来自UUU9新样本.老手进.我来投毒了. bbs.ikaka.com

Greysign - 2006-11-11 20:09:00

刚才去UUU9下载魔兽地图时SSM突然叫了一下.然后发现QQ被关闭了.
一看就知道中招了.只是没想到UUU9也会被挂马/.
上了U9..SSM就报警moi.com调用.我以为是U9的什么东西.就信任了.一通行没想到...
C:\Program Files\Internet Explorer\PLUGINS多了个system18.sys.一看就不是好东西.
然后TEMP文件就多了1-5.EXE这5个文件./里面5个文件用11.11最新的瑞星只查到了2个是病毒.还有1个报未知病毒.查杀了.
system18.sys报QQPASS.
system18.sys注入很多进程.用很多工具都查看不到.包括冰刃.最后在SRENG2的日志里看到.注入很多地方.也设置了开机启动.其他工具没有发现.
还有.一连接上网/就不停下载1-5.EXE去运行/.估计木马下载器还在运行//
不过应该不是system18.sys.目前还找不到下载器.
希望高手出来帮忙研究一下.
样本在我的空间.http://free.ys168.com/?greysign
欢迎下载.
希望有能联系UUU9的人去跟管理员说一下.还我们一个干净的魔兽地图下载站.

Greysign - 2006-11-11 20:37:00

在线等待ING

大哥快救我 - 2006-11-11 21:21:00

我狂郁闷我机器也在U9下图中东西每几小时瑞星提示机器有木马要清楚moi.com这东西杀了几次都杀不清楚
现在U9已经黑了登陆不上去了日一把

deadmanzj - 2006-11-11 21:33:00

能否提供具体的网址，谢谢

大哥快救我 - 2006-11-11 21:40:00

www.uuu9.com
进去随便找个地图下

撒但之魂 - 2006-11-11 21:46:00

用killbox来删除看看

baohe - 2006-11-11 22:09:00

【回复“Greysign”的帖子】

请将样本发到：baohelin@yahoo.com.cn

附件: 15584720061111220053.jpg

Greysign - 2006-11-11 22:21:00

不好意思.刚才去开会和杀毒了.
忙了那么久.终于把电脑清理干净了.
猫叔我现在发过去.注意查收.
还有.我的空间可以打开啊.

Greysign - 2006-11-11 22:23:00

引用:

【大哥快救我的贴子】我狂郁闷我机器也在U9下图中东西每几小时瑞星提示机器有木马要清楚moi.com这东西杀了几次都杀不清楚
现在U9已经黑了登陆不上去了日一把
………………

奇怪.我用最新的瑞星查.却没发现什么东西.我的报警是SSM的.

Greysign - 2006-11-11 22:39:00

还有.dinput.dll是做什么用的.上Q时候调用到dinput.dll.拦截到SetWindowsHookEx.
是不是键盘记录?

baohe - 2006-11-11 22:42:00

引用:

【Greysign的贴子】不好意思.刚才去开会和杀毒了.
忙了那么久.终于把电脑清理干净了.
猫叔我现在发过去.注意查收.
还有.我的空间可以打开啊.
………………

1.exe
创建文件：
C:\windows\system32\Cnscheck001.dll（动态插入用户应用程序进程）
更改注册表：
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
添加{9A0CFC58-5A6F-41ba-9FFE-4320F4F621BA}

HKCR\CLSID\
添加{9A0CFC58-5A6F-41ba-9FFE-4320F4F621BA}
——————————————
3.exe
创建文件：
C:\windows\system32\Drivers\modol.sys
更改注册表：
删除HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\Shell
添加HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\\load

改写内存。注入其它进程。
————————————————
4.exe
创建文件：
C:\windows\Intel\rundll32.exe
C:\Documents and Settings\baohelin\Local Settings\Temp\$$c269.tmp.bat

更改注册表：
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
添加rzt

rundll32.exe运行后，创建文件C:\windows\system32\ztdll.dll
ztdll.dll注入其它程序进程中
————————————————————
moi.com

创建文件：
C:\Program Files\Internet Explorer\PLUGINS\system.jmp
C:\Program Files\Internet Explorer\PLUGINS\system18.sys

system18.sys注入其它进程

注册表改动：
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
添加{6E44887F-5214-41F2-AB46-4728735C4CC6}
HKCR\CLSID\
添加{6E44887F-5214-41F2-AB46-4728735C4CC6}

这些杂碎，不能反映中招后的全景。
我好像见过这个下载器（有些文件似曾相识）。见这个帖子：http://forum.ikaka.com/topic.asp?board=28&artid=8207808

环保病毒 - 2006-11-11 22:44:00

晕了哦...也太多了吧

Greysign - 2006-11-11 22:50:00

嗯.我也是零零碎碎地抓.
这些都是比较明显的.
我自己处理后上QQ还是有点...哎.总觉得这个病毒还没这么简单.一定还有什么东西留着没发觉.

Greysign - 2006-11-11 22:54:00

猫叔不如你去U9看看吧.
你是用什么监控到这些东西的?

开达石 - 2006-11-14 18:00:00

还有在临时文件夹里面还有一个“mccrar.exe”这个文件。1-5.exe和"moi.exe"也都在里面。我用木马清道夫的防墙和AVG也只查到包括上面总共的四五个病毒。后来用IceSword卸除了explorer的system18.sys后就没再加载过了。

瑞星卡卡安全论坛