瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » “QQ迷你首页”&全球最大的网游私服搜索引擎&ad1.exe--11月6日更新在8楼
艾玛 - 2006-11-2 16:43:00
“全球最大的网游私服搜索引擎”问题

异常跳出这个hxxp://www.37ss.com/index20.htm窗口 (58.221.249.131)
标题显示:QQ迷你首页
任务栏显示: Explorer.exe
进程里显示: ad1.exe

hosts文件被修改:部分网页指向IP (61.135.150.114)
hxxp://hxxp://www.8000qq.com
hxxp://www.800f.net
hxxp://www.1000sf.cn
hxxp://jfengsha.comfb
hxxp://www.1000yf.net
hxxp://www.159sifu.com
hxxp://www.9s5.cn
hxxp://www.spbuy.net
hxxp://www.wym.cn
hxxp://www.cc4f.cn
hxxp://mafan.net
hxxp://www.6688qn.net
hxxp://www.177z.com
hxxp://www.131sf.net
hxxp://tj.cntg.cn
hxxp://www.china45.net
hxxp://www.ok22.com
hxxp://www.17mi.net
hxxp://www.sf8.com.cn
hxxp://www.13177.com
hxxp://ip94.fd4f.com
hxxp://www.521it.net
hxxp://www.ytdj.cn
hxxp://www.fwoool.cn
hxxp://www.5u37.net
hxxp://www.87sf.com
hxxp://ww1.swoool.com
hxxp://wooljsz.cn
hxxp://www.57wool.com
hxxp://www.58816.com
hxxp://chuanqisjsf.blwool.com
hxxp://www.woool188.com
hxxp://www.sf1260.com
hxxp://linf23.b12.cn
hxxp://wg.cn
hxxp://www.wooolweb.com
hxxp://www.yq520.net
hxxp://www.cs222.com
hxxp://www.ok22.com
hxxp://www.7100sf.com
hxxp://www.1352sf.com
hxxp://www.458wool.cn
hxxp://www.555woool.cn
hxxp://www.kaosf.com
hxxp://www.siyuwl.com
hxxp://www.csjsz.cn
hxxp://www.13177.com
hxxp://www.458cs.com
hxxp://www.5573.com
hxxp://www.02945.com
hxxp://www.pkchina.net
hxxp://www.5181314.com
hxxp://www.fknf2.com
hxxp://www2.yoursf.com
hxxp://www.paocs.com
hxxp://www.sfboke.com
hxxp://www.xx878.com
hxxp://ww1.woool188.com
hxxp://www.cs119.com
hxxp://www.xdwoool.net
hxxp://www.xx515.com
hxxp://www.cs176.com
hxxp://www.552sf.com
hxxp://www.ipmir.com
hxxp://www.898woool.com
hxxp://www.qqks.com
hxxp://www.368idc.com
hxxp://www.csbaba.com
hxxp://www.4745.cn
hxxp://www.636400.com
hxxp://www.oursf.cn
hxxp://www.laiba173.com
hxxp://www.14455.com
hxxp://www.zheshan.net
hxxp://zt.aaaaasf.cn
hxxp://www.zt1314.cn
hxxp://www.zt4f.net
hxxp://www.zt002.com
hxxp://www.amir3.com
hxxp://www.sf1717.com
hxxp://www.cq333.cn
hxxp://www.3316.cn
hxxp://www.sosmir3.com
hxxp://www.95279.com
hxxp://www.sf1788.com
hxxp://www.4fboss.com
hxxp://www.45net.net
hxxp://www.lian2.cn
hxxp://www.ytdj.cn
hxxp://www.laiba173.com
hxxp://www.wow1314.com
hxxp://www.zgwow.com
hxxp://www.1000wow.net
hxxp://www.gowowsf.com
hxxp://www.wowsf.com
hxxp://www.wxwow.com
hxxp://520.xinwow.com
hxxp://www.wowhelp.cn
hxxp://www.800wow.com
hxxp://www.56wow.com
hxxp://www.45wow.com
hxxp://www.sfhao123.net
hxxp://www.sfgoogle.cn
hxxp://www.45top.com
hxxp://www.915mu.com
hxxp://www.gm911.net
hxxp://www.4000mu.com
hxxp://www.99musf.com
hxxp://www.mu45.com
hxxp://www.369mu.com
hxxp://www.525sf.com
hxxp://www.2345w.com
hxxp://www.3jsf.net
hxxp://www.xxfsf.com
hxxp://www.521ee.com
hxxp://www.997j.com
hxxp://www.wz4f.net
hxxp://www.hoxx2.com
hxxp://www.398q.com
hxxp://www.xx1314.com
hxxp://www.xx2sf.net
hxxp://www.sifu114.com
hxxp://www.2z2.cn
hxxp://www.haosf.com
hxxp://www.cqsf999.com
hxxp://www.zhaosf.com
hxxp://www.920666.com
hxxp://www.450666.com
hxxp://www.3000ok.com
hxxp://www.3000ok.net
hxxp://www.sf001.com
hxxp://www.92045.com
hxxp://www.45bang.com
hxxp://www.30ok.com
hxxp://www.sf123.com
hxxp://www.sf920.com
hxxp://www.99945.com
hxxp://www.176sf.com
hxxp://www.mir2mir2.com
hxxp://www.33520.com
hxxp://www.xp13.com
hxxp://www.45yes.com
hxxp://www.92095.com
hxxp://www.17ww.com
hxxp://www.4000sf.com
hxxp://www.haouc.com
hxxp://www.921uc.com
hxxp://17126.uc999.com
hxxp://www.45pao.com
hxxp://www.177g.com
hxxp://www.95217.com
hxxp://www.2345sf.com

