瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 ★ RootKit木马的亲密接触 ★【原创】

12345678»   1  /  9  页   跳转

★ RootKit木马的亲密接触 ★【原创】

收藏
BlackStone
头像
叱咤花甲狮
  • 帖子:2616
  • 注册: 2005-09-27
  • 来自:
发表于: 2005-12-13 12:21 | 只看楼主 短消息 资料
字号: 1楼

★ RootKit木马的亲密接触 ★【原创】

前一段时间Sony的CD反盗版保护RootKit被Sysinternals的Mark揭露后,在网上吵的沸沸扬扬,国外杀毒厂商也说黑客已利用了Sony的Rookit漏洞。本人前几天在一朋友的机器上发现了一个类似的木马,现把此木马的发现和删除过程与大家分享,木马技术也发展到了驱动级,希望大家提高防范意识,现在的网络真的是太不安全了。

说明:转载请注明出处和作者-BlackStone(最近在网上看到很多网站转贴了我的文章,没有注明出处和作者,更有甚者把图片修改后署上自己的名字)。
最后编辑2007-01-28 19:18:53
分享到:
gototop
 
BlackStone
头像
叱咤花甲狮
  • 帖子:2616
  • 注册: 2005-09-27
  • 来自:
发表于: 2005-12-13 12:22 | 只看楼主 短消息 资料
字号: 2楼

我的安全意识还是比较强的,使用别人机器上网前都会用procexphttp://www.sysinternals.com/Files/ProcessExplorerNt.zip)查看一下有没有可疑的进程,用Autorunshttp://www.sysinternals.com/Files/Autoruns.zip)查看有没有可疑的启动项,检查未发现异常,开始上网,上了一会,关闭IE,准备关机。不经意间在防火墙网络访问信息中发现有iexplorer.exe访问网络,并且一会又消失了,因为我已经关闭了所有的IE窗口,所以这引起了我得注意。我马上打开procexp查看,但我并未发现那个iexplorer.exe,难道是防火墙误报,我下载了一个TcpViewhttp://www.sysinternals.com/Files/TcpView.zip),果然看到一个在进程列表中不存在的IE进程不停的访问网络。

如图:

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-12-13 12:22:03
描述:
gototop
 
BlackStone
头像
叱咤花甲狮
  • 帖子:2616
  • 注册: 2005-09-27
  • 来自:
发表于: 2005-12-13 12:22 | 只看楼主 短消息 资料
字号: 3楼

这时我确定机器肯定中了木马,那个木马又是怎么启动的呢,我打开Autoruns仔细查找启动项,但找不到。此时我确认机器中了一个比较难缠的木马,我下载了RootkitRevealer(http://www.sysinternals.com/Files/RootkitRevealer.zip) 进行查找,果然不出所料,机器上有几个注册表隐藏项,和文件隐藏项

如图:

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-12-13 12:22:09
描述:
gototop
 
BlackStone
头像
叱咤花甲狮
  • 帖子:2616
  • 注册: 2005-09-27
  • 来自:
发表于: 2005-12-13 12:22 | 只看楼主 短消息 资料
字号: 4楼

找到问题所在就好办了,打开IceSwordhttp://xfocus.net/tools/200509/IceSword_en1.12.rar),马上看到了那个IE进程

如图:

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-12-13 12:22:20
描述:
gototop
 
BlackStone
头像
叱咤花甲狮
  • 帖子:2616
  • 注册: 2005-09-27
  • 来自:
发表于: 2005-12-13 12:23 | 只看楼主 短消息 资料
字号: 5楼

驱动注册表隐藏项,如图:

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-12-13 12:23:00
描述:
gototop
 
BlackStone
头像
叱咤花甲狮
  • 帖子:2616
  • 注册: 2005-09-27
  • 来自:
发表于: 2005-12-13 12:23 | 只看楼主 短消息 资料
字号: 6楼

文件隐藏项,若图:

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-12-13 12:23:09
描述:
gototop
 
BlackStone
头像
叱咤花甲狮
  • 帖子:2616
  • 注册: 2005-09-27
  • 来自:
发表于: 2005-12-13 12:23 | 只看楼主 短消息 资料
字号: 7楼

删除驱动文件,重启计算机,病毒进程立即现身,如图:

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-12-13 12:23:25
描述:
gototop
 
BlackStone
头像
叱咤花甲狮
  • 帖子:2616
  • 注册: 2005-09-27
  • 来自:
发表于: 2005-12-13 12:23 | 只看楼主 短消息 资料
字号: 8楼

RootkitRevealer还报RPCSS服务的注册表一项被隐藏,因为驱动已经删除,再此打开注册表,木马更改的项马上现身了,若图:

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-12-13 12:23:45
描述:
gototop
 
BlackStone
头像
叱咤花甲狮
  • 帖子:2616
  • 注册: 2005-09-27
  • 来自:
发表于: 2005-12-13 12:23 | 只看楼主 短消息 资料
字号: 9楼

将Rpcss服务的注册表项改回初始值,如图,重启问题搞定

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-12-13 12:23:55
描述:
gototop
 
BlackStone
头像
叱咤花甲狮
  • 帖子:2616
  • 注册: 2005-09-27
  • 来自:
发表于: 2005-12-13 12:24 | 只看楼主 短消息 资料
字号: 10楼

总结:此木马为驱动级木马,底层勾了ntoskrnl.exe导出函数,实现进程隐藏,文件隐藏。

zwvmlmtz.dll:替换Rpcss服务的DLL,实现自启动功能(Rpcss服务是系统重要服务),调用驱动。
zwvmlmtz.sys:挂接系统函数,隐藏自己的注册表项,隐藏Rpcss改动的注册表项(通过regedit查询到的值不准确),隐藏文件,把自己伪装为IE进程(防火墙一般默认IE进程访问网络自动放行的)。
zwvmlmtz.d1l:木马作者真正用意所在模块。
gototop
 
<<上一主题|下一主题>>
12345678»   1  /  9  页   跳转
页面顶部
Powered by Discuz!NT