瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【原创】一个通过修改EXE文件关联实现自启动木马的查杀过程

12   1  /  2  页   跳转

【原创】一个通过修改EXE文件关联实现自启动木马的查杀过程

收藏
BlackStone
头像
叱咤花甲狮
  • 帖子:2616
  • 注册: 2005-09-27
  • 来自:
发表于: 2006-05-19 16:32 | 只看楼主 短消息 资料
字号: 1楼

【原创】一个通过修改EXE文件关联实现自启动木马的查杀过程

昨天一同事的计算机中了一木马,搞了将近一个小时才搞定,现在把查杀过程与大家分享一下,希望大家遇到时轻松搞定它。


说明:转载请注明出处和作者-BlackStone
最后编辑2006-05-24 12:12:12
分享到:
gototop
 
BlackStone
头像
叱咤花甲狮
  • 帖子:2616
  • 注册: 2005-09-27
  • 来自:
发表于: 2006-05-19 16:32 | 只看楼主 短消息 资料
字号: 2楼

遇到木马后我首先第一步是断掉网络(因为一般木马都会干些与网络有关的事),然后会使用www.sysinternals.com的Procexp和Autoruns工具,这两个工具的具体使用方法可参考我的旧文章http://forum.ikaka.com/topic.asp?board=28&artid=7318038。当打开Procexp首先看到三个可疑的程序:SVCHOST,SMSS.exe,LSASS.exe,如图:

附件附件:

下载次数:844
文件类型:image/pjpeg
文件大小:
上传时间:2006-5-19 16:32:40
描述:
gototop
 
BlackStone
头像
叱咤花甲狮
  • 帖子:2616
  • 注册: 2005-09-27
  • 来自:
发表于: 2006-05-19 16:33 | 只看楼主 短消息 资料
字号: 3楼

在Autoruns中可看到三个进程的启动项,如图:

附件附件:

下载次数:885
文件类型:image/pjpeg
文件大小:
上传时间:2006-5-19 16:33:00
描述:
gototop
 
BlackStone
头像
叱咤花甲狮
  • 帖子:2616
  • 注册: 2005-09-27
  • 来自:
发表于: 2006-05-19 16:34 | 只看楼主 短消息 资料
字号: 4楼

附件附件:

下载次数:881
文件类型:image/pjpeg
文件大小:
上传时间:2006-5-19 16:34:09
描述:
gototop
 
BlackStone
头像
叱咤花甲狮
  • 帖子:2616
  • 注册: 2005-09-27
  • 来自:
发表于: 2006-05-19 16:34 | 只看楼主 短消息 资料
字号: 5楼

看到这些我认为其是个很好对付的木马,杀掉进程,删除启动项与对应的文件重启计算机一切应该OK,但当我做了这些重启后,启动Procexp进程中三个可疑程序还有一个SMSS.exe在进程中,如图:

附件附件:

下载次数:894
文件类型:image/pjpeg
文件大小:
上传时间:2006-5-19 16:34:32
描述:
gototop
 
BlackStone
头像
叱咤花甲狮
  • 帖子:2616
  • 注册: 2005-09-27
  • 来自:
发表于: 2006-05-19 16:35 | 只看楼主 短消息 资料
字号: 6楼

我用Procexp将其杀掉,不过只要通过Explorer打开一个新的程序,这个程序就自动启动,通过开始菜单的运行对话框启动程序则启动LSASS.exe。难道windows的Explorer.exe被感染了,我检查了一下,Explorer.exe没有问题,难道还有其他进程隐藏了Procexp看不到,我又启动了IceSword,但并没有发现其他可疑的进程。因为木马一般不会做好事,首先得不让它启动,然后再找启动原因,于是我把它在XP系统安全策略中禁止掉,如图:

附件附件:

下载次数:816
文件类型:image/pjpeg
文件大小:
上传时间:2006-5-19 16:35:01
描述:
gototop
 
BlackStone
头像
叱咤花甲狮
  • 帖子:2616
  • 注册: 2005-09-27
  • 来自:
发表于: 2006-05-19 16:35 | 只看楼主 短消息 资料
字号: 7楼

这样木马程序就不能启动了,我继续找它启动的原因,找遍了Autoruns的每个角落也看不它的踪影,难道它使用了Autoruns没有列举出的启动方式。想来想去我还是回到了Explorer上了,因为每次Explorer进行启动程序的操作这个进程就会运行,问题肯定跟其有关,我打开C:\Windows目录查看Explorer.exe,无意中看到有一个Explorer.com的文件,它一下引起了我的注意,我按创建时间排序得到几个可疑的文件,如图:

附件附件:

下载次数:898
文件类型:image/pjpeg
文件大小:
上传时间:2006-5-19 16:35:54
描述:
gototop
 
BlackStone
头像
叱咤花甲狮
  • 帖子:2616
  • 注册: 2005-09-27
  • 来自:
发表于: 2006-05-19 16:36 | 只看楼主 短消息 资料
字号: 8楼

我将几个文件备份到别处后将其删除,然后在用Explorer启动程序,所有的EXE都无法启动了,如图:

附件附件:

下载次数:839
文件类型:image/pjpeg
文件大小:
上传时间:2006-5-19 16:36:17
描述:
gototop
 
BlackStone
头像
叱咤花甲狮
  • 帖子:2616
  • 注册: 2005-09-27
  • 来自:
发表于: 2006-05-19 16:36 | 只看楼主 短消息 资料
字号: 9楼

看来是木马把EXE的文件关联修改,只能先修复文件关联了,我把SRENG.exe(http://www.kztechs.com/sreng/sreng2.zip)改名为SRENG.com后启动它,用其修复了一下文件关联

附件附件:

下载次数:863
文件类型:image/pjpeg
文件大小:
上传时间:2006-5-19 16:36:29
描述:
gototop
 
BlackStone
头像
叱咤花甲狮
  • 帖子:2616
  • 注册: 2005-09-27
  • 来自:
发表于: 2006-05-19 16:37 | 只看楼主 短消息 资料
字号: 10楼

操作完去掉添加的安全策略重启计算机,木马没有再运行,一切OK了。
总结:此木马出了传统的写服务项和注册表RUN项外还修改EXE的文件关联到COM上,修改木马名称与EXE同名的.com文件,例如Explorer.exe对应Explorer.com,来达到自启动的目的,此外此木马会关闭瑞星杀毒软件和防火墙,并且感染其程序。
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT