瑞星卡卡安全论坛

样本来自萧心（http://bbs.52happy.net/read.php?tid=225596）。

以下是在PowerShadow的Full Shadow模式下观察这个木马的结果及手工杀毒流程（由于我的SSM设置为“启动加载”，所以还有还手的机会。染毒后才运行SSM，是否还有这样的机会——我不清楚）。
一、运行Dd11.exe后释放/下载的文件：
在C:\windows\system32\下释放/下载FuckJacks.exe和msvce32.exe。
在windows文件夹中释放（下载）1.exe。
在其它分区根目录下释放autorun.inf和Setup.exe并试图改写.exe文件（由于Tiny的文件保护而未得逞）。

二、其它恶意行为：
反复删除瑞星、卡巴斯基、买咖啡、毒霸、亚虎助手的加载项并结束这些程序的进程；重写病毒自己的加载项。
终止IceSword进程。结束FuckJacks.exe进程前，IceSword不能运行（IceSword被该木马利用的机制见15楼附图）。试图结束SSM进程，但未得逞（看来病毒作者还没研究透SSM）。

三、注册表改动：
在HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run分支添加：           
svohost（指向C:\windows\system32\FuckJacks.exe）
在HKCU\Software\Microsoft\Windows\CurrentVersion\Run分支添加：
FuckJacks （指向C:\windows\system32\FuckJacks.exe）
在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"Shell"="Explorer.exe"添加：
C:\windows\system32\msvce32.exe
四、我的杀毒流程：
1、用SSM禁止FuckJacks.exe运行。
2、开启IceSword。用IceSword删除C:\windows\system32\FuckJacks.exe。
关闭IceSword。自己动手删除C:\windows\1.exe、C:\windows\system32\msvce32.exe以及其它分区根目录下的autorun.inf、Setup.exe。其它被感染的.exe中的病毒代码能否被杀软“清除”——不得而知。如果不能，只好删除。
3、清理注册表：
展开HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run分支           
删除：svohost（指向C:\windows\system32\FuckJacks.exe）   
   
展开HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run分支           
删除：FuckJacks（指向C:\windows\system32\FuckJacks.exe）   
展开：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
删除"Shell"="Explorer.exe,C:\windows\system32\msvce32.exe"中的C:\windows\system32\msvce32.exe。
4、备份杀软病毒库。重新安装杀毒软件。重装杀软后，导入病毒库备份。可以免去病毒库升级。

【注】：其他网友说的“FuckJacks.exe删除.GHO文件”，我没观察到。Full Shadow模式下再次染毒后，我曾看过我的GHOST备份——完整无损。我的Tiny“文件保护”中设置了GHOST备份文件夹的保护监控，允许删除文件，但Tiny监控提示并记录文件被删除。

附件: 15584720061113100931.jpg

我要baohe
我去下载了呵，谢谢

补上我的一份：

建议1、近期要做好QQ消息、局域网用户及移动存储的安全；

建议2、不要使用admin等默认超级用户，不要使用以下简单密码。（还来得及改的，就改超级用户名和密码吧）

1234
password
6969
harley
123456
golf
pussy
mustang
1111
shadow
1313
fish
5150
7777
qwerty
baseball
2112
letmein
12345678
12345
ccc
admin
5201314
qq520
1
12
123
1234567
123456789
654321
54321
111
000000
abc
pw
11111111
88888888
pass
passwd
database
abcd
abc123
sybase
123qwe
server
computer
520
super
123asd
0
ihavenopass
godblessyou
enable
xp
2002
2003
2600
alpha
110
111111
121212
123123
1234qwer
123abc
007
a
aaa
patrick
pat
administrator
root
sex
god
foobar
secret
test
test123
temp
temp123
win
pc
asdf
pwd
qwer
yxcv
zxcv
home
xxx
owner
login
Login
pw123
love
mypc
mypc123
admin123
mypass
mypass123
901100
Administrator
Guest
admin
Root

我的贴子：http://hi.baidu.com/killvir/blog/item/034215ce7d159b39b700c80b.html
欢迎访问我的博客：http://hi.baidu.com/killvir

学习！

可恶的度

引用:

【艾玛的贴子】我要baohe 我去下载了呵，谢谢 ………………

已发

引用:

