警惕NSDownLoader木马下载器(U盘病毒system.dll,替换appmgmts.dll等文件) - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛警惕NSDownLoader木马下载器(U盘病毒system.dll,替换appmgmts.dll等文件)

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12 3 4

1 / 4 页

跳转页

[原创] 警惕NSDownLoader木马下载器(U盘病毒system.dll,替换appmgmts.dll等文件)

本主题由版主天月来了于 2008-12-24 11:38:54 执行主题置顶/取消操作

newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:	发表于： 2008-11-27 00:03 \| 只看楼主短消息资料字号：小中大 1楼警惕NSDownLoader木马下载器(U盘病毒system.dll,替换appmgmts.dll等文件) 这是一个结合了机器狗，AV终结者和利用MS08067漏洞攻击的复合型下载者病毒。近几天非常流行，并且预计该病毒在近期会成泛滥之势，希望大家注意！以下是该病毒的某一变种的分析： 1.病毒运行后，会调用检测是否有调试器存在并遍历是否存在ImportREC.exe，C32Asm.exe，LordPE.exe，PEditor.exe，OllyICE.exe，OllyDbg.exe等进程，如果是则自身退出。 2.停止如下服务Application Management，Task Scheduler，System Restore Service，Windows Image Acquisition (WIA)，Windows Time 3.之后生成如下文件： %temp%\dll???.dll(???为随机数字) 4..Dll??.dll注入到svchost.exe中，并创建远程线程。(之前会获得系统时间，如果系统年份大于2008则不注入svchost.exe) Dll??.dll注入svchost.exe后有如下行为： (1)创建一个事件NSDownLoader20Vip02。 (2)创建多个线程执行不同的操作 a.读取一个txt格式的下载列表（本例为http://tk123.*******.cn/pk/tk123.txt），将木马和病毒下载到%temp%文件夹。 b.映像劫持如下进程pccguide.exe,ZONEALARM.exe,zonealarm.exe,wink.exe,windows优化大师.exe,WFINDV32.exe,webtrap.exe,WEBSCANX.exe,WEBSCAN.exe,vsstat.exe,VSSCAN40,VSHWIN32.exe ,vshwin32.exe ,VSECOMR.exe ,VPC32.exe ,vir.exe ,VETTRAY.exe ,VET95.exe ,vavrunr.exe ,UlibCfg.exe ,TSC.exe ,tmupdito.exe ,tmproxy.exe ,TMOAgent.exe ,Tmntsrv.exe ,TDS2-NT.exe ,TDS2-98.exe ,TCA.exe ,TBSCAN.exe ,symproxysvc.exe ,SWEEP95.exe ,spy.exe ,SPHINX.exe ,smtpsvc.exe ,SMC.exe ,sirc32.exe ,SERV95.exe ,secu.exe ,SCRSCAN.exe ,scon.exe ,SCANPM.exe ,SCAN32.exe ,scan.exe ,scam32.exe ,safeweb.exe ,safeboxTray.exe ,rn.exe ,Rfw.exe ,rescue32.exe ,regedit.exe ,RavTask.exe ,RavStub.exe ,RavMonD.exe ,RavMon.exe ,rav7win.exe ,RAV7.exe ,ras.exe ,pview95.exe ,prot.exe ,program.exe ,PpPpWallRun.exe ,pop3trap.exe ,PERSFW.exe ,PCFWALLICON.exe ,pccwin98.exe ,pccmain.exe ,pcciomon.exe ,PCCClient.exe ,pcc.exe ,PAVCL.exe ,PADMIN.exe ,OUTPOST.exe ,office.exe ,NVC95.exe ,NUPGRADE.exe ,norton.exe ,NORMIST.exe ,NMAIN.exe ,nisum.exe ,nisserv.exe ,NAVWNT.exe ,navwnt.exe ,NAVW32.exe ,NAVW.exe ,NAVSCHED.exe ,navrunr.exe ,NAVNT.exe ,NAVLU32.exe ,navapw32.exe ,navapsvc.exe ,N32ACAN.exe ,ms.exe ,MPFTRAY.exe ,MOOLIVE.exe ,moniker.exe ,mon.exe ,microsoft.exe ,mcafee.exe ,LUCOMSERVER.exe ,luall.exe ,LOOKOUT.exe ,lockdown2000.exe ,lamapp.exe ,kwatch.exe ,KVPreScan.exe ,KVMonXP.exe ,KRF.exe ,KPPMain.exe ,kpfwsvc.exe ,kpfw32.exe ,KPFW32.exe ,kissvc.exe ,kavstart.exe ,kav32.exe ,Kasmain.exe ,Kabackreport.exe ,JED.exe ,iomon98.exe ,iom.exe ,ICSSUPPNT.exe ,ICMOON.exe ,ICLOADNT.exe ,ICLOAD95.exe ,IceSword.exe ,ice.exe... ,指向svchost.exe c.在%SystemRoot%\system32\目录下生成Nskhelper2.sys恢复SSDT并结束某些杀毒软件进程。 d.释放与机器狗功能类似的驱动NSPASS?.sys(?代表数字)，直接访问磁盘并替换如下dll文件 %SystemRoot%\system32\schedsvc.dll %SystemRoot%\System32\appmgmts.dll %SystemRoot%\System32\srsvc.dll %SystemRoot%\System32\w32time.dll %SystemRoot%\system32\wiaservc.dll %SystemRoot%\system32\schedsvc.dll 替换为病毒的dll。用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; InfoPath.2; .NET CLR 2.0.50727; .NET CLR 1.1.4322)* newcenturymoon 最后编辑于 2008-11-27 00:17:16
newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:	分享到：

newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:	发表于： 2008-11-27 00:05 \| 只看楼主短消息资料字号：小中大 2楼回复: 警惕NSDownLoader木马下载器(U盘病毒system.dll) e.每隔15分钟启动一次本机的lanmanserver与Browser服务，扫描本网段内的其他机器，打开对方的4444端口。在本机临时文件夹内创建一个???????.txt的文件（?代表随机数字），并写入一些代码，利用批处理和debug将其“重组”成dll文件，利用rundll32.exe加载，并利用MS08-067漏洞攻击其他机器，同时将该病毒文件复制过去。 f.释放appwinproc.dll到系统目录，设置窗口挂钩，查找带有如下字样的窗口“金山毒霸，360安全卫士, 江民, 木马, 专杀,下载者，NOD32，卡巴斯基…”，找到后调用TerminateProcess函数结束相应进程。 g.修改hosts文件屏蔽常见安全网站 127.0.0.1 www.360.cn 127.0.0.1 www.360safe.cn 127.0.0.1 www.360safe.com 127.0.0.1 www.chinakv.com 127.0.0.1 www.rising.com.cn 127.0.0.1 rising.com.cn 127.0.0.1 dl.jiangmin.com 127.0.0.1 jiangmin.com 127.0.0.1 www.jiangmin.com 127.0.0.1 www.duba.net 127.0.0.1 www.eset.com.cn 127.0.0.1 www.nod32.com 127.0.0.1 shadu.duba.net 127.0.0.1 union.kingsoft.com 127.0.0.1 www.kaspersky.com.cn 127.0.0.1 kaspersky.com.cn 127.0.0.1 virustotal.com 127.0.0.1 www.kaspersky.com 127.0.0.1 www.cnnod32.cn 127.0.0.1 www.lanniao.org 127.0.0.1 www.nod32club.com 127.0.0.1 www.dswlab.com 127.0.0.1 bbs.sucop.com 127.0.0.1 www.virustotal.com 127.0.0.1 tool.ikaka.com 127.0.0.1 360.qihoo.com h.向除了A,B盘之外的盘符中创建autorun.inf和system.dll(即dll??.dll), autorun.inf内容如下： [autorun] shell\open\command=rundll32 system.dll,explore shell\explore\command=rundll32 system.dll,explore 利用rundll32.exe加载该dll i.获得本机的mac地址，操作系统版本等信息发送到http://tk123.******.cn/pk/123/count.asp 判别方法：通过sreng日志判断： 1. IFEO项目可以看到很多杀毒软件被劫持 2. 查看系统服务发现如下服务的dll版本变为N/A(被病毒替换所致) 如[Application Management / AppMgmt][Stopped/Manual Start] <C:\WINDOWS\system32\svchost.exe -k netsvcs-->%SystemRoot%\System32\appmgmts.dll><N/A> [Task Scheduler / Schedule][Stopped/Auto Start] <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\system32\schedsvc.dll><N/A> [System Restore Service / srservice][Stopped/Auto Start] <C:\WINDOWS\system32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\srsvc.dll><N/A> [Windows Image Acquisition (WIA) / stisvc][Stopped/Manual Start] <C:\WINDOWS\system32\svchost.exe -k imgsvc-->%SystemRoot%\system32\wiaservc.dll><N/A> [Windows Time / W32Time][Stopped/Auto Start] <C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\w32time.dll><N/A> 解决方法：下载sreng工具,XDelbox工具。 1. 断开网络，开始—运行—输入services.msc，把下列服务设置为“禁用”：Application Management，Task Scheduler，System Restore Service，Windows Image Acquisition (WIA)，Windows Time 2. 使用Xdelbox删除如下文件 %temp%\dll???.dll（???代表随机数字） %SystemRoot%\System32\Nskhelper2.sys %SystemRoot%\System32\NSPASS?.sys (?代表数字，不止一个) %SystemRoot%\System32\appwinproc.dll 以及各个分区下面的system.dll,autorun.inf文件 3.重启计算机，打开我的电脑>>菜单栏>>工具>>文件夹选项>>查看选择显示所有文件和文件夹，并把隐藏受保护的操作系统文件的钩去掉。 4.打开%SystemRoot%\system32\dllcache文件夹依次找到 schedsvc.dll appmgmts.dll srsvc.dll w32time.dll wiaservc.dll 文件分别覆盖掉%SystemRoot%\system32\schedsvc.dll %SystemRoot%\System32\appmgmts.dll %SystemRoot%\System32\srsvc.dll %SystemRoot%\System32\w32time.dll %SystemRoot%\system32\wiaservc.dll** 5.使用sreng删除所有IFEO映像劫持项目 6.使用杀毒软件全盘杀毒清除其他木马和病毒 newcenturymoon 最后编辑于 2008-11-27 00:06:04
newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:

