<![CDATA[心中有片蓝天 月下桂花]]> http://hi.baidu.com http://hi.baidu.com http://img.baidu.com/img/logo-hi.gif http://hi.baidu.com/%D4%C2%CF%C2%B9%F0%BB%A8 zh-cn www.baidu.com 5 <![CDATA[Trojan.Win32.Generic.51EF219E[剑盟新郎的文章]]]>
又忘了,样本来源补上:http://bbs.janmeng.com/thread-902828-1-1.html

文件: QGS.exe
大小: 171538 字节
SHA1: 35FC99B5B6DFB3D2B11E8DC12A272659FA4A282F

瑞星扫描:Trojan.Win32.Generic.51EF219E

简单不完整的分析:

1.通过GetDriveTypeA穷列盘符C-Z获取磁盘驱动器类型;

2.打开一个名为"4728"的互斥体,避免反复感染;

3.调用BroadcastSystemMessage向顶层窗口发送WM_QUERYENDSESSION、WM_SIZE、WM_ACTIVATE消息,从而结束了csrss.exe进程(这步不知道目的是为了什么,通常在关机或注销的时候用的方法);

4.创建线程执行:

通过ControlService操作停止服务ace,调用GetSystemDirectoryA获取系统文件目录"%system\"字符串挂靠后得到映像路径"\??\%system\drivers\BGS.sys",然后RegSetValueExA修改注册表"SYSTEM\CurrentControlSet\Services\aec"的"ImagePath"值为"\??\%system\drivers\BGS.sys";

创建文件"%SystemDrive%\sss1.sys"并搜索自身"sysfile"资源写入,然后CopyFileA将"sss1.sys"拷贝到"%system\drivers\BGS.sys";

通过OpenSCManagerA、OpenServiceA、StartServiceA打开服务管理器启动服务ace;

通过NtLoadDriver加载驱动,创建一个设备"\\.\KJCM",获取系统进程快照查找是否存在下列进程,如果存在则通过DeviceIoControl操作结束进程:
引用:
safeboxTray.exe
360Safe.exe
360safebox.exe
360tray.exe
RsMain.exe
RavTask.exe
rfwmain.exe
pfw.exe
RavMonD.exe
Rav.exe
RavMon.exe
RsTray.exe
FYFireWall.exe
KavPFW.exe
rsnetsvr.exe
DSMain.exe
ScanFrm.exe
CCenter.exe
360rpt.exe
RAVTIMER.EXE
rfwsrv.exe
avconsol.exe
avsynmgr.exe
alogserv.exe
Navapsvc.exe
rtvscan.exe
vptray.exe
vshwin32.exe
vsmon.exe
vsstat.exe
webscanx.exe
ccRegVfy.exe
KAVPlus.EXE
KWatchUI.EXE
KPopMon.EXE
KULANSyn.EXE
KAVSvc.EXE
KAVStart.exe
KMailMon.EXE
KPfwSvc.EXE
KWatch.EXE
NPFMntor.exe
RavStub.exe
TrojDie.kxp
avp.exe
查找进程avp.exe.如果存在结束进程后然后通过ControlService操作停止"AVP"服务;

5.将自身拷贝到"%System%\wuauolts.exe",WinExec运行并退出自身进程;




进程%System%\wuauolts.exe(以上重复动作不再叙述):

1.查找是否存在%System%\wuauolts.exe,如果不存在,则试图删除注册表"Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wuauolts.exe",避免自身被劫持;

2.创建一个名"4728"的互斥体;

3.为进程提升SeDebugPrivilege权限;

4.创建多个线程执行下列行为:

查找进程中如果存在进程AVP.exe则设置"%HomePath%\「开始」菜单\程序\"中卡巴的相关文件夹和快捷方式为"HIDDEN|SYSTEM"属性:
卡巴斯基反病毒软件 2009
卡巴斯基反病毒软件 2009.lnk
卡巴斯基反病毒软件 2010
卡巴斯基反病毒软件 2010.lnk
卡巴斯基反病毒软件 7.0

并调用RegQueryValueExA查找注册表启动项"SOFTWARE\Microsoft\Windows\CurrentVersion\run"中是否存在"AVP",如果有就删除;

设置"%HomePath%\「开始」菜单\程序\启动"和"%ProgramFiles%"文件夹为"NORMAL"(即普通)属性,将自身文件"%System%\wuauolts.exe"拷贝到"%ProgramFiles%\mosss.exe","%HomePath%\「开始」菜单\程序\启动"和"%ProgramFiles%"内创建快捷方式".lnk"指向"%ProgramFiles%\mosss.exe",并分别设置"mosss.exe"和".lnk"为"HIDDEN|SYSTEM"(即隐藏和系统)属性:

创建文件"%System%\.dll",搜索自身"DLLFILE"资源写入并调用SetWindowsHookExA设置挂钩,将文件注入进程模块中,挂钩函数HookType = WH_CBT,调用HideProcess将自身进程隐藏;设置文件属性为"HIDDEN|SYSTEM";

设置文件"%SystemDrive%\sss1.sys"和"%system\drivers\BGS.sys"为"NORMAL"属性,然后删除"%SystemDrive%\sss1.sys"、"%system\drivers\BGS.sys"和原来的程序文件;

设置系统文件夹"%System%\"为"HIDDEN|SYSTEM"属性(这样就连系统文件夹都看不到了),设置自身文件为"HIDDEN|SYSTEM"属性;

调用MoveFileExA函数以参数Flags = "DELAY_UNTIL_REBOOT"的方式把"%System%\drivers\etc\hosts"、"%System%\RavExt.dll"、"%System%\bsmain.exe"的信息写入注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\PendingFileRenameOperations,以便修改文件,设置"%System%\drivers\etc\hosts"为"NORMAL"属性之后删除,新建后写入,内容如下:
引用:
127.0.0.1 www.iq123.com
127.0.0.1 www.yijidh.com
127.0.0.1 www.250dh.cn
127.0.0.1 www.223.la
127.0.0.1 www.kuku123.com
127.0.0.1 www.930930.com
127.0.0.1 www.7999.com
127.0.0.1 www.9123.com
127.0.0.1 www.hao123e.com
127.0.0.1 www.020.com
127.0.0.1 www.sosote.com
127.0.0.1 www.uu108.com
127.0.0.1 www.yao.la
127.0.0.1 www.youxi777.com
127.0.0.1 www.1616.net
127.0.0.1 www.1188.com
127.0.0.1 www.9605.com
127.0.0.1 05505.cn
127.0.0.1 7055.net
127.0.0.1 www.0056.com
127.0.0.1 www.6655.com
127.0.0.1 www.1166.com
127.0.0.1 www.5kip.com
127.0.0.1 www.114xia.com
127.0.0.1 www.pp55.com
127.0.0.1 www.265dh.com
127.0.0.1 www.3567.com
127.0.0.1 www.6565.cn
127.0.0.1 www.666t.com
127.0.0.1 www.9223.com
127.0.0.1 www.dduu.com
127.0.0.1 www.hao123.cn
127.0.0.1 5snow.com
127.0.0.1 www.2523.com
127.0.0.1 www.5599.net
127.0.0.1 www.tt98.com
127.0.0.1 www.zhaodao123.com
127.0.0.1 www.www.kuhao123.com
127.0.0.1 www.5151la.net
127.0.0.1 www.3567.com
127.0.0.1 www.6h.com.cn
127.0.0.1 www.zeibi.com
127.0.0.1 www.6e8e.com
127.0.0.1 www.th123.com
127.0.0.1 www.hao123ol.com
127.0.0.1 www.wu123.com
127.0.0.1 www.t220.cn
127.0.0.1 www.ttver.net
127.0.0.1 www.188HI.com
127.0.0.1 www.2523.com
127.0.0.1 www.go2000.com
127.0.0.1 www.5igb.com
127.0.0.1 www.bb2000.net
127.0.0.1 www.9wa.com
127.0.0.1 www.qq5.com
127.0.0.1 www.365j.com
127.0.0.1 www.7345.com
127.0.0.1 www.2760.com
127.0.0.1 www.361la.com
127.0.0.1 www.haojs.com
127.0.0.1 www.5zd.com
127.0.0.1 www.i8866.com
127.0.0.1 www.100wz.com
127.0.0.1 www.114hi.com
127.0.0.1 www.234.la
127.0.0.1 www.657.com
127.0.0.1 www.339.la
127.0.0.1 www.365wz.net
127.0.0.1 www.71314.com
127.0.0.1 www.7792.com
127.0.0.1 www.9495.com
127.0.0.1 www.dazuimao.com
127.0.0.1 www.71314.com
127.0.0.1 www.gouwo.com
127.0.0.1 www.huai456.com
127.0.0.1 www.ku256.com
127.0.0.1 www.my180.com
127.0.0.1 www.2522.cn
