修改IE首页为“http://www.3929.cn/?tn=”的病毒分析与修复方法

查看文章

2008-09-24 16:43

///////////////////////////////////////////////////////////////////////////////////////////////
文章名称：修改IE首页为“http://www.3929.cn/?tn=”的病毒分析与修复方法
文章类型：病毒分析、系统修复
编写作者：Coderui
编写日期：2008年09月24日
作者博客：http://hi.baidu.com/coderui
///////////////////////////////////////////////////////////////////////////////////////////////
-----------------------------------------------------------------------------------------------
病毒EXE主程序部分：

文件大小：35840字节
MD5 校验：ecebfb14005544cc4014d0fbf601f7a0

加壳名称：UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
开发工具：Microsoft Visual C++ 6.0
壳结尾处：004194EB - E9 1CA9FEFF JMP l9.00403E0C
入口地址：00003E0C

解密函数(所有用到的字符串都是加密存放的)：
00403869 E8 12F5FFFF CALL l9.00402D80

解密后的所有字符串如下：
0012FE58   0040BFD4 ASCII "{701407A4-B171-4E8A-AD7C-F594B07B2800}"
0012FE78   0040BFFC ASCII "%s\%s.dll"
0040C008=l9.0040C008 (ASCII "%s\drivers\%s.sys")
0040C020=l9.0040C020 (ASCII "rundll32.exe")
0040C030=l9.0040C030 (ASCII "DllRegisterServer")
0040C044=l9.0040C044 (ASCII "%s\%s %s\%s.dll,%s")
0040C058=l9.0040C058 (ASCII "NotePad")
0040C060=l9.0040C060 (ASCII "WinWord")
0040C068=l9.0040C068 (ASCII "\msvcrt.dll")
0040C074=l9.0040C074 (ASCII "\\.\Global\rkdoor")
0040C088=l9.0040C088 (ASCII "\\.\Global\LocalSystemX")
0040C0A8=l9.0040C0A8 (ASCII "SOFTWARE\Microsoft\Windows\CurrentVersion\")
0040C0D4=l9.0040C0D4 (ASCII "ping -n 3 127.0.0.1>nul")
0040C0EC=l9.0040C0EC (ASCII ":Repeat")
0012FE48   0040C0F4 ASCII "del "%s""
0040C100=l9.0040C100 (ASCII "if exist "%s" goto Repeat")
0040C11C=l9.0040C11C (ASCII "cd %c:\")
0040C124=l9.0040C124 (ASCII "del %0")
0040C12C=l9.0040C12C (ASCII "%s\%s.bat")

运行函数：
004038F2 E8 29E3FFFF CALL l9.00401C20

创建窗口：
00401C66 FF15 C8404000 CALL DWORD PTR DS:[4040C8] ; USER32.CreateWindowExA

程序会在创建窗口的过程中，运行如下代码(只摘录了函数入口地址)：
004020F0 55 PUSH EBP

病毒执行的功能函数(放的地方很隐蔽，一般很难动态跟踪定位到这里)：
00402136    E8 B5F1FFFF     CALL l9.004012F0       ;以读写方式打开设备"\\.\Global\rkdoor"
0040213B    85C0            TEST EAX,EAX           ;对比
0040213D    75 05           JNZ SHORT l9.00402144 ;判断设备是否可以打开(是否存在)
0040213F    E8 2C130000     CALL l9.00403470       ;不存在则在这里创建，并进行所有其它的安装操作

释放病毒DLL组件文件(文件名随机)：
C:\WINDOWS\system32\*.dll

释放病毒驱动文件(文件名随机，驱动以服务方式安装运行)：
C:\WINDOWS\system32\drivers\*.sys

创建注册表标记项：
00402D41 E8 BAE2FFFF CALL l9.00401000

注册表标记项位置如下(名称全部随机)：
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\AfUlRqs"
0012EF1C   0012F2BC |ValueName = "vybx"
0012EF1C   0012F2EC |ValueName = "mqnyr"
0012EF1C   0012F334 |ValueName = "ejusad"
0012EF1C   0012F31C ASCII "vensham"

