西伯利亞漁夫病毒 Win32.Troj.Agent.ib.69632

　　病毒名稱(中文):西伯利亞漁夫

　　病毒別名:

　　威脅級(jí)別:★★☆☆☆

　　病毒類型:木馬程序

　　病毒長度:69632

　　影響系統(tǒng):Win9x WinMe WinNT Win2000 WinXP Win2003

　　病毒行為:

　　這是一個(gè)專門劫持瀏覽器的木馬。它通過修改用戶的DNS設(shè)置，使用戶在瀏覽正常網(wǎng)站時(shí)，被指引到病毒作者指定的釣魚網(wǎng)站。病毒作者采用一系列復(fù)雜的加密手法，試圖干擾安全軟件的正常查殺。

　　這個(gè)病毒，修改用戶DNS設(shè)置，使用戶正常網(wǎng)站鏈接被定位到病毒設(shè)置的釣魚網(wǎng)站

　　這個(gè)病毒經(jīng)過變形處理，解密前的導(dǎo)出表是兩個(gè)隨機(jī)名，運(yùn)行后會(huì)解密真正的導(dǎo)出表函數(shù)與代碼。

　　調(diào)用導(dǎo)出表函數(shù)_mp@4：

　　1：打開當(dāng)前令牌，獲取TokenPrivileges，循環(huán)打開權(quán)限列表中存在的所有權(quán)限，通過GetProcAddress，讀IMAGE_EXPORT_DIRECTORY，硬編碼地址等多種方法獲取Api：

　　EnumProcessModules

　　GetModuleFileNameExA

　　NtQuerySystemInformation

　　NtQueryInformationProcess

　　NtQueryInformationThread

　　NtOpenThread

　　NtQueryObject

　　NtQueryInformationFile

　　NtEnumerateValueKey

　　NtQueryValueKey

　　GetProcAddress

　　LoadLibraryA

　　等等

　　2：

　　檢查進(jìn)程ieuser.exe，找到了就結(jié)束該進(jìn)程

　　復(fù)制自身到%sys32dir%kdxxx.exe的中，xxx為3位"a--z"的隨機(jī)小寫字母，同時(shí)復(fù)制explorer.exe到%sys32dir%下

　　添加注冊表啟動(dòng)項(xiàng)：

　　SoftwareMicrosoftWindows NTCurrentVersionWinlogon system 指向病毒文件

　　SoftwareMicrosoftWindowsCurrentVersion run 指向病毒文件

　　如果系統(tǒng)是Vista，會(huì)添加一個(gè)服務(wù)啟動(dòng)項(xiàng)： Windows Tribute Service

　　3：

　　關(guān)閉 Dnscache 服務(wù)；

　　修改

　　HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters

　　DhcpNameServer 和 NameServer

　　85.2*5.1*4.106,85.2*5.1*2.1*5

　　修改DNS服務(wù)器到白俄羅斯的域名解析服務(wù)器。

　　重新打開Dnscache服務(wù)

　　4：Hook下列函數(shù)，隱藏病毒文件

　　NtSetValueKey

　　NtResumeThread

　　NtQueryDirectoryFile

　　NtDeleteValueKey

　　OpenProcess

　　DebugActiveProcess

　　5：

　　將病毒代碼注入到其他的系統(tǒng)進(jìn)程中執(zhí)行，

　　被注入代碼的、進(jìn)程的頭部+Ch處，有"PE"的標(biāo)記。

　　嘗試注入的進(jìn)程有explorer.exe,csrss.exe,runonce.exe,service.exe等等

　　注入代碼包括循環(huán)添加注冊表啟動(dòng)項(xiàng)，循環(huán)修改DNS服務(wù)器設(shè)置；

　　連接遠(yuǎn)端地址64.*8.1*8.2*1，執(zhí)行其他的黑客行為，盜取信息，下載；

　　檢查到瀏覽器iexplorer.exe時(shí)，hook下列Api：HttpSendRequestA，RegisterBindStatusCallback，recv

　　檢查到瀏覽器firefox.exe的話，hook下列Api:recv

　　6：

　　結(jié)束自身進(jìn)程

　　保留一個(gè)打開的句柄在csrss.exe中，防止自身被刪除