“赛威后门”病毒技术细节

病毒由VC语言编写，ASPack2.12加壳保护。

病毒运行后执行如下操作：

病毒运行后，首先尝试打开“SYSTEM\CurrentContRolSet\Services\”下的名为“windows_0”的服务的注册表项，如果该服务不存在，则表明病毒在当前系统下第一次运行，将进行下载、建立注册表自启动等初始化操作，反之运行服务代码。

1．注入代码下载文件

病毒首先调用GetCurrentProcess、OpenProcessToken、SeDebugPrivilege等函数提升自己进程的权限。

提升权限后，病毒调用CreateToolhelp32Snapshot、Process32First等函数遍历进程，搜索explorer.exe和winlogon.exe的进程。

找到explorer.exe或winlogon.exe任一个进程后，调用OpenProcess、VirtualAllocEx、WriteProcessMemory等函数将代码注入目标进程。

注入时，病毒在目标进程分别分配大小为0x2000和0x2A8大小的两个内存区域，然后将病毒偏移0x2DE0处的2000大小的代码写入目标进程，并将堆栈中的0x60大小的数据写入目标进程0x2A8的内存。在0x2A8这块内存中病毒写入了下载地址“http://www.XXXX.com/khhm.exe”以及提前获取的如下函数地址和信息：

GetProcAddress、LoadLibraryA、CreateProcessA、Sleep、ExitProcess的函数地址

“urlmon.dll”、“URLDownloadToFileA”、“C:\WINNT\System32\SVCH0ST.EXE”三个字符串

注入完成后，病毒通过调用CreateRemoteThread启动注入的代码，同时将在目标进程分配的0x2A8大小的内存的起始地址作为参数传递。

在注入的远程代码中，病毒装载urlmon.dll，然后获取和调用URLDownloadToFileA函数，下载“http://www.jyfish.com/khhm.exe”为本地“C:\WINNT\System32\SVCH0ST.EXE”，然后调用CreateProcessA启动下载的文件。“http://www.jyfish.com/khhm.exe”这个地址现已无效，推断应该也是一个病毒文件。

2．建立服务并启动

病毒复制自己为“system同名文件”，然后调用OpenSCManagerA、CreateServiceA等函数，注册自己为服务，并启动服务。

服务的注册表键如下：

HKLM\System\CurrentControlSet\Services\windows_0=新建子键

HKLM\System\CurrentControlSet\Services\windows_0\Type=0x10

HKLM\System\CurrentControlSet\Services\windows_0\Start=0x2

HKLM\System\CurrentControlSet\Services\windows_0\ErrorControl=0x0