【baohe的贴子】样本来自萧心（http://bbs.52happy.net/read.php?tid=225596）。 一、运行Dd11.exe后释放的文件： 在C:\windows\system32\下释放FuckJacks.exe 在其它分区根目录下释放Setup.exe并试图改写.exe文件（由于Tiny的文件保护而未得逞）。 二、其它恶意行为： 反复删除瑞星、卡巴斯基、买咖啡、毒霸、亚虎助手的加载项；重写自己的加载项。 终止IceSword进程。结束FuckJacks.exe进程前，IceSword不能运行。试图结束SSM进程，但未得逞（看来病毒作者还没研究透SSM）。 .... ………………

那么强的病毒~~
版主给我一份~~


xue_mai_qi@163.com

谢谢了~

引用:

【影子110的贴子】 那么强的病毒~~ 版主给我一份~~ xue_mai_qi@163.com 谢谢了~ ………………

已发

Dd11.exe大小为30,465字节，FSG加壳处理。
病毒运行后会在%SYSTEM%下面释放FuckJacks.exe这么一个文件，同Dd11.exe。并且在每个分区根目录下面释放setup.exe和autorun.inf文件（利用系统自动播放达到启动目的）。
FuckJacks.exe将调用CMD.EXE、NET.EXE以及NET1.EXE几个程序，同时占用大量CPU，会结束掉一些进程，比如注册表编辑器、IceSword所有版本等。
病毒会覆盖或者修改掉正常的程序，当EXE程序的文件名第一个为数字或者字母a-d（A-D）时会立刻进行覆盖或修改，其他文件名的程序会慢慢侵蚀。
************************************
病毒会删除“安全中心”的相关注册表。
病毒增加如下注册表启动项：
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"FuckJacks"="%SYSTEM%\\FuckJacks.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"svohost"="%SYSTEM%\\FuckJacks.exe"
[HKEY_USERS\S-1-5-21-1757981266-2111687655-682003330-500\Software\Microsoft\Windows\CurrentVersion\Run]
"FuckJacks"="%SYSTEM%\\FuckJacks.exe"
************************************
关于病毒的清除：
1、打开任务管理器，结束掉FuckJacks.exe进程。
2、右击每个分区盘符选择“打开”删除分区根目录下面的setup.exe和autorun.inf文件。
3、删除上面提到的病毒增加的注册表值。
4、关于安全中心的恢复可以从正常系统中倒入注册表，或者跳过这一步，不是特别重要。
5、被病毒覆盖的文件（覆盖后的文件大小为30,465字节）是不可恢复的，直接删除；被修改的文件用16进制编辑器删除00000000到00007700的代码段，在文件末尾找到并删除从“WhBoy”到最后所有的代码段保存即可恢复原貌。


对于修改的正常文件（非覆盖），可以新建一个空文件夹，把这个被修改的正常文件放在里面运行这个文件即可恢复原貌

学习

学习了=>kxzhmc500@sina.com

请问baohe版主,这个木马只添加了那些注册表项吗?感觉如此狂的木马(能终止IceSword)应该至少有一个驱动.或者采用了:http://forum.ikaka.com/topic.asp?board=28&artid=8206663
的方法使IS无法运行.还是在Explorer.exe中挂钩了CreateProcess将IS拒之门外?奇怪.

引用:

【闪电风暴的贴子】请问baohe版主,这个木马只添加了那些注册表项吗?感觉如此狂的木马(能终止IceSword)应该至少有一个驱动.或者采用了:http://forum.ikaka.com/topic.asp?board=28&artid=8206663 的方法使IS无法运行.还是在Explorer.exe中挂钩了CreateProcess将IS拒之门外?奇怪. ………………

非http://forum.ikaka.com/topic.asp?board=28&artid=8206663所涉及的方式，也不是利用CreateProcess()

这东西应该是直接从IsDrv???.sys下手的

学习了

IceSword.exe在成功加载Ispub120.sys后会好像删除这个文件,根本找不到.用扫描工具也发现不了它的驱动项.

如果不通过加载驱动和底层访问硬盘,估计找不到IS的驱动在哪里..

