您现在浏览：主页>安全中心>安全资讯> Rootkit.Win32.Agent.btu（beep.sys）分析教程

Rootkit.Win32.Agent.btu（beep.sys）分析

时间:2008-08-14 08:23:50 来源: 作者:

病毒描述：
该病毒后门类，病毒运行后获取系统文件夹路径%System32%\drivers\beep.sys，调用LoadLibraryA函数加载SFC.DLL文件。将%System32%\drivers\目录下的beep.sys文件删除，并创建一个同名的文件，以系统原服务加载病毒释放的驱动文件，达到不对注册表操作的目的，即可躲避多款杀软的主动防御，释放驱动文件恢复SSDT使卡巴主动防御失效，等待加载完驱动后将beep.sys驱动文件删除，释放临时文件1923531_res.tmp到%temp%目录下，将文件创建时间修改成2004年然后将文件拷贝到%System32%目录下并重命名为：BITSEx.dll，执行完毕后将临时文件1923531_res.tmp删除，修改添加注册表病毒项，将病毒BITSEx.dll文件注入到svhost.exe进程中，等待病毒执行完以上操作将以命令行方式删除病毒自身，等待接受病毒作者发送的控制指令，受感染用户可能会被操纵进行Ddos攻击、远程控制、发送垃圾邮件、创建本地Tftp、下载病毒文件等行为。

行为分析-本地行为：
1、文件运行后会释放以下文件
%System32%\BITSEx.dll 　　　　69,632 字节

2、修改注册表项：
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_BITS\0000\Service]
值: 字符串: "BITS"
描述：病毒服务名

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BITS\Parameters\ServiceDll]
新: C:\WINDOWS\system32\BITSEx.dll.
旧: C:\WINDOWS\system32\qmgr.dll.
描述：将注册表启动的DLL文件修改为病毒文件的DLL文件，使系统启动加载病毒文件

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BITS\Start]
新: DWORD: 2 (0x2)
旧: DWORD: 3 (0x3)
描述：设置病毒服务的启动方式为自动

3、获取系统文件夹路径%System32%\drivers\beep.sys，调用LoadLibraryA函数加载SFC.DLL文件。将%System32%\drivers\目录下的beep.sys文件删除，并创建一个同名的文件，以系统原服务加载病毒释放的驱动文件，达到不对注册表操作的目的，即可躲避多款杀软的主动防御，释放驱动文件恢复SSDT使卡巴主动防御失效，等待加载完驱动后将beep.sys驱动文件删除。

4、释放临时文件1923531_res.tmp到%temp%目录下，将文件创建时间修改成2004年然后将文件拷贝到%System32%目录下并重命名为：BITSEx.dll，执行完毕后将临时文件1923531_res.tmp删除。

5、将病毒BITSEx.dll文件注入到svhost.exe进程中，等待病毒执行完以上操作将以命令行方式《/c del %s > nul》删除病毒自身，等待接受病毒作者发送的控制指令。

Tags：

网友评论加入收藏打印本文我要推荐博客留言关闭此页

上一篇：狡猾病毒伪装杀毒软件欺骗网友上网购买下一篇：没有了

文章评论

共有 0人发表了评论查看完整内容

完全教程网：WWW.PCSTU.COM

Rootkit.Win32.Agent.btu（beep.sys）分析

文章评论

相关教程

推荐教程

最新教程