加载运行释放出来的病毒DLL组件程序：
0012F054 0012F07C ASCII "C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\*.dll,DllRegisterServer"

创建批处理文件调用运行，实现自我删除：
C:\WINDOWS\system32\*.bat

关闭退出。
-----------------------------------------------------------------------------------------------
病毒DLL组件部分：

文件大小：45056字节
MD5 校验：文件MD5值不固定，受配置信息干扰

开发工具：Microsoft Visual C++ 6.0 DLL
未加壳，但DLL中的所有字符串全部加密保存。

DLL中有4个导出函数：
DllCanUnloadNow
DllGetClassObject
DllRegisterServer
DllUnregisterServer

恶意网址：
http://www.outhang.cn/api.php?
http://www.outhang.cn/update.php?

表单结构：
id=%d&mac=%s&type=%d&setupdate=%d%02d%02d&homepage=%s
id=%d&updateversion=%d
-----------------------------------------------------------------------------------------------
病毒SYS驱动部分：

文件大小：28608字节
MD5 校验：文件MD5值不固定，受配置信息干扰

驱动功能：
1、保护病毒主程序释放出来的DLL文件、SYS文件和系统HOSTS文件(利用System进程以独占方式打开文件)，使之不被修改、删除。
2、监视保护驱动程序自身服务启动项，删除后会重新创建。
3、驱动服务启动(启动优先级为“Boot”)后，会自动调用DLL组件运行(用“rundll32.exe”加载调用)。
4、设置系统IE浏览器的默认首页为“http://www.3929.cn/?tn=102731”(“tn=”后面的编号不唯一)。

该病毒就只有唯一一个启动项，那就是这个恶意驱动程序的服务项，启动优先级为“Boot”。
-----------------------------------------------------------------------------------------------
直接手动删除该病毒的方法步骤(经过实际测试绝对有效)：
第一步：寻找判断定位病毒释放出来的DLL和SYS的文件名称(DLL和SYS加一起一共两个文件)。
第二步：关闭掉System进程打开的DLL和SYS文件的句柄。
第三步：删除掉SYS驱动文件。
第四步：重新启动计算机，然后删除掉DLL组件文件。
第五步：删除掉驱动的服务启动和其它注册表残留。
第六步：打开“IE设置选项”，设置您想要设置的默认IE浏览器主页。
第七步：使用杀毒软件进行全盘查杀病毒(该病毒为木马下载器下载到您计算机中的病毒，那个木马下载器还下载了N多其它病毒也同时安装到了您的计算机系统中)。
第八步：该病毒清理完毕。

利用PE盘手动删除该病毒的方法步骤(经过实际测试绝对有效)：
第一步：寻找判断定位病毒释放出来的DLL和SYS的文件名称(DLL和SYS加一起一共两个文件)。
第二步：使用PE盘启动计算机，删除掉病毒释放出来的DLL和SYS文件(DLL和SYS加一起一共两个文件，删除前请事先备份)。
第三步：重新启动计算机进入正常系统，删除掉驱动的服务启动和其它注册表残留。
第四步：打开“IE设置选项”，设置您想要设置的默认IE浏览器主页。
第五步：使用杀毒软件进行全盘查杀病毒(该病毒为木马下载器下载到您计算机中的病毒，那个木马下载器还下载了N多其它病毒也同时安装到了您的计算机系统中)。
第六步：该病毒清理完毕。
-----------------------------------------------------------------------------------------------
///////////////////////////////////////////////////////////////////////////////////////////////

类别：病毒分析 | 添加到搜藏 | 浏览() | 评论 (18)

最近读者：

网友评论：

2008-09-24 17:12 | 回复

小瑞瑞。。。偶不说你了。。。自己撞豆腐去吧。。。能找到“病毒释放出来的DLL和SYS”的人不用看你写的。。。看你写的不知道咋找。。。。。。

2008-09-24 17:37 | 回复

病毒利用"System"进程以独占方式打开了DLL和SYS文件，去"System"进程里看，一目了然。

2008-09-24 17:38 | 回复

SYS PE入口代码： ------------------------------------------------------------ 0 1 2 3 4 5 6 7 8 9 A B C D E F 00001A30h 55 8B EC 83 EC 14 53 56 57 52 00001A40h 56 E8 07 00 00 00 25 4C 18 65 41 57 6B 5A 5E 5A 00001A50h 51 E8 05 00 00 00 24 47 8F 75 21 59 59 33 DB C7 00001A60h 05 0C 66 01 00 20 66 01 00 66 89 1D 08 66 01 00 00001A70h 66 C7 05 0A 66 01 00 00 02 E8 04 00 00 00 90 EB 00001A80h 3C 45 83 C4 04 FF 75 0C 68 08 66 01 00 FF 15 AC