生成主要文件:
debug.txt
cj1.exe
cj2.exe
c:\~12qwe.exe
c:\1.htm
%SystemRoot%\system32\trks.dll
似乎修改了QQ.Ini 指向hxxp://www.37ss.com/index20.htm

下载:hxxp://www.cj888.net/trkwks.dll
c:\trkwks.dll
dllcache\Trkwks.dll
替换了系统文件:Trkwks.dll


一、案例分析:

本程序主要是替换了系统文件:Trkwks.dll
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TrkWks\Parameters]
"ServiceDll"="%SystemRoot%\system32\rkks.dll"

真正的文件信息如下(以我系统的为例):
Filename : C:\WINDOWS\system32\trkwks.dll
File Size: 90,624 Bytes
SHA-160: A133A57BC40E380A6D9C434BF7C452E1619A8321
MD5 : 91BEF237CAAA97ABF07FF235A7F2DA7F
CRC-32 : C347ADF5
加壳方式:未加壳
编写语言:Microsoft Visual C++
Version Information
====================
Operating System : Windows NT, 32-bit Windows
File Type : Application
File Sub-Type : Unknown
File Version : 5,1,2600,2180
Product Version : 5,1,2600,2180
============================================================
Product Name : Microsoft? Windows? Operating System
File Description : Distributed Link Tracking Client
File Version : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
Product Version : 5.1.2600.2180
Company Name : Microsoft Corporation
Internal Name : trkwks.dll
Legal Copyright : ? Microsoft Corporation. All rights reserved.
Original FileName : trkwks.dll

病毒文件:
File Size: 91,853 Bytes
SHA-160: AD15B02C282380E523C01114648C134390F746E4
MD5 : A0481500214BF0483238BFC247FA9B6F
CRC-32 : C781D72F
加壳方式:1.25 UPX
编写语言:Microsoft Visual Basic 5.0 / 6.0
无文件信息


二、恢复还原系统文件方法:(怎么来就让它怎么走,呵呵)