127.0.0.1 www.405.cn
127.0.0.1 www.44244.com
127.0.0.1 www.111dh.com
127.0.0.1 www.115ku.com
127.0.0.1 www.13387.com
127.0.0.1 www.163yes.com
127.0.0.1 www.2523.com
127.0.0.1 www.256s.com
127.0.0.1 www.2676.com
127.0.0.1 www.3355.net
127.0.0.1 www.365lo.com
127.0.0.1 www.4168.com
127.0.0.1 www.4545.cn
127.0.0.1 www.4688.com
127.0.0.1 www.566.net
127.0.0.1 www.5666.net
127.0.0.1 www.5733.com
127.0.0.1 www.6461.cn
127.0.0.1 www.7356.com
127.0.0.1 www.800186.com
127.0.0.1 www.85851.com
127.0.0.1 www.asp51.com
127.0.0.1 www.361dh.com
127.0.0.1 www.5566.net
127.0.0.1 www.yulinweb.com
127.0.0.1 www.6296.com.cn
127.0.0.1 www.mianfeia.com
127.0.0.1 www.ai1234.com
127.0.0.1 www.k369.com
127.0.0.1 www.msncn.com
127.0.0.1 www.ss256.com
127.0.0.1 www.min513.com
127.0.0.1 www.88-888.com
127.0.0.1 www.lggg.cn
127.0.0.1 www.7771.cn
127.0.0.1 www.leeboo.com
127.0.0.1 www.jjol.cn
127.0.0.1 www.5566.com
127.0.0.1 www.9166.net
127.0.0.1 www.hao253.com
127.0.0.1 mx.1616.net
127.0.0.1 www.7b.com.cn
127.0.0.1 www.haoei.com
127.0.0.1 www.21310.cn
127.0.0.1 www.weiduomei.net
127.0.0.1 www.kuku123.com
127.0.0.1 www.kk3000.cn
127.0.0.1 www.th123.com
127.0.0.1 www.7241.cn
127.0.0.1 www.44384.com
127.0.0.1 www.3567.com
127.0.0.1 www.930930.com
127.0.0.1 www.131.cc
127.0.0.1 www.223224.com
127.0.0.1 www.537.com
127.0.0.1 www.9348.cn
127.0.0.1 www.bju123.cn
127.0.0.1 www.hao123ol.com
127.0.0.1 www.i4455.com
127.0.0.1 www.asp51.com
127.0.0.1 www.f127.com
127.0.0.1 www.jia123.com
127.0.0.1 www.0666.com.cn
127.0.0.1 www.5599.net
127.0.0.1 www.365j.com
127.0.0.1 www.553.la
127.0.0.1 www.5566.org
127.0.0.1 www.37021.com
127.0.0.1 www.88488.com
127.0.0.1 www.99986.net
127.0.0.1 www.37021.net
127.0.0.1 www.k986.com
127.0.0.1 www.cc62.com
127.0.0.1 www.5518.cn
127.0.0.1 www.55620.com
127.0.0.1 www.52416.com
127.0.0.1 www.7357.cn
127.0.0.1 www.8c8c.net
127.0.0.1 www.9999q.com
127.0.0.1 www.123shi123.com
127.0.0.1 www.yl234.cn
127.0.0.1 www.3322.com
127.0.0.1 www.hao222.com
127.0.0.1 www.6313.com
127.0.0.1 www.i4455.com
127.0.0.1 www.f127.com
127.0.0.1 www.5599cn.cn
127.0.0.1 www.99499.com
127.0.0.1 www.2548.cn
127.0.0.1 www.133.net
127.0.0.1 www.ie30.com
127.0.0.1 www.8751.com
127.0.0.1 www.8751.com
127.0.0.1 www.7241.cn
127.0.0.1 www.160dh.com
127.0.0.1 www.114115.com
127.0.0.1 www.1322.cn
127.0.0.1 www.hh361.com
127.0.0.1 www.2800.c
创建文件"%HomePath%\Application Data\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.lnk"即在快速启动栏里添加IE快捷方式(目标地址指向http://i.163vv.com)