2008-09-24 17:41 | 回复

DLL和SYS文件都不是隐藏的，很容易发现吧。如果时间多的话，写专杀。

2008-09-25 08:04 | 回复

“病毒释放出来的DLL和SYS”的时间是不是一样的？

2008-09-25 08:53 | 回复

“病毒释放出来的DLL和SYS”的时间是一样的，为系统文件的时间(如：2005年8月2日, 4:30:00)。

2008-09-25 10:22 | 回复

病毒升级了，刚打开看了一下新版的，文件大小：213754字节，MD5：3d7416b32d22435ac1f63be9c1aa44f2。这个新版的内部核心没什么变化，只是在外边多加了层类似于壳的东西。为什么说是类似于壳呢？因为它属于捆绑器，把一个DLL绑了进去。新版的运行后，只是在临时文件夹中多释放了一个DLL文件“itb2.tmp”（这个文件是由外部壳释放出来的，应该也是个病毒，但我没分析），壳把“itb2.tmp”插入到了“explorer.exe”中运行，会连接网络。

2008-09-25 12:13 | 回复

刚看了下，病毒又还原回以前的了，好玩。仔细分析了下样本，原来是“骇客的服务器”中毒了，中的感染型病毒。结果把自己挂的病毒都给感染了，我上午最开始下载回来的是被感染后的病毒样本，汗。

2008-09-25 14:32 | 回复

呵呵，多态感染式，江民能查杀嘛？

2008-09-25 14:37 | 回复

您好。多态感染式，如果在不破坏原文件的情况下，提供样本可以杀并修复。如果感染算法比较复杂的话，只是需要多些时间。

2008-10-02 21:25 | 回复

你好！我的是win2k，请问以下3个步骤具体如何操作？用什么工具可以关闭句柄？怎样进"System"进程里看？？？被这个病毒折磨了几天，非常感谢！！！ 1、寻找判断定位病毒释放出来的DLL和SYS的文件名称(DLL和SYS加一起一共两个文件)。 2、关闭掉System进程打开的DLL和SYS文件的句柄。 3、病毒利用"System"进程以独占方式打开了DLL和SYS文件，去"System"进程里看，一目了然。

2008-10-02 21:32 | 回复

Process Explorer提供句柄查找功能，只要输入DLL和SYS名就可以查到了…… 至于如何判断是否是病毒释放的，一般病毒释放的文件名都是呈无规则长文件名的…… 至于手动进"system"进程，就不必了…… 下载江民2008……嘿嘿嘿嘿……

2008-11-05 20:17 | 回复

不懂

2008-11-08 15:14 | 回复

恩，用12楼兄弟说的方法吧，是对的！

2008-11-18 16:18 | 回复

试了可以，不过第一次用Process Explorer关掉二个可疑的SYS/DLL后，删除文件，删除服务，删除驱动，但重启电脑后，发现服务又出现了，现删了一次重启就行了

2008-11-18 19:13 | 回复

正常，必须先删除病毒驱动，然后重新启动计算机再删除服务才可以。病毒在运行的时候是实时的去重复写自己的服务启动项的，你没把病毒停止掉，所以删除了服务，重新启动后还存在。

2009-09-07 01:49 | 回复

您好楼主,方便的可以传一份新的样本吗?谢谢 176086916@qq.com

2009-09-08 08:44 | 回复

回复动不动就动一动：您好，这个是1年前的样本了，我没收集新变种，呵呵。

姓　名：	*姓名最长为50字节

网址或邮箱：	(选填)

内　容：

验证码：	请点击后输入四位验证码，字母不区分大小写看不清?
	取消回复