最近机器狗病毒盛行,而黑客为了进一步增强病毒的破坏能力,在机器狗病毒中加入了很多“新功能”,应该可以预见到,复合型机器狗将会在未来的一段时间内盛行。
下面是最近截获的这个比较可恶的病毒的简要分析和查杀举例
File: mm.exe
Size: 12340 bytes
Modified: 2008年2月1日, 22:57:01
MD5: 3F93A9CCB07B2341C7BED9CE807CA34D
SHA1: DB9E60225412DED91C3BD783BE5E76AA6AD77C4E
CRC32: 29257F02
1.主病毒(mm.exe)运行后,释放如下文件:
C:\WINDOWS\system32\drivers\pcihdd2.sys
C:\WINDOWS\system32\lssass.exe
注册服务DeepFree Update 指向C:\WINDOWS\system32\drivers\pcihdd2.sys 并加载这个驱动 这个驱动即为机器狗的驱动
之后会替换userinit.exe文件
2.之后mm.exe启动C:\WINDOWS\system32\lssass.exe 至此mm.exe(即机器狗)退出 大权交给lssass.exe
3.lssass.exe运行后,释放如下文件
C:\WINDOWS\system32\drivers\ati32srv.sys
注册服务ATI2HDDSRV 指向ati32srv.sys 并加载这个驱动 该驱动可以恢复系统的SSDT表 使得杀毒软件的API hook完全失效...很多杀毒软件的“主动防御”和“自我保护”功能也因此失效
4.调用cmd.exe把KvTrust.dll,UrlGuard.dll,antispy.dll,safemon.dll,ieprot.dll重命名为tmp%d.temp的格式
5.结束很多安全软件进程
avp.com
avp.exe
runiep.exe
PFW.exe
FYFireWall.exe
rfwmain.exe
rfwsrv.exe
KAVPF.exe
KPFW32.exe
nod32kui.exe
nod32.exe
Navapsvc.exe
Navapw32.exe
avconsol.exe
webscanx.exe
NPFMntor.exe
vsstat.exe
KPfwSvc.exe
Ras.exe
RavMonD.exe
mmsk.exe
WoptiClean.exe
QQKav.exe
QQDoctor.exe
EGHOST.exe
360Safe.exe
iparmo.exe
adam.exe
IceSword.exe
360rpt.exe
360tray.exe
AgentSvr.exe
AppSvc32.exe
autoruns.exe
avgrssvc.exe
AvMonitor.exe
CCenter.exe
ccSvcHst.exe
FileDsty.exe
FTCleanerShell.exe
HijackThis.exe
Iparmor.exe
isPwdSvc.exe
kabaload.exe
KaScrScn.SCR
KASMain.exe
KASTask.exe
KAVDX.exe
KAVPFW.exe
KAVSetup.exe
KAVStart.exe
KISLnchr.exe
KMailMon.exe
KMFilter.exe
KPFW32.exe
KPFW32X.exe
KPFWSvc.exe
KRegEx.exe
KRepair.com
KsLoader.exe
KVCenter.kxp
KvDetect.exe
KvfwMcl.exe
KVMonXP.kxp
KVMonXP_1.kxp
kvol.exe
kvolself.exe
KvReport.kxp
KVScan.kxp
KVSrvXP.exe
KVStub.kxp
kvupload.exe
kvwsc.exe
KvXP.kxp
KvXP_1.kxp
KWatch.exe
KWatch9x.exe
KWatchX.exe
MagicSet.exe
mcconsol.exe
mmqczj.exe
KAV32.exe
nod32krn.exe
PFWLiveUpdate.exe
QHSET.exe
RavMonD.exe
RavStub.exe
RegClean.exe
rfwcfg.exe
RfwMain.exe
rfwsrv.exe
RsAgent.exe
Rsaupd.exe
safelive.exe
scan32.exe
shcfg32.exe
SmartUp.exe
SREng.EXE
symlcsvc.exe
SysSafe.exe
TrojanDetector.exe
Trojanwall.exe
TrojDie.kxp
UIHost.exe
UmxAgent.exe
UmxAttachment.exe
UmxCfg.exe
UmxFwHlp.exe
UmxPol.exe
UpLive.exe
procexp.exe
OllyDBG.EXE
OllyICE.EXE
rfwstub.exe
RegTool.exe
rfwProxy.exe
6.映像劫持几乎上面所有安全软件指向“ntsd -d”
7.启动IE进行下载工作,首先会读取http://xtx.×××.info/images/xin.txt比较
里面的VERSION信息 如果发现不是最新版本 则下载最新版本 具有自我更新功能
8.之后继续读取下面的下载信息 下载木马
目前下载的病毒地址为
http://2.×××.info/xm/aa1.exe~http://2.×××.info/xm/aa13.exe
http://444.××××××××.com/xm/aa14.exe~http://444.××××××××.com/xm/aa26.exe
病毒木马植入完毕后的sreng日志如下(本例中均假设系统装在C盘下)
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<WSockDrv32><C:\WINDOWS\dqyxis.exe> []
<upxdnd><C:\WINDOWS\upxdnd.exe> []
<LotusHlp><C:\WINDOWS\LotusHlp.exe> []
<PTSShell><C:\WINDOWS\PTSShell.exe> []
<SHAProc><C:\WINDOWS\SHAProc.exe> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<kfzmwcnyi><kfzmwcnyi.exe> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{2f32e793-9263-4aa5-862f-da2480554715}><C:\WINDOWS\system32\JAA-JAA-1032.dll> []
<{9a8234b5-a04c-4b0c-ad8c-f4fdb94c9543}><C:\WINDOWS\system32\RAA_RAA_1002.dll> []
<{4FA10261-B890-F432-A453-69F1023513F4}><C:\WINDOWS\Fonts\gjcsdyc.dll> []