引用:

【JayFaye的贴子】 非http://forum.ikaka.com/topic.asp?board=28&artid=8206663所涉及的方式，也不是利用CreateProcess() 这东西应该是直接从IsDrv???.sys下手的 ………………

观察Dd11这东西要耐心等待。
释放的文件不止最初观察到的那些，
除了前面提到的那些外，至少还有system32文件夹中的msvce32.exe和windows文件夹中的1.exe。
至于FuckJacks导致IceSword不能运行的机制，我观察到的如下：
结束FuckJacks进程后，每当你试图运行IceSword，SSM报告IceSword加载驱动；但这个驱动已经变成病毒提供的.sys。如果不允许这个sys加载，IceSword不能运行。这个sys文件名每次都变。被SSM阻截后，那个.sys即刻自drivers文件夹中消失。如果没有SSM监控，用户根本观察不到这个过程。

另：若事先按26楼的图在SSM的“规则”中设置好IceSword的保护，IceSword则可正常使用。

附件: 15584720061112112543.jpg

原来如此,听说XFOCUS有一个人说能通过假的ntoskrnl.exe使得IS无法找到真正的SYS.
不过还有一个问题,在IS正常运行的情况下,病毒是怎么关闭IceSword.exe进程的?

看看PJF对此怎么说

请问baohe版主,IceSword.exe是否被病毒修改过??

早上有空，对这个病毒脱了一下壳，OD了一下，更新一点
病毒会搜索进程查找并结束窗口信息中包含如下信息的进程：
QQKav
QQAV
VirusScan
Symantec AntiVirus
iDuba
esteem procs
Wrapped gift Killer
Winsock Expert
msctls_statusbar32
pjf(ustc)
IceSword
**************************
同时直接结束如下这些进程（注意最后三个和Viking对上了，呵呵）：
Mcshield.exe
VstskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
RavmondD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl123.exe
**************************
病毒会删除上面提到的反病毒软件的注册表键值，同时删除雅虎助手的注册表
**************************
搜索局域网共享，利用暴力破解局域网用户密码方式试图传播自己，成功后将以GameSetup.exe的形式传播
调用Net.exe和Net1.exe删除admin$和IPC$共享
记录键盘，盗取QQ，记录信息会保存到C:\test.txt（同时会记录成功连接的IP共享信息）中
**************************
感染EXE、SCR、PIF、COM文件，同时删除GHOST备份（*.gho）

早上有空仔细看了这个毒，不是从驱动入手的，病毒也不是妨碍IceSword的初始化，而是直接结束IS的进程，也就是说IS是已经成功启动后才被Ban掉的...

在OD中能看到，病毒只是释放了FuckJacks.exe、setup.exe和autoruns.inf，他会调用cmd同net.exe和net1.exe进行通讯，主要是要进行局域网共享操作。。。

exe\scr\pif\com都感染了，呵呵

以后如果有专杀，估计专杀的扩展名得改成cmd\bat才行了，总之可直接执行的都行

发现自己很久没登陆卡卡了

引用:

【baohe的贴子】 观察Dd11这东西要耐心等待。 释放的文件不止最初观察到的那些， 除了前面提到的那些外，至少还有system32文件夹中的msvce32.exe和windows文件夹中的1.exe。 至于FuckJacks导致IceSword不能运行的机制，我观察到的如下： 结束FuckJacks进程后，每当你试图运行IceSword，SSM报告IceSword加载驱动；但这个驱动已经变成病毒提供的.sys。如果不允许这个sys加载，IceSword不能运行。这个sys文件名每次都变。被SSM阻截后，那个.sys即刻自drivers文件夹中消失。如果没有SSM监控，用户根本观察不到这个过程。 ………………

baohe斑竹，能不能告诉SSM哪有下载啊，学习学习！

这么强的毒……版 主我也要……发我一个样本吧……wsky@163.com

这么强的毒我喜欢……版 主我也要……发我一个样本吧……wsky@163.com

在SSM的“规则”中这样（见附图）设置一下，IceSword就安全了。FuckJacks也不能骚扰IceSword了，除非它能将SSM关闭。

附件: 15584720061112133421.jpg

学习了

真有意外收获啊，这些东西越来越精致了，常用的小工具也开始快顶不住了。

是有点疯狂……怕了我……