【原创】用KsProcessMon检测木马-----cc.exe bbs.ikaka.com

闪电风暴 - 2007-9-1 20:11:00

这是一个比较老的木马。但是采取了驱动技术，就用KsProcessMon把它分析一下吧。
先运行KsProcessMon。
再运行这个cc.exe后，KsProcessMon会报cc.exe的驱动加载：

图：

[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; InfoPath.2; GreenBrowser)

附件: 422471200791200058.jpg

闪电风暴 - 2007-9-1 20:11:00

然后用SSM检测可知：这个cc.exe将自身复制到C:\WINDOWS目录下，并且又注册了一个服务。启动傀儡IE，利用SetWindowsHookEx注入DLL实现全局钩子。

木马感染完毕，用KsProcessMon扫描一下，得出日志：

（这仅仅是一部分，完整的请看附件）

KsProcessMonitor Scanner V 1.00
Made By Lightning(kxsystem@163.com)

//---------------------------------------------------------------------//
进程
PID:0 [System Idle Process] NT OS KERNEL
PID:4 [System] NT OS KERNEL
PID:372 \SystemRoot\System32\smss.exe
PID:540 C:\WINDOWS\system32\csrss.exe
PID:576 C:\WINDOWS\system32\winlogon.exe
PID:684 C:\WINDOWS\system32\services.exe
PID:696 C:\WINDOWS\system32\lsass.exe
PID:856 C:\WINDOWS\system32\svchost.exe
PID:936 C:\WINDOWS\system32\svchost.exe
PID:1052 C:\WINDOWS\System32\svchost.exe
PID:1220 C:\WINDOWS\system32\svchost.exe
PID:1308 C:\Program Files\System Safety Monitor\SysSafe.exe
PID:1420 C:\WINDOWS\system32\svchost.exe
PID:1432 C:\WINDOWS\Explorer.EXE
PID:1644 C:\WINDOWS\system32\spoolsv.exe
PID:1756 C:\Program Files\VMware\VMware Tools\VMwareTray.exe
PID:1764 C:\Program Files\VMware\VMware Tools\VMwareUser.exe
PID:1772 C:\WINDOWS\system32\ctfmon.exe
PID:244 C:\WINDOWS\system32\wdfmgr.exe
PID:344 C:\Program Files\VMware\VMware Tools\VMwareService.exe
PID:1600 C:\WINDOWS\system32\wscntfy.exe
PID:1136 C:\WINDOWS\system32\wuauclt.exe
PID:1092 C:\Documents and Settings\Lightning\桌面\ProcessMon.exe
PID:1340 C:\WINDOWS\system32\conime.exe
PID:2004 C:\Documents and Settings\Lightning\桌面\autoruns.exe
PID:468 C:\Documents and Settings\Lightning\桌面\IceSword.exe
PID:512 C:\Program Files\Internet Explorer\IEXPLORE.EXE

Browser Helper Objects

系统服务与驱动
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services

Browser %SystemRoot%\system32\svchost.exe -k netsvcs
cc C:\WINDOWS\cc.exe

SVKP \??\C:\WINDOWS\system32\SVKP.sys

//---------------------------------------------------------------------//
[font_color=#0]

我以红色标示出了木马项。

因为KsProcessMon尚在测试时期，没有标出木马的DLL（想想在哪里检测比较好再添加。）。

完整日志见附件：

附件: 422471200791200802.txt

闪电风暴 - 2007-9-1 20:11:00

用SSM的监控得到它注入的DLL文件名为：MSWSRO.DAT（它改了后缀，其实是一个DLL）。

所以，清除方法如下：

1.用IceSword禁止线/进程创建。
2.结束iexplore.exe进程
3.注册表HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
删除 cc C:\WINDOWS\cc.exe
SVKP \??\C:\WINDOWS\system32\SVKP.sys
4、停止服务cc

5、删除C:\WINDOWS\cc.exe C:\WINDOWS\system32\SVKP.sys C:\WINDOWS\MSWSRO.DAT

闪电风暴 - 2007-9-1 20:24:00

后记：
KsProcessMon是我这个暑假抽空写的软件，技术含量不高。“最强技术”的仅仅是这个程序的自我保护而已，其它的都是Ring3下的扫描，希望能在以后改进。

KsProcessMon具体介绍及下载：
http://hi.baidu.com/aegisys/blog/item/695cedfdfa236a47d6887dd1.html