1、net stop TrkWks
2、终止ad1.exe、QQ等进程
3、关闭系统文件保护
sfc /cancel
4、用真正的系统文件Trkwks.dll替换掉病毒Trkwks.dll

5、把下面一段复制到记事本保存为TrkWks.reg

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TrkWks]
"Description"="在计算机内 NTFS 文件之间保持链接或在网络域中的计算机之间保持链接。"
"DisplayName"="Distributed Link Tracking Client"
"DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"ObjectName"="LocalSystem"
"Start"=dword:00000002
"Type"=dword:00000020

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TrkWks\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
74,00,72,00,6b,00,77,00,6b,00,73,00,2e,00,64,00,6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TrkWks\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,60,00,04,00,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,\
05,0b,00,00,00,00,00,18,00,9d,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,\
23,02,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,\
02,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,\
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TrkWks\Enum]
"0"="Root\\LEGACY_TRKWKS\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

6、执行一次:TrkWks.reg

7、开启系统文件保护
sfc /enable

8、删除相关生成的病毒文件(可能有多个同时生成的Trkwks.dll类似的文件请一并删除)

===========================================

附SFC的命令
SFC/SCANNOW 立即扫描所有受保护的系统文件。
SFC/SCANONCE 扫描所有受保护的系统文件一次。
SFC/SCANBOOT 每次启动时扫描所有受保护的系统文件。
SFC/CANCEL 取消所有暂停的受保护系统文件的扫描。
SFC/QUIET 不提示用户就替换所有不正确的文件版本。
SFC/ENABLE 为正常操作启用 Windows 文件保护
SFC/PURGECACHE 清除文件缓存并立即扫描所有受保护的系统文件。
SFC/CACHESIZE=x 设置文件缓存大小

===========================================

欢迎交流,如有错误请提醒,谢谢!

以上为本人原创,转贴需注明出处。

by killvirus

2006.11.2

发布原址:


2006.11.5补充说明:

(看到很多论坛的贴子后的想法)
1、关闭这个启动项
启动文件夹
[腾讯QQ]
<C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\腾讯QQ.lnk --> D:\qq\QQ.exe [TENCENT]><N>
2、去下载真正的系统文件Trkwks.dll:http://kvirus.ys168.com XP系统重要文件里的trkwks.dll
3、停止以下服务:
[Distributed Link Tracking Server / TrkWks]
<C:\WINDOWS\system32\svchost.exe -k netsvsc-->%SystemRoot%\system32\est.dll><Microsoft Corporation>
运行:net stop TrkWks
4、终止这个进程
[PID: 3656][C:\WINDOWS\system32\Ad1.exe] [Microsoft Corporation, 5.380.0690]
5、偿试能否关闭系统文件保护,运行:sfc /cancel
6、搜索全盘中是否存在以下文件,并删除之
ad1.exe
debug.txt
cj1.exe
cj2.exe
~12qwe.exe
1.htm
Trkwks.dll
%SystemRoot%\system32\est.dll
以及类似est.dll的文件(需根据文件时间等信息判断一下)
7、用下载到的Trkwks.dll替换病毒文件Trkwks.dll(包括dllcache文件夹中的也要替换)
8、恢复hosts文件(可以用hijackthis工具)
9、……
deadmanzj - 2006-11-2 18:04:00
玛玛的帖子哇.....那个IP好像见过。。。
scriptman - 2006-11-3 12:35:00
前几天拿到AD1.EXE,结果一点动作都没有。
猪知山 - 2006-11-3 18:58:00
学习
环境深刻今年没许 - 2006-11-4 11:57:00
没见过
初学者H - 2006-11-4 12:16:00
说简单点
安全防卫 - 2006-11-4 15:22:00
如果硬盘FAT格式呢?要改吗?
叶·幽思 - 2006-11-6 9:43:00
原来玛姐这么厉害

