Backdoor.Win32.Ceckno.rl

病毒名称:
Backdoor.Win32.Ceckno.hi
病毒症状:
该病毒是一个使用DELPHI编写的病毒程序，长度为563,712字节，图标为windows默认可执行文件图标，病毒扩展名为exe，传播途径主要为网页木马，文件捆绑，黑客攻击。
病毒分析:
当病毒被激活后，修改系统时间，试图使部分杀软失效，通过模拟鼠标点击试图突破卡巴斯基主动防御，复制自身%AllUsersProfile%\Documents\My Videos目录下并重命名为netservice；打开自身进程修改进程标记，添加SeBackupPrivilege令牌，获取系统“备份”权限，将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon项通过调用RegSaveKeyA函数保存到 C:\1.hiv，新建HKEY_CURRENT_USER\Software\ns调用RegRestoreKeyA函数将1.hiv还原4次到该项下，在HKEY_CURRENT_USER\Software\ns修改键值并导出并保存到 C:\2.hiv，调用RegRestoreKeyA函数将2.hiv还原4次到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon项下，添加SeShutdownPrivilege令牌获取关机权限，通过ExitWindowsEx加上参数EWX_ROOT|EWX_FORCE强制重起计算机,重起后通过注册表启动病毒主体。
当病毒主体执行后，修改注册表相关键值禁用注册表，在%systemroot%下生成netservices.exe病毒主体文件，在%systemroot%\system32下生成sysns.dll文件,在%systemroot%\plugin下生成001.dll文件,将001.dll开启一个svchost.exe进程并通过添加SeDebugPrivilege安全令牌