修改注册表删除桌面上的IE图标(不是快捷方式):
"Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel\{871C5380-42A0-1069-A2EA-08002B30309D}"的值为"0x00000001"
"Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu\{871C5380-42A0-1069-A2EA-08002B30309D}的值为"0x00000001"

修改注册表"Software\\Microsoft\\Internet Explorer\Main\\Start Page"的值为http://i.163vv.com"(即修改主页)

修改注册表(hKey = HKEY_CLASSES_ROOT)"exefile"下的"NeverShowExt"值为"1",不显示.exe文件的后缀;

调用RegCreateKeyExA创建注册表"Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\*(*代表被劫持的进程名).exe"劫持上面所劫持的安全软件进程(红字部分),然后RegSetValueExA设置"Debugger"参数的值为"ntsd -d";(hKey = HKEY_LOCAL_MACHINE)

修改注册表"SYSTEM\ControlSet001\Control\StorageDevicePolicies\WriteProtect"的值为"0",修复U盘写保护;

修改注册表"Software\Microsoft\Windows\CurrentVersion\Policies\Associations"下的"ModRiskFileTypes",值为".exe"(添加该项目的是使传输.exe后缀的文件不被阻止)

修改注册表破坏显示隐藏文件功能
(hKey = HKEY_CURRENT_USER)"Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden"的值为"0";
(hKey = HKEY_LOCAL_MACHINE)"SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Type"的值为""checkbox2"
(hKey = HKEY_LOCAL_MACHINE)"SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue"的值为"0"

删除注册表破坏安全模式:
"SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}"
"SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}"
"SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}"
"SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}"

修改注册表"Software\\Microsoft\\Internet Explorer\\New Windows"下的"PopupMgr"值为"yes",允许系统弹出窗口阻止程序

创建文件"%System%\.sss",将字符串作为文本内容写入,并设置文件为"HIDDEN|SYSTEM"属性:
引用:
[AutoRun]
shell\open=打开(&O)
shell\open\Command=QGS.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=QGS.exe
跳过C盘,搜索其他分区根目录上的文件夹并设置属性为"HIDDEN",拷贝自身到各分区命名为所查找到的文件夹名挂靠".exe"

每隔3秒穷列磁盘Z-C,拷贝"%System%\.sss"文件到"%DriveLetter\autorun.inf",拷贝"%System%\wuauolts.exe"文件到"%DriveLetter\QGS.exe",并设置文件属性为"HIDDEN|SYSTEM";

调用InternetCheckConnectionA打开百度和谷歌测试网络是否联网,如果正常则获取系统信息发送http://www.wx888.cc/tongji/g.asp?mac=做感染统计;


注: %System% 是一个可变路径,在windows95/98/me中该变量是指%Windir%System,在WindowsNT/2000/XP/2003/VISTA中该变量指%Windir%System32。其它:
%SystemDrive%                       系统安装的磁盘分区
%SystemRoot% = %Windir%         WINDODWS系统目录
%ProgramFiles%                应用程序默认安装目录
%AppData%                      应用程序数据目录
%CommonProgramFiles%            公用文件目录
%HomePath%                      当前活动用户目录
%Temp% =%Tmp%                   当前活动用户临时目录
%DriveLetter%                   逻辑驱动器分区
%HomeDrive%                    当前用户系统所在分区 阅读全文
类别:网络技术 查看评论]]> 2009年11月14日 星期六 20:25 http://hi.baidu.com/%D4%C2%CF%C2%B9%F0%BB%A8/blog/item/e6df43dbe033fc6cd0164e89.html <![CDATA[湖北荆州李埠镇绿色家园]]> http://yuexiaguihua.uueasy.com/index.php也来YY下
类别:默认分类 查看评论]]> 2009年10月27日 星期二 22:27 http://hi.baidu.com/%D4%C2%CF%C2%B9%F0%BB%A8/blog/item/0a36354ac9723c2909f7ef92.html <![CDATA[360免费杀软出来了]]> 各种关注!

看来有的一番AD了@!


类别:默认分类 查看评论]]> 2009年10月20日 星期二 22:51 http://hi.baidu.com/%D4%C2%CF%C2%B9%F0%BB%A8/blog/item/f01e4a4e5ce5f2c0d0c86a7d.html <![CDATA[公园自拍【原创】]]>



























阅读全文
类别:心情驿站 查看评论]]> 2009年10月03日 星期六 21:53 http://hi.baidu.com/%D4%C2%CF%C2%B9%F0%BB%A8/blog/item/3ca1b3ea52020cd9d539c98f.html <![CDATA[深夜乱语]]>    深夜,屋子里静静地,听得见湿衣服的滴水声。窗外,不知名
的小虫在鸣叫。我趴在床上看着《周刊》,依旧懒散。难得此时的
静,没有喧哗吵闹、车来车往,也不用担心手中没做完的事情。一
个静静地躺着,可以随心所欲,把白天生活、工作中的烦心丢掉,
只求心灵的静。
   在柔和的灯光下,拿起久违的钢笔,书写自己的文字,也是如此
的畅快随心。小虫的鸣叫声此时是如此的动听,如同唱响虫儿的交
响乐,而此时的我是它们唯一的听众,这虫儿的盛会中又有多少的
故事。
渐渐地倦意袭上来,双眼已迷离。难道是这虫儿的盛会高潮已过,
欲叫我入眠?也罢,就让我带着这柔和的光、虫儿的乐声、夜的静
入眠吧! 阅读全文
类别:我的文章 查看评论]]> 2009年09月20日 星期日 22:59 http://hi.baidu.com/%D4%C2%CF%C2%B9%F0%BB%A8/blog/item/f69bdaec37aa4b372697910b.html