分析的不错学习了
艾玛 - 2006-11-6 10:07:00
QQ迷你首页(假的)&全球最大的网游私服搜索引擎&Ad1.exe已更新主文件

一、Ad1.exe文件信息

Ad1.exe
SIZE  :20480 bytes
SHA-160: 8F58F69ADAC97A20D37572B053C66C7807F87E16
MD5    : F76BCDBD175DC72134FC1EBB9B2B1429
CRC-32 : 78EABAB7
加壳方式:UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
Version Information
====================
Operating System          : 32-bit Windows
File Type                  : Application
File Sub-Type              : Unknown
File Version              : 0,0,0,0
Product Version            : 0,0,0,0
============================================================
Product Name              : Tencent Messenger
File Description          : TM
File Version              : 0.00
Product Version            : 0.00
Company Name              : 腾讯公司
Internal Name              : Ad1
Legal Copyright            : 版权所有 (C) 2003-2005 腾讯公司
Original FileName          : Ad1.exe

trkwks.dll
SIZE  :101376 bytes
SHA-160: 285FC0A0E995768B9C24B33240E252FE5760BD4A
MD5    : 5845026B4C2AF1A901B0E304E049DD9F
CRC-32 : A44D6F95
加壳方式:UPX 0.80 - 1.24 DLL -> Markus & Laszlo
Version Information
====================
Operating System          : 32-bit Windows
File Type                  : Application
File Sub-Type              : Unknown
File Version              : 5,1,2600,2180
Product Version            : 5,1,2600,2180
============================================================
Product Name              : Microsoft(R) Windows(R) Operating System
File Description          : Distributed Link Tracking Server
File Version              : 5.1.2600.2180
Product Version            : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
Company Name              : Microsoft Corporation
Internal Name              : es2.dll
Legal Copyright            : (C) Microsoft Corporation. All rights reserved.
Original FileName          : ES2.DLL

二、该程序有如下行为:

1、设置HOSTS文件61.135.150.114 (网站名单不列了)
2、下载:两个副本程序包
hxxp://www.cj888.net/cj1.exe
释放两个文件
est.dll
SIZE  :104448 bytes
SHA-160: BA3571201DA1166E37A490AE121975D45CD81FA6
MD5    : BB8F6F5B38C46BBE11C2B7D757008ECC
CRC-32 : F69BFB49
加壳方式:UPX 0.80 - 1.24 DLL -> Markus & Laszlo
Modified Date: 2006-10-25 12:33:30
Explorer.exe
SIZE  :13824 bytes
SHA-160: D72A88DDEF1C314A78C54E2F14C43919D3FA8D35
MD5    : E6DA1D7A121E87CA2221CFEFA2291610
CRC-32 : D0ADA317
加壳方式:UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
Modified Date : 2006-10-25 13:07:35

hxxp://www.cj888.net/cj2.exe
释放两个文件
est.dll
SIZE  :101376 bytes
SHA-160: E3950CF89FDF427744D4046C794D012BEB2DD595
MD5    : 9E6403C74BC52F227CD1C27BA74F52D3
CRC-32 : 7D0DAEA3
加壳方式:UPX 0.80 - 1.24 DLL -> Markus & Laszlo
Modified Date : 2006-10-24 13:26:28
Explorer.exe
SIZE  :13312 bytes
SHA-160: DE49762D65D5ED00E1387C511F56E8C8011C6511
MD5    : F953BBA9EF926EFE0AA6F655B38BB01A
CRC-32 : 54D080DC
加壳方式:UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
Modified Date : 2006-10-25 2:26:36

以上Explorer.exe程序
会重写服务(est.dll)
打开1.htm(QQ迷你首页)
访问计数器:hxxp://www.cj888.net/cj/counts.asp?id=2&M=
还会下载hxxp://www.cj888.net/ad.exe(AVP已报毒Trojan-Downloader.Win32.VB.aph)
并会打开网页:hxxp://www.37ss.com/index20.htm(全球最大的网游私服搜索引擎)