有毒必问 - 2007-9-1 20:33:00

看來這個木馬市比較老的，支持LZ原創！！！

請LZ告訴我木馬的破壞性等。。。

闪电风暴 - 2007-9-1 20:36:00

这个木马好像只是一个测试的东西，加载了个驱动什么也没有干。
它那个驱动只有2.4KB，看起来像空壳。

INIT:0001043C ; int __stdcall start(PDRIVER_OBJECT DriverObject)
INIT:0001043C public start
INIT:0001043C start proc near
INIT:0001043C
INIT:0001043C DestinationString= UNICODE_STRING ptr -0Ch
INIT:0001043C DeviceObject = dword ptr -4
INIT:0001043C DriverObject = dword ptr 8
INIT:0001043C
INIT:0001043C push ebp
INIT:0001043D mov ebp, esp
INIT:0001043F add esp, 0FFFFFFF4h
INIT:00010442 push ebx
INIT:00010443 push esi
INIT:00010444 push edi
INIT:00010445 lea edi, [ebp+DestinationString]
INIT:00010448 push offset SourceString ; "\\Device\\SVKP"
INIT:0001044D push edi ; DestinationString
INIT:0001044E call RtlInitUnicodeString
INIT:00010453 lea ecx, [ebp+DeviceObject]
INIT:00010456 mov esi, [ebp+DriverObject]
INIT:00010459 push ecx ; DeviceObject
INIT:0001045A push eax ; Exclusive
INIT:0001045B push eax ; DeviceCharacteristics
INIT:0001045C push 22h ; DeviceType
INIT:0001045E push edi ; DeviceName
INIT:0001045F push eax ; DeviceExtensionSize
INIT:00010460 push esi ; DriverObject
INIT:00010461 call IoCreateDevice
INIT:00010466 test eax, eax
INIT:00010468 jl short loc_104AF
INIT:0001046A mov edx, [ebp+DeviceObject]
INIT:0001046D or dword ptr [edx+1Ch], 4
INIT:00010471 mov eax, offset sub_10325
INIT:00010476 mov dword ptr [esi+34h], offset sub_102C0
INIT:0001047D mov [esi+38h], eax
INIT:00010480 mov [esi+40h], eax
INIT:00010483 mov dword ptr [esi+70h], offset sub_102DC
INIT:0001048A mov eax, offset SymbolicLinkName
INIT:0001048F push edi
INIT:00010490 push eax
INIT:00010491 push offset aDosdevicesSvkp ; "\\DosDevices\\SVKP"
INIT:00010496 push eax ; SymbolicLinkName
INIT:00010497 call RtlInitUnicodeString
INIT:0001049C call IoCreateSymbolicLink
INIT:000104A1 test eax, eax
INIT:000104A3 jge short loc_104AF
INIT:000104A5 push eax
INIT:000104A6 push [ebp+DeviceObject] ; DeviceObject
INIT:000104A9 call IoDeleteDevice
INIT:000104AE pop eax
INIT:000104AF
INIT:000104AF loc_104AF: ; CODE XREF: start+2Cj
INIT:000104AF ; start+67j
INIT:000104AF pop edi
INIT:000104B0 pop esi
INIT:000104B1 pop ebx
INIT:000104B2 leave
INIT:000104B3 retn 8
INIT:000104B3 start endp

这是它的DriverEntry，看起来没有任何东西啊。
[一般木马驱动会在DriverEntry中添加初始化代码]

闪电风暴 - 2007-9-1 20:38:00

__imp_IoCreateDevice 000102A0
__imp_IoCreateSymbolicLink 000102A4
__imp_IoDeleteDevice 000102A8
__imp_IoDeleteSymbolicLink 000102AC
__imp_RtlInitUnicodeString 000102B0
__imp_IoCompleteRequest 000102B4
IoCompleteRequest 0001038C
IoCreateDevice 00010392
IoCreateSymbolicLink 00010398
IoDeleteDevice 0001039E
IoDeleteSymbolicLink 000103A4
RtlInitUnicodeString 000103AA
SymbolicLinkName 000103E0
SourceString 00010400
aDosdevicesSvkp 0001041A
start 0001043C P
所调函数就这么多，这是一个空驱动一般只做的。

有毒必问 - 2007-9-1 20:42:00

我看不明啊～我沒有學過。。。

^_^！

闪电风暴 - 2007-9-2 18:07:00

有很多木马加载驱动只不过是显摆技术.其实驱动中一点东西也没

haohe的fans - 2007-9-2 18:12:00

楼主厉害！！！

闪电风暴 - 2007-9-2 18:15:00

我只是一个菜鸟而已.

瑞星卡卡安全论坛