1、程序安装
首先是释放一个.dll到system32目录下,文件名的特征是随机的8位字母(也有版本是6位字母加2位数字),然后调用rundll32.exe wceiukte,DllUnregisterServer来注册COM组件,接下来调用Rundll32.exe wceiukte.dll,DllCanUnloadNow来运行程序,并且注册WH_CALLWNDPROC这个系统挂钩。
DLL分别注入SYSTEM和EXPLORER进程空间,进行保护,如果检测没有驱动,则会自动释放出驱动,然后加载。同时这个DLL具有网络下载升级功能。
这个dll运行后,会生成一个.sys文件,放到drivers系统目录下。DLL通过一个算法得到SYS文件名,算法是:DLL的文件名ascii码+32143289052890852-32143289052890848-34320958+34320955就是SYS文件名也就是ascii + 1即.dll的文件名为:wceiukte.dll那么.sys文件名就为:xdfjvluf.sys
2、注册和加载驱动
会在注册表的HKLMSYSTEMCurrentControlSetServices下写下同驱动名的一个值,把自己注册为System Bus Extend的驱动,使得它的优先级很高,即使在安全模式下加载,也使得很多想清除它的软件无效。然后通过services来加载驱动,驱动加载后,生成三个线程附加到system这个系统核心进程上,(以前的驱动是两个线程)获取最高权限。通过Process Explorer可以查看到这三个线程:
三个线程的作用分别为:
0x1dd4,自身文件独占及句柄检测保护模块等,会将自身文件以独占方式打开,这样若不解除独占,任何Windows下使用常规访问文件方法的程序包括杀毒软件都无法读写或者删除它的驱动程序文件。
文件句柄检测保护模块则是为了防止手工或者专杀的解除句柄的操作。以前的手工清除或者专杀都是需要先解除这个独占,才能删除文件。
但该驱动增加了这个保护,会不停检测自身文件的独占是否被强制解除,如果检测到,立即再次独占。
0x1816,服务保护模块:该模块会检测驱动自身的注册表服务项,不停地暴力重写自身服务项,使得无法删除其服务项。
0x103e,篡改首页模块:该模块会不停暴力重写注册表中首页设置为www.my123.com,导致无法对该项进行修复。
