记录今天分析的一个隐藏自身及注册表项的病毒。
1.概述:
(1)此病毒文件为路径为:C:\Windows7\4D525EC1C14.exe,且注册了自启动项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run [UU5DUD3ZUFYW3W5YYPBNVTTD] C:\Windows7\4D525EC1C14.exe/q。
(2)在资源管理器里看不到windows7这个文件夹。在regedit.exe中HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run项中也找不到 [UU5DUD3ZUFYW3W5YYPBNVTTD] 这个键。
(3)在xuetr里能看上上述文件夹及注册表键。
2.分析:
(1)用xuetr查看explorer.exe的进程钩子如下图:
可以看到NtEnumerateValueKey和NtQueryDirectoryFile两个函数被钩了,基本可以确定这就是看不到病毒文件及注册表项的原因。
(2)试图用xuetr恢复钩子失败,说明有进程在守护,很有可能是4D525EC1C14.exe。但是在进程及线程中找不到4D525EC1C14.exe。于是用xuetr删除病毒的自启动项,再重启系统发现windows7文件夹和注册表项都可以看见。于是可以确定病毒的运行模式是4D525EC1C14.exe开机启动,然后修改explorer.exe的内存并隐藏自身。