狡猾、变态的后门——Byshell067 bbs.ikaka.com

baohe - 2006-1-16 11:10:00

这个后门感染系统释放的文件与其前辈Byshell063一样，在％system％下释放ntboot.exe和ntboot.dll；将自身注册为系统服务（在注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services分支可见其添加的NtfsChk）；ntboot.exe将ntboot.dll注入系统进程。完成这些感染操作后，后门程序自动删除上述后门文件与注册表项。系统关机前，再将文件及注册表项重新写入系统。

与Byshell063不同的是：
Byshell067不仅插入spoolsv.exe，而是插入多个系统关键进程，如：winlogon.exe、services.exe、smss.exe、csrss.exe、lsass.exe。此外，它还动态插入应用程序进程。下面8幅截图是SSM拦截其各种感染动作的日志，够BT！！
从SSM的拦截日志看，SSM本身足以对付这个狡猾的后门。
图1

附件: 1558472006116111023.jpg

baohe - 2006-1-16 11:10:00

图2

附件: 1558472006116111056.jpg

baohe - 2006-1-16 11:11:00

3

附件: 1558472006116111301.jpg

baohe - 2006-1-16 11:11:00

4

附件: 1558472006116111339.jpg

baohe - 2006-1-16 11:11:00

5

附件: 1558472006116111406.jpg

baohe - 2006-1-16 11:12:00

6

附件: 1558472006116111452.jpg

baohe - 2006-1-16 11:12:00

7

附件: 1558472006116111551.jpg

baohe - 2006-1-16 11:12:00

8

附件: 1558472006116111704.jpg

BlackStone - 2006-1-16 11:23:00

http://www.xfocus.net/tools/200412/943.html有Byshell063源码下载

个人感觉代码写的比较差

闪电风暴 - 2006-1-16 17:24:00

楼上厉害啊

学习的诚者 - 2006-1-16 19:06:00

高手的游戏,顶一下闪。

嚣张是我本姓 - 2006-1-17 21:16:00

哪有SSM汉化版啊

baohe - 2006-1-17 21:26:00

引用:

【嚣张是我本姓的贴子】哪有SSM汉化版啊
...........................

新版SSM 下载地址：http://www.syssafety.com/files.html

新版的SSM 本身就带简体中文语言包。

嚣张是我本姓 - 2006-1-17 21:39:00

谢谢了,能否和卡巴,瑞星防火墙共用?

嚣张是我本姓 - 2006-1-17 21:45:00

还有,都是英文,看不懂啊

baohe - 2006-1-17 21:46:00

【回复“嚣张是我本姓”的帖子】
SSM与卡巴共用没任何问题。
但“网警”不建议用瑞星“规则包”的用户使用SSM。具体的——你可以问他。

嚣张是我本姓 - 2006-1-17 21:47:00

那到底应该选哪个呢?

baohe - 2006-1-17 21:48:00

引用:

【嚣张是我本姓的贴子】还有,都是英文,看不懂啊
...........................

你是说SSM日志中的程序名及其路径？
系统中的这些内容就是英文的。这与SSM无关。 “汉化版”的SSM看日志也是这样。这不是SSM的问题。

嚣张是我本姓 - 2006-1-17 21:53:00

0

七彩黄花菜萱草 - 2006-1-18 13:20:00

哈哈,是那个"三无"(斑竹的帖子:《与一个“三无”后门过招》http://forum.ikaka.com/topic.asp?board=28&artid=7673718)的兄弟啊,那拔电源了.
谢谢斑竹。

麦黄火烧 - 2006-1-19 10:57:00

俺的不支持这个功能。

sszz2000 - 2006-1-19 11:19:00

我的瑞星出问题了！
1 监控打不开！版本18.10.21
2 好多程序的cpu使用都是100％
3 开机运行任何一个程序（如word、cad、记事本）后，右键杀毒无法启动，瑞星也无法启动！

taylor05771 - 2006-1-19 21:17:00

这个东西规则包已经可以防护了
还有比这个更变态的
幻影社区出了一个内核级的 rookit 无进程无文件无端口
直接写隐藏扇区的东西.....
杀软根本无法杀
--------------------------------------------------
另外对于前面SSM的问题
SSM将与防火墙冲突
尤其加载了规则包的用户
这个问题已经强调很多次了
系统底层代码冲突
导致防火墙引擎启动缺失

精致油970427 - 2006-1-19 21:27:00

真是BT阿。

klaizya - 2006-1-20 3:32:00

版主！！
我的机器现在就中了这个后门！！
现在是开网页速度超慢！开个网页CPU使用100%！！超慢！！
看了你上面发的ssm下了!!不会用啊！着急！！
能不能给我一个详细的说明！！谢谢了！！！！我的QQ：56717477
现在郁闷中！不赶开网页！！谢谢速回信！！~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

klaizya - 2006-1-20 3:42:00

速回信！
万分感谢！！~~~~~~~~~~~~~~~~~~~~~~~~

☆龙的传人☆ - 2006-1-20 8:28:00

都是超级BTHK惹的祸。

taylor05771 - 2006-1-20 12:02:00

中招的到这里找解药
http://forum.ikaka.com/topic.asp?board=28&artid=7706225

taylor05771 - 2006-1-20 12:07:00

要是偶写这个后门的话
两种办法
1 写入磁盘隐藏扇区同时监控内存的病毒文件是否被删除,删除的话就重新写入内存
2 建立高于admin权限的隐藏管理员帐号
建立只有该帐号才能删除的文件
监控内存中的病毒文件
若被删除则实时写入内存

飘渺游侠 - 2006-1-20 19:28:00

hao

瑞星卡卡安全论坛