標題 新增找內文!

看整串內容篇數:0 / 0

0GP-BP

#1 RE:【心得】算是目前集大成的隨身碟病毒 - system.dll

發表:2009-02-09 00:43:56看他的文開啟圖片

wellss(◤★ 掠過無痕 ★◢)

賞金獵人 LV42 / / 法師
巴幣:40453
GP:697
經驗:

◆補充這隻毒的完整大觀,出自system.dll病毒解决办法:

system.dll病毒解決辦法(可以躲過最新版卡巴、江民、瑞星等殺軟,並將大面積爆發)
system.dll病毒,這是一個結合了機器狗,AV終結者和利用MS08067漏洞攻擊的複合型
下載者病毒。近幾天非常流行,並且預計該病毒在近期會成氾濫之勢,希望大家注意!(註:我已經提取到了system.dll病毒檔案,12月10日,用最新版的卡巴斯基KIS2009,KV2008,KV2009,還有瑞星2008掃瞄都沒報毒)


以下是該病毒的某一變種的分析:
1.病毒執行後,會呼叫檢驗是否有除錯器存在
並遍歷是否存在ImportREC.exe,C32Asm.exe,LordPE.exe,PEditor.exe,OllyICE.exe,OllyDbg.exe
等程序,如果是則自身離開。


2.停止如下服務
Application Management,Task Scheduler,System Restore Service,
Windows Image Acquisition (WIA),Windows Time


3.之後生成如下檔案:
%temp%\dll???.dll(???為隨機數字)

4..Dll??.dll插入到svchost.exe中,並建立遠端執行緒。(之前會獲得系統時間,
如果系統年份大於2008則不插入svchost.exe)
Dll??.dll插入svchost.exe後有如下行為:
(1)建立一個事件NSDownLoader20Vip02
(2)建立多個執行緒執行不同的動作


a.讀取一個txt格式的下載清單(本例為http://tk123.********.cn/pk/tk123.txt),將木馬和病毒下載到%temp%資料夾。

b.映像劫持如下程序
pccguide.exe
,ZONEALARM.exe
,zonealarm.exe
,wink.exe,
windows最佳化大師.exe
,WFINDV32.exe
,webtrap.exe
,WEBSCANX.exe
,WEBSCAN.exe,
vsstat.exe
,VSSCAN40
,VSHWIN32.exe
,vshwin32.exe
,VSECOMR.exe
,VPC32.exe
,vir.exe
,VETTRAY.exe
,VET95.exe
,vavrunr.exe
,UlibCfg.exe
,TSC.exe
,tmupdito.exe
,tmproxy.exe
,TMOAgent.exe
,Tmntsrv.exe
,TDS2-NT.exe
,TDS2-98.exe
,TCA.exe
,TBSCAN.exe
,symproxysvc.exe
,SWEEP95.exe
,spy.exe
,SPHINX.exe
,smtpsvc.exe
,SMC.exe
,sirc32.exe
,SERV95.exe
,secu.exe
,SCRSCAN.exe
,scon.exe
,SCANPM.exe
,SCAN32.exe
,scan.exe
,scam32.exe
,safeweb.exe
,safeboxTray.exe
,rn.exe
,Rfw.exe
,rescue32.exe
,regedit.exe
,RavTask.exe
,RavStub.exe
,RavMonD.exe
,RavMon.exe
,rav7win.exe
,RAV7.exe
,ras.exe
,pview95.exe
,prot.exe
,program.exe
,PpPpWallRun.exe
,pop3trap.exe
,PERSFW.exe
,PCFWALLICON.exe
,pccwin98.exe
,pccmain.exe
,pcciomon.exe
,PCCClient.exe
,pcc.exe
,PAVCL.exe
,PADMIN.exe
,OUTPOST.exe
,office.exe
,NVC95.exe
,NUPGRADE.exe
,norton.exe
,NORMIST.exe
,NMAIN.exe
,nisum.exe
,nisserv.exe
,NAVWNT.exe
,navwnt.exe
,NAVW32.exe
,NAVW.exe
,NAVSCHED.exe
,navrunr.exe
,NAVNT.exe
,NAVLU32.exe
,navapw32.exe
,navapsvc.exe
,N32ACAN.exe
,ms.exe
,MPFTRAY.exe
,MOOLIVE.exe
,moniker.exe
,mon.exe
,microsoft.exe
,mcafee.exe
,LUCOMSERVER.exe
,luall.exe
,LOOKOUT.exe
,lockdown2000.exe
,lamapp.exe
,kwatch.exe
,KVPreScan.exe
,KVMonXP.exe
,KRF.exe
,KPPMain.exe
,kpfwsvc.exe
,kpfw32.exe
,KPFW32.exe
,kissvc.exe
,kavstart.exe
,kav32.exe
,Kasmain.exe
,Kabackreport.exe
,JED.exe
,iomon98.exe
,iom.exe
,ICSSUPPNT.exe
,ICMOON.exe
,ICLOADNT.exe
,ICLOAD95.exe
,IceSword.exe
,ice.exe...

