瑞星卡卡安全论坛

首页 » 技术交流区 » 系统软件 » 新木马:广外男生测试报告【原创】
小鹏飞 - 2003-4-2 23:35:00
今天下载了目前刚出炉不久的木马:广外男生
由于该木马与其他木马不大一样,所以我对它进行了测试。
该木马我用瑞星15。29仍然无法查杀。已经上报。
测试报告:[测试环境:win2000SP3]
该木马和前段时间的QQ木马不同,不是通过关联来启动该木马,修改的注册表项目并不是很多,它采用了线程插入技术,正如作者在软件中的
说明中指出:服务端运行时没有进程!所有网络操作均插入到其他应用程序的进程中完成。也就是说,即使受控端安装的防火墙拥有“应用程序访问权限”的功能,也不能对广外男生的服务端进行有效的警告和拦截,使对方的防火墙形同虚设.
该木马的功能很强大,不过客户端功能我没测试过。
对木马的配置我均采用默认配置,木马主程序为gwboy.exe,产生dll为gwboydll.dll
运行木马后,在C盘system32下产生gwboy.exe和gwboydll.dll两文件,其中gwboy.exe是连接RUN中复活启动项目[其实这一项目并没什么多大用处,你删除这个是删除不了的,因为主要启动还是靠gwboydll.dll,只要该gwboydll.dll没有删除,启动项目和gwboy.exe是可以随时复活的]
gwboydll.dll是实现线程插入技术的主文件。当木马激活后,注入explorer.exe进程,可以通过优化大师等工具查看到explorer.exe下的该dll插入线程:
c:\winnt\system32\gwboydll.dll 大约占用内存233K左右,这个进程无法终止,我测试时终止了explorer.exe的进程,gwboydll.dll马上插入另一正常系统进程conime.exe中[其实是随机插入的];因此木马激活后是无法终止该进程的。

运行该木马后,木马在注册表添加项目如下所示:
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5EAE4AC0-146E-11D2-A96E-000000000009}\InprocServer32]
@="gwboydll.dll"
"ThreadingModel"="Apartment"[进程插入的启动][位置随机产生]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\gwboy.exe
String: "gwboy.exe"[启动复活][键值随机产生]
(请注意,这些键值根据客户端的配置而不同,我这里测试采用的是默认的配置)
大家可以根据其大小来判断,应该在116K左右。

清除方法如下:[下面键值只是根据我机器上测试配置而提供的清除方法,但清除思路是一样的]
1:[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\[删除此项目]{5EAE4AC0-146E-11D2-A96E-000000000009}\InprocServer32]
@="gwboydll.dll"
"ThreadingModel"="Apartment"  [木马复活的项目]
2:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\[删除]gwboy.exe
String: "gwboy.exe"
3:根据RUN项目下的gwboy.exe删除系统目录system32下相应的gwboy.exe[根据配置可能文件名不同,大小约为116K]
4:在注册表下寻找所有gwboydll.dll的键值,将其删除。
5:记住1中的DLL文件名,测试时为gwboydll.dll。[寻找该文件仍然可以根据大小来在system32下寻找,大小大约为116K]
6:进入纯DOS下,执行del winnt\system32\gwboydll.dll即删除该dll文件。
  至此删除完毕[建议大家不要在WIN下删除gwboydll.dll,因为该木马采用“线程插入”技术,一旦系统启动并且随机启动有exe程序有一段时间或者注册表尚有复活启动没有删除,便可以复活木马。复活能力相当强并且很隐蔽]
大家不要拘于上述的方法,因为键值是随机的,大家可以根据文件大小来进行判断,可以通过注册表中的启动项目或者进程中的可疑DLL来判断。
上述中若有错误还请大家不吝赐教。virusmaster@21cn.com
该被帖于【2003-4-2 23:37:40】被【小鹏飞】修改
hdsaJVsn - 2005-3-24 18:09:00
怎么下载啊?
hdsaJVsn - 2005-3-24 18:11:00
引用:
【dengbs的贴子】好,又学了一手!
...........................
没有氧气的鱼 - 2005-4-7 18:11:00
怎么广外的男生也不甘寂寞了啊
病毒讨论区 - 2005-5-6 19:01:00
不知用瑞星那个版本(最低版)可以杀掉这个木马???
lscgvip - 2005-5-6 19:44:00
强啊...
1
查看完整版本: 新木马:广外男生测试报告【原创】