵事件也频繁出现,而且由于这个时期木马的功能已日趋完善,因此对服务端的破坏也更大了。
所以所木马发展到今天,已经无所不用其极,一旦被木马控制,你的电脑将毫无秘密可言。
什么是木马
特洛伊木马(以下简称木马),英文叫做“Trojan house”,其名称取自希腊神话的特洛伊木马记。
它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。
所谓隐蔽性是指木马的设计者为了防止木马被发现,会采用多种手段隐藏木马,这样服务端即使发现感染了木马,由于不能确定其具体位置,往往只能望“马”兴叹。
所谓非授权性是指一旦控制端与服务端连接后,控制端将享有服务端的大部分操作权限,包括修改文件,修改注册表,控制鼠标,键盘等等,而这些权力并不是服务端赋予的,而是通过木马程序窃取的。
从木马的发展来看,基本上可以分为两个阶段。
最初网络还处于以UNIX平台为主的时期,木马就产生了,当时的木马程序的功能相对简单,往往是将一段程序嵌入到系统文件中,用跳转指令来执行一些木马的功能,在这个时期木马的设计者和使用者大都是些技术人员,必须具备相当的网络和编程知识。
而后随着WINDOWS平台的日益普及,一些基于图形操作的木马程序出现了,用户界面的改善,使使用者不用懂太多的专业知识就可以熟练的操作木马,相对的木马入侵事件也频繁出现,而且由于这个时期木马的功能已日趋完善,因此对服务端的破坏也更大了。
所以所木马发展到今天,已经无所不用其极,一旦被木马控制,你的电脑将毫无秘密可言。
瑞星杀毒,金山毒霸,木马克星,卡巴斯基杀毒,江民杀毒都可以
木马--并不是一种对自己不利的“病毒”,能够应用和奴驾它的人,就将它看为是一种资源,像一些黑客用木马盗取某些国家或公司的机密文件等等……
它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。
一般自己中了木马病毒,首先要认清这是个什么病毒 有的很简单也很好解决,像Trojan.DL.Agent.dqi Trojan/Agent.ls都是很好解决的--先断开网络,然后打开IE浏览器,点工具里的INTERNET选项,然后把INTERNET临时文件夹中的所有文件都删除,最后再用瑞星就可以杀掉了。
参考资料 ;pagelist=171
其实 Trojan是某些防毒软件对后门木马的一种统称,它并不代表着固定的一个,而是一类,所以即使遇到同样名子的木马可能它们也并不相同。 费尔托斯特安全是一款可以清除木马和病毒的软件,并且有很强的清除能力,如果您有它的正式版可以在升级到最新病毒库后尝试用它扫描清除一下,但这里需要特别提醒一点: 由于这类木马新变种层出不穷,所以不能保证费尔托斯特安全能够识别出目前所有的或者您遇到的。 那么除此之外难道就没有其他办法了吗?有的,下面就介绍一个借助免费工具“费尔木马强力清除助手”(此工具已经集成到费尔托斯特安全新版本中了)来清除这种顽固性 Trojan 木马的方法:
使用这个方法前必须要先知道这个木马的文件名是什么。防毒软件在发现木马后一般都会报告它的完整文件名,您需要先准确的记录下这个文件名。比如:如果防毒软件提示 C:\Windows\hello.dll 是 Trojan/Agent.l,则记下 C:\Windows\hello.dll 这个名字。这里需要注意文件名一定要记准确,因为有许多木马会把自己的文件名故意伪装成和正常的文件名很接近,比如 svch0st.exe(木马)-svchost.exe(正常)、Expl0rer.exe(木马)-Explorer.exe(正常)、intrenat.exe / internet.exe(木马)-internat.exe(正常)等等。特别是数字0几乎和大写字母O一样,很容易让人看错,所以一定要注意区分它们,否则万一记错将有可能把正常的文件清除掉,那就麻烦了;
暂停防毒软件的实时监控,这一点很重要,否则在清除时可能会被阻止而无法成功。比如如果当初是你的诺顿发现了这个木马,那么请先暂停诺顿的实时监控或实时扫描;
下载费尔木马强力清除助手 ;
释放 PowerRmv.zip 到一个目录,然后执行其中的 PowerRmv.exe 启动“费尔木马强力清除助手”。在“文件名”中输入要清除的木马文件名。比如如果您在第1步中记下的文件名是 C:\Windows\hello.dll,那么这时就输入它;
按“清除”。这时程序会询问你是否要举报此病毒到费尔安全实验室,建议点“是”表示同意。接着程序会继续提示是否确定要清除它,仍然选“是”;
之后,如果此木马被成功清除程序会提示成功;或者也可能提示此木马无法被立即删除需要重启电脑。无论是哪种情况请点击“确定”,这时如果您在前面同意了举报此木马那么程序会自动创建并打开一个“病毒举报”的电子邮件,其中会包含这个木马的样本文件,如果您看到了这个邮件请把它直接发送给 virus@filseclab.com 。如果您并没有看到这封邮件也没有关系,可以忽略。
最后,如果程序前面提示了重启电脑后才能清除那么请一定重启您的电脑,在电脑重启后这个木马应该就被清除掉了。
也有稍顽固的木马,你可以进入DOS彻底删除!
对木马
用Spy Sweeper杀,也可以监控
下载地址:
注册码SSDC-OPEN-AAAA-KJEA-PZAK
马病毒源自古希腊特洛伊战争中著名的“木马计”而得名,顾名思义就是一种伪装潜伏的网络病毒,等待时机成熟就出来害人。
传染方式:通过电子邮件附件发出,捆绑在其他的程序中。
病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。
木马病毒的破坏性:木马病毒的发作要在用户的机器里运行客户端程序,一旦发作,就可设置后门,定时地发送该用户的隐私到木马程序指定的地址,一般同时内置可进入该用户电脑的端口,并可任意控制此计算机,进行文件删除、拷贝、改密码等非法操作。
防范措施:用户提高警惕,不下载和运行来历不明的程序,对于不明来历的邮件附件也不要随意打开