,指向svchost.exe

c.在%SystemRoot%\system32\目錄下生成Nskhelper2.sys恢復SSDT並結束某些掃毒軟體程序。

d.釋放與機器狗功能類似的驅動NSPASS?.sys(?代表數字),直接訪問硬碟並置換如下dll檔案

%SystemRoot%\system32\schedsvc.dll
%SystemRoot%\System32\appmgmts.dll
%SystemRoot%\System32\srsvc.dll
%SystemRoot%\System32\w32time.dll
%SystemRoot%\system32\wiaservc.dll
%SystemRoot%\system32\schedsvc.dll

置換為病毒的dll。

e.每隔15分鐘啟動一次本機的lanmanserver與Browser服務,掃瞄本網段內的其他機器,開啟對方的4444連接埠。在本機暫存檔夾內建立一個???????.txt的檔案(?代表隨機數字),並寫入一些代碼,利用批處理和debug將其「重組」成dll檔案,利用 rundll32.exe載入,並利用MS08-067漏洞攻擊其他機器,同時將該病毒檔案複製過去。

f.釋放appwinproc.dll到系統目錄,設定視窗掛鉤,尋找帶有如下字樣的視窗「金山毒霸,360安全衛士, 江民, 木馬, 專殺,下載者,NOD32,卡巴斯基…」,找到後呼叫TerminateProcess函數結束對應程序。


g.修改hosts檔案屏蔽常見安全網站
127.0.0.1 www.360.cn
127.0.0.1 www.360safe.cn
127.0.0.1 www.360safe.com
127.0.0.1 www.chinakv.com
127.0.0.1 www.rising.com.cn
127.0.0.1 rising.com.cn
127.0.0.1 dl.jiangmin.com
127.0.0.1 jiangmin.com
127.0.0.1 www.jiangmin.com
127.0.0.1 www.duba.net
127.0.0.1 www.eset.com.cn
127.0.0.1 www.nod32.com
127.0.0.1 shadu.duba.net
127.0.0.1 union.kingsoft.com
127.0.0.1 www.kaspersky.com.cn
127.0.0.1 kaspersky.com.cn
127.0.0.1 virustotal.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.cnnod32.cn
127.0.0.1 www.lanniao.org
127.0.0.1 www.nod32club.com
127.0.0.1 www.dswlab.com
127.0.0.1 bbs.sucop.com
127.0.0.1 www.virustotal.com
127.0.0.1 tool.ikaka.com
127.0.0.1 360.qihoo.com

h.向除了A,B盤之外的硬碟中建立autorun.infsystem.dll(即dll??.dll),
autorun.inf內容如下:

[autorun]
shell\open\command=rundll32 system.dll,explore
shell\explore\command=rundll32 system.dll,explore

利用rundll32.exe載入該dll


i.取得本機的mac位址,作業系統版本等訊息傳送到http://tk123.********.cn/pk/123/count.asp

◆ 判別方法:透過sreng日誌判斷:

1.IFEO項目可以看到很多掃毒軟體被劫持
2.檢視系統服務發現如下服務的dll版本變為N/A(被病毒置換所致)


[Application Management / AppMgmt][Stopped/Manual Start]
<C:\WINDOWS\system32\svchost.exe -k netsvcs-->%SystemRoot%\System32\appmgmts.dll><N/A>
[Task Scheduler / Schedule][Stopped/Auto Start]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\system32\schedsvc.dll><N/A>
[System Restore Service / srservice][Stopped/Auto Start]
<C:\WINDOWS\system32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\srsvc.dll><N/A>
[Windows Image Acquisition (WIA) / stisvc][Stopped/Manual Start]
<C:\WINDOWS\system32\svchost.exe -k imgsvc-->%SystemRoot%\system32\wiaservc.dll><N/A>
[Windows Time / W32Time][Stopped/Auto Start]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\w32time.dll><N/A>


解決方法:
下載sreng工具,XDelbox工具。

1.中斷網路,開始—執行—輸入
services.msc,把下列服務設定為「禁用」:
Application Management,TaskScheduler,System Restore Service,Windows Image Acquisition(WIA),Windows Time

2.使用Xdelbox移除如下檔案
%temp%\dll???.dll(???代表隨機數字)
%SystemRoot%\System32\Nskhelper2.sys
%SystemRoot%\System32\NSPASS?.sys (?代表數字,不止一個)
%SystemRoot%\System32\appwinproc.dll
以及各個分區下面的system.dll,autorun.inf檔案


3.重啟電腦,開啟我的電腦>>選單欄>>工具>>資料夾選項>>檢視
選取顯示所有檔案和資料夾,並把隱藏受保護的作業系統檔案的鉤去掉。


4.開啟%SystemRoot%\system32\dllcache資料夾 依次找到
schedsvc.dll
appmgmts.dll
srsvc.dll
w32time.dll
wiaservc.dll

檔案分別覆蓋掉
%SystemRoot%\system32\schedsvc.dll
%SystemRoot%\System32\appmgmts.dll
%SystemRoot%\System32\srsvc.dll
%SystemRoot%\System32\w32time.dll
%SystemRoot%\system32\wiaservc.dll

5.使用sreng移除所有IFEO映像劫持項目
6.使用掃毒軟體全盤掃毒清除其他木馬和病毒

=======================================
這是完整的行為分析跟解決辦法。
透過ConvertZ 8.02+字典檔
轉繁體以供參考而已。
最後編輯:2009-02-09 00:58:08 ◆ Origin: <59.112.177.xxx>

快速回覆文章,請先登入

看整串內容篇數:0 / 0

板務人員
本板熱門推薦
【心得】DDoS、網路攻擊相關說明等說明DDoS=分散式阻斷服務攻擊(英文:DistributedD...(繼續閱讀