〖杀马纪实〗冰刃(icesword)VS驱动级隐藏木马(Rootkit)-PcShare.doc

PcShare简介:QUOTE:一款计算机远程控制软件,采用HTTP反向通信,屏幕数据线传输,驱动隐藏端口通信过程等技术,达到系统级别的隐藏。类似灰鸽子,由于结合了最新的Rootkit技术,用一般的系统扫描软件如Hijackthis等无法检测到其木马服务信息,最近有泛滥的趋势...PcShare样本()运行后释放文件有:%System32%\%System32%\%System32%\drivers\:在注册表中添加了隐藏的驱动服务:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ybfbqufe][HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Ybfbqufe]指向%SystemRoot%\System32\drivers\:修改dmserver服务(监测和监视新硬盘驱动器并向逻辑磁盘管理器管理服务发送卷的信息以便配置):[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmserver\Parameters][HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dmserver\Parameters][HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\dmserver\Parameters]指向病毒文件:"ServiceDll"="%System32%\"如果此服务被终止,动态磁盘状态和配置信息会过时。如果此服务被禁用,任何依赖它的服务将无法启动。如果是2000系统:修改RpcSs服务(RemoteProcedureCallServices):[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs\Parameters][HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcSs\Parameters][HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\RpcSs\Parameters]指向病毒文件:"ServiceDll"="%System32%\"。它用于本地计算机的远程程序调用服务。它是本地网络的公用服务。这个程序对系统的正常运行是非常重要的。QUOTE:驱动级隐藏木马结合了最新的Rootkit技术,用一般的系统扫描软件如Hijackthis等无法检测到其木马服务信息,最近有泛滥的趋势...但是有这么一款软件,它专为查探系统中的幕后黑手——木马和后门而设计,内部功能强大,它使用了大量新颖的内核技术,使内核级的后门一样躲无所躲,它就是——IceSword冰刃。IceSword冰刃(以下简称IceSword)是一款斩断系统黑手的绿色软件。在笔者的使用中,IceSword表现