3、下载hxxp://www.37ss.com/temp/2.htm保存为c:\1.htm
4、下载:hxxp://www.cj888.net/trkwks.dll保存为c:\trkwks.dll
替换TrkWks服务的相关ServiceDLL=目标文件(替换掉system32\Trkwks.dll和dllcache\Trkwks.dll)
5、设置QQ.Ini用于打开hxxp://www.37ss.com/index20.htm(全球最大的网游私服搜索引擎)
6、通过hxxp://www.cqwg.net/down.asp?name=updata&id=3
下载安装“及时雨个人PK版7.76”:ftp://218.75.91.21/wg/jsy7.76.exe是个压缩包
注:
Ad1.exe进程会打开c:\1.htm这个QQ迷你首页,并会打开播放hxxp://www.37ss.com/temp/37ss_qq.swf
// Action script...
on (release)
{
    getURL("http://www.37ss.com/index20.htm", "_blank");(打开全球最大的网游私服搜索引擎)
}
trkwks.dll目前预设每隔200minutes设置主页、打开页面及pic,并更新下载:hxxp://www.cj888.net/Ad1.exe,保持自己的存在与更新。

三、禁止下载使用该网站客服所给出的解除工具hxxp://www.37ss.com/qingchu.exe
qingchu.exe
SIZE  : 5632 byte
SHA-160: 63D4290DA86D6950D0807BC9AE559DA1FA49736B
MD5    : 80B9DCDA82EEC29FF6AF7E9198C67A13
CRC-32 : 27ED391A
加壳方式:UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
Version Information
====================
Operating System          : 32-bit Windows
File Type                  : Application
File Sub-Type              : Unknown
File Version              : 1,0,0,0
Product Version            : 1,0,0,0
============================================================
Product Name              : 工程1
File Version              : 1.00
Product Version            : 1.00
Company Name              : 37ss.com
Internal Name              : netstop
Original FileName          : netstop.exe

Dr.Web报  Trojan.Click.1618

qingchu.exe下载hxxp://tool.37ss.com/es2.dll 即hxxp://www.cj888.net/es2.dll替换原est.dll
这不是换汤不换药么?

四、手工清除点解:

1、建议断网先拔除被替换掉的系统文件trkwks.dll
  方法链接中有提示:http://hi.baidu.com/killvir/blog/item/b9588202b0ffe20f4bfb519d.html
2、终止Ad1.exe等进程
3、全盘搜索清除所有生成的相关文件
  qingchu.exe、es2.dll、Est.dll、trkwks.dll、cj1.exe、cj2.exe、Ad1.exe(ad1.exe)、QQ.ini、~12qwe.exe、1.htm、sb.reg、ad.exe、debug.txt、c:\temp.dat,还包括cj1.exe和cj2.exe中的est.dll、Explorer.exe等病毒文件
4、恢复hosts文件为
127.0.0.1      localhost
#对病毒所打开的两个网站恨之入骨的话,添加以下两行并保存。
127.0.0.1      www.cj888.net
127.0.0.1      www.37ss.com
5、关于同时生成的“及时雨个人PK版7.76”软件大家看着办吧。
6、祝大家愉快!:-)

killvirus 2006.11.6更新
转贴务必全文转载(已发现个别网站转贴有篡改现象,请保持原文章的完整性,本人保留原文版权,希引起注意。)

原贴地址:http://hi.baidu.com/killvir/blog/item/a78a4f4a11cb0f2308f7ef7c.html
biran - 2006-11-9 12:19:00
说的太麻烦了,怎么用瑞星卡卡来解决啊?

急啊,!!!!!!!!!!!
xp123 - 2006-11-10 13:48:00
菜鸟路过....
从头爱你 - 2006-11-10 21:04:00
继续支持.......看学习``
1
查看完整版本: “QQ迷你首页”&全球最大的网游私服搜索引擎&ad1.exe--11月6日更新在8楼
© 2000 - 2026 Rising Corp. Ltd.