狡猾、变态的后门——Byshell067
这个后门感染系统释放的文件与其前辈Byshell063一样,在%system%下释放ntboot.exe和ntboot.dll;将自身注册为系统服务(在注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services分支可见其添加的NtfsChk);ntboot.exe将ntboot.dll注入系统进程。完成这些感染操作后,后门程序自动删除上述后门文件与注册表项。系统关机前,再将文件及注册表项重新写入系统。
与Byshell063不同的是:
Byshell067不仅插入spoolsv.exe,而是插入多个系统关键进程,如:winlogon.exe、services.exe、smss.exe、csrss.exe、lsass.exe。此外,它还动态插入应用程序进程。下面8幅截图是SSM拦截其各种感染动作的日志,够BT!!
从SSM的拦截日志看,SSM本身足以对付这个狡猾的后门。
图1