<{94f833b0-726d-4d09-b715-6352f632ece7}><C:\WINDOWS\system32\QAB_QAB_1011.dll> []
<{0a1d93b9-0e5d-4239-94df-6e673bf85067}><C:\WINDOWS\system32\IIA-IIA-1030.dll> []
==================================
驱动程序
[ATI2HDDSRV / ATI2HDDSRV][Running/Manual Start]
<\??\C:\WINDOWS\system32\drivers\ati32srv.sys><N/A>
[DeepFree Update / DeepFree Update][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\drivers\pcihdd2.sys><N/A>
[msskye / msskye][Running/Auto Start]
<system32\drivers\msaclue.sys><N/A>
==================================
正在运行的进程
[PID: 1452][C:\WINDOWS\system32\userinit.exe] [N/A, ]
[C:\WINDOWS\system32\HDDGuard.dll] [N/A, ]
[PID: 1472][C:\windows\explorer.exe] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\JAA-JAA-1032.dll] [N/A, ]
[C:\WINDOWS\system32\RAA_RAA_1002.dll] [N/A, ]
[C:\WINDOWS\Fonts\gjcsdyc.dll] [N/A, ]
[C:\WINDOWS\system32\QAB_QAB_1011.dll] [N/A, ]
[C:\WINDOWS\system32\IIA-IIA-1030.dll] [N/A, ]
[C:\WINDOWS\wlqirtuk.dll] [N/A, ]
[C:\WINDOWS\dcadmqws.dll] [N/A, ]
[C:\WINDOWS\system32\upxdnd.dll] [N/A, ]
[C:\WINDOWS\system32\WSockDrv32.dll] [N/A, ]
[C:\WINDOWS\system32\LotusHlp.dll] [N/A, ]
[C:\WINDOWS\system32\PTSShell.dll] [N/A, ]
[C:\WINDOWS\system32\SHAProc.dll] [N/A, ]
[C:\WINDOWS\system32\HDDGuard.dll] [N/A, ]
...
查杀方法举例:
1.手动查杀:下载sreng:http://download.kztechs.com/files/sreng2.zip
Xdelbox:下载地址http://www.dodudou.com/down/里面的原创软件文件夹下
复制如下文字 到剪贴板(只限本例中下载的木马名称,具体情况需要具体分析)
C:\WINDOWS\Fonts\gjcsdss.dll
C:\WINDOWS\Fonts\gjcsdyc.dll
C:\WINDOWS\Fonts\gjcsdzc.exe
C:\WINDOWS\Fonts\gjcubxw.fon
C:\WINDOWS\system32\drivers\msaclue.sys
C:\WINDOWS\system32\drivers\usbKeyInit.sys
C:\WINDOWS\system32\3auhad.dll
C:\WINDOWS\system32\cuhad.dll
C:\WINDOWS\system32\duygnef.dll
C:\WINDOWS\system32\ejcvogxwow.dll
C:\WINDOWS\system32\gnolnait.dll
C:\WINDOWS\system32\HDDGuard.dll
C:\WINDOWS\system32\HHHCompress.dll
C:\WINDOWS\system32\hnibxqidj.dll
C:\WINDOWS\system32\IIA-IIA-1030.dll
C:\WINDOWS\system32\JAA-JAA-1032.dll
C:\WINDOWS\system32\knjcwnezyzj.dll
C:\WINDOWS\system32\knlExt.dll
C:\WINDOWS\system32\lnaixnauhqq.dll
C:\WINDOWS\system32\LotusHlp.dll
C:\WINDOWS\system32\lrngbtlzx.dll
C:\WINDOWS\system32\lssass.exe
C:\WINDOWS\system32\LYLOADER.EXE
C:\WINDOWS\system32\LYMANGR.DLL
C:\WINDOWS\system32\MSDEG32.DLL
C:\WINDOWS\system32\mshxxbb32.dll
C:\WINDOWS\system32\msqjmmm32.dll
C:\WINDOWS\system32\mstfhncn32.dll
C:\WINDOWS\system32\mswmkkk32.dll
C:\WINDOWS\system32\mswwwdj32.dll
C:\WINDOWS\system32\niluw.dll
C:\WINDOWS\system32\otpiexpqj.dll
C:\WINDOWS\system32\PTSShell.dll
C:\WINDOWS\system32\QAB_QAB_1011.dll
C:\WINDOWS\system32\RAA_RAA_1002.dll
C:\WINDOWS\system32\SHAProc.dll
C:\WINDOWS\system32\upxdnd.dll
C:\WINDOWS\system32\Wingin.exe
C:\WINDOWS\system32\WSockDrv32.dll
C:\WINDOWS\system32\xbwqogywm.dll
C:\WINDOWS\dcadmqws.dll
C:\WINDOWS\kfzmwcnyi.exe
C:\WINDOWS\litknpar.exe
C:\WINDOWS\LotusHlp.exe
C:\WINDOWS\PTSShell.exe
C:\WINDOWS\SHAProc.exe
C:\WINDOWS\upxdnd.exe
C:\WINDOWS\wlqirtuk.dll
C:\WINDOWS\WSockDrv32.exe
解压下载的Xdelbox压缩包内所有文件到一个文件夹下
之后打开Xdelbox.exe
在下面的大框中 单击右键 点击 “剪贴板导入不检查路径”
之后刚才复制的那个文件列表将出现在下面的大框中
然后再在下面的大框中单击右键 点击 “立即重启执行删除”
软件会自动重启计算机
附件:
554345200825124002.jpg 