更新时间:2007-3-1 文件大小:665 KB 版本:1.0
专杀工具使用方法: 到论坛参与讨论
使用4199专杀工具进行查杀
查杀完毕后重启计算机
再用360安全卫士查杀一次
4199简介
1.自动保护
(1)Boot Extender加载,使用原生ZwXXXXKey函数操作注册表,检测自己的服务项是否被删除,如果被删除,则暴力重写回去
(2)使用FSD HOOK,保护自己的驱动文件和DLL不被删除
2.隐藏启动
驱动检测到系统启动后即向RunOnce启动项写一个启动项,然后该项目就会被删除,其DLL就无痕迹地加载了,使用任何软件无法检测出其DLL的启动项
2,hook ZwCreateFile,ZwLoadDriver
ZwCreateFile将以下进程对system32\\drivers\\etc\\hosts的打开重定位到其自定义的hosts文件:winttrs上:
theworld.exe
svchost.exe
services.exe
theworldxp.exe
maxthon.exe
这样第三方的检测工具或者用记事本打开就无法发现hosts文件被篡改
winttrs由r3部分的dll从固定地址download下来
IRP_MJ_CREATE的HOOK也是做同样的工作,不过没有启用
ZwLoadDriver的HOOK阻止包含了isdrv和ispubdrv的驱动项目启动
即禁止Icesword加载
192.168.1.2 hao.allxue.com
192.168.1.2 good.allxue.com
61.141.31.11 baby.allxue.com
192.168.1.2 www.allxue.com
192.168.1.2 about.lank.la
61.141.31.11 www.x114x.com
192.168.1.2 www.hao123de.com61.141.31.11 www.gjj.cc
61.141.31.11 www.2345-com.com
61.141.31.11 www.123wa.com
61.141.31.11 www.ku886.com
61.141.31.11 www.hao123.com
61.141.31.11 www.81915.com
61.141.31.11 www.my123.com
61.141.31.11 www.ninhao123.com
61.141.31.11 www.123456tt.com
61.141.31.11 www.5icrack.com
61.141.31.11 www.jjol.cn
61.141.31.11 www.xinhai168.com
61.141.31.11 ooooos.com
61.141.31.11 www.ooooos.com
61.141.31.11 www.8757.com
61.141.31.11 4199.5009.com
61.141.31.11 www.13886.cn
61.141.31.11 www.8757.com
61.141.31.11 www.baidu345.com
61.141.31.11 www.dedewang.com
61.141.31.11 allxun.5009.cn
61.141.31.11 4199.5009.cn
61.141.31.11 yahoo.5009.cn
61.141.31.11 tom.5009.cn
61.141.31.11 zh130.5009.cn
61.141.31.11 piaoxue.5009.cn
61.141.31.11 3448.5009.cn
61.141.31.11 ttmp3.5009.cn
61.141.31.11 fx120.5009.cn
61.141.31.11 7939.5009.cn
61.141.31.11 99488.5009.cn
61.141.31.11 7333.5009.cn
61.141.31.11 www.ld123.com
61.141.31.11 www.anyiba.com
61.141.31.11 www.999991.cn
61.141.31.11 www.hao123.cn
以上的55个网站将全部被重定向到61.141.31.11,页面和hao123完全一样,但并不是HAO123的,据查IP地址是4199.com的,之前也被其利用来屏蔽其它网址
这个hosts表修改手段无法被目前任何相关检查软件检查到
下面是驱动部分技术分析:
1.驱动在boot时使用PsSetCreateProcessNotifyRoutine创建一个CreateProcessNotifyRoutine
当检测到userinit.exe被加载时就会启动SystemThread2,作用是向\registry\machine\software\microsoft\windows\currentversion\runonce
写入
%%systemroot%%\system32\rundll32.exe %%systemroot%%\system32\%s.dll,Run
否则就会执行SystemThread1,直到检测到Winlogon进程结束时停止