艾玛大版主帖子:18894 注册: 2004-01-01 来自:	发表于： 2008-11-27 08:21 \| 短消息资料字号：小中大 3楼回复：警惕NSDownLoader木马下载器(U盘病毒system.dll,替换appmgmts.dll等... 昨天的CC
艾玛大版主帖子:18894 注册: 2004-01-01 来自:

天月来了版主帖子:76904 注册: 2007-02-06 来自:	发表于： 2008-11-27 09:35 \| 短消息资料字号：小中大 4楼回复：警惕NSDownLoader木马下载器(U盘病毒system.dll,替换appmgmts.dll等... 哈哈昨天我已经观察到两个类似木马群的求助者了呵呵！！！蛮有趣的事情中毒全面的系统里，它还替换输入法程序以及桌面程序就是替换系统目录 %SystemRoot%\System32\里的ctfmon.exe %SystemRoot%\里的Explorer.exe 似乎还继续替换 %SystemRoot%\system32\里的rpcss.dll
天月来了版主帖子:76904 注册: 2007-02-06 来自:

newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:	发表于： 2008-11-27 09:46 \| 只看楼主短消息资料字号：小中大 5楼回复：警惕NSDownLoader木马下载器(U盘病毒system.dll,替换appmgmts.dll等... rpcss.dll 是某个盗号木马替换的 ctfmon.exe也应该是其下载的木马替换的
newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:

天月来了版主帖子:76904 注册: 2007-02-06 来自:	发表于： 2008-11-27 09:51 \| 短消息资料字号：小中大 6楼回复：警惕NSDownLoader木马下载器(U盘病毒system.dll,替换appmgmts.dll等... 对于这样恶意替换系统重要文件的病毒已经不是靠论坛提供大量相同系统文件能解决的了很无奈了估计明年将会出现一次替换系统文件达到上百个的情况几乎不能靠手工恢复了
天月来了版主帖子:76904 注册: 2007-02-06 来自:

无心柳快乐黄口狮帖子:178 注册: 2008-09-05 来自:	发表于： 2008-11-27 22:12 \| 短消息资料字号：小中大 7楼回复: 警惕NSDownLoader木马下载器(U盘病毒system.dll,替换appmgmts.dll等... 引用: 原帖由天月来了于 2008-11-27 9:51:00 发表对于这样恶意替换系统重要文件的病毒已经不是靠论坛提供大量相同系统文件能解决的了很无奈了估计明年将会出现一次替换系统文件达到上百个的情况几乎不能靠手工恢复了希望瑞星在主动防御上想点办法沙
无心柳快乐黄口狮帖子:178 注册: 2008-09-05 来自:

autoruninf 初生襁褓狮帖子:1 注册: 2008-11-27 来自:	发表于： 2008-11-27 23:21 \| 短消息资料字号：小中大 8楼回复：警惕NSDownLoader木马下载器(U盘病毒system.dll,替换appmgmts.dll等... 太感谢楼主了，按上述方法不用重装就已经删除病毒，但是我的hosts文件还是没有恢复过来，而且不能修改和删除，还是上不了反病毒网站，用sreng工具也不能重置，请问有解决办法吗
autoruninf 初生襁褓狮帖子:1 注册: 2008-11-27 来自:

艾玛大版主帖子:18894 注册: 2004-01-01 来自:	发表于： 2008-11-28 08:12 \| 短消息资料字号：小中大 9楼回复: 警惕NSDownLoader木马下载器(U盘病毒system.dll,替换appmgmts.dll等... 引用: 原帖由 autoruninf 于 2008-11-27 23:21:00 发表太感谢楼主了，按上述方法不用重装就已经删除病毒，但是我的hosts文件还是没有恢复过来，而且不能修改和删除，还是上不了反病毒网站，用sreng工具也不能重置，请问有解决办法吗看看imagehlp.dll是否被替换
艾玛大版主帖子:18894 注册: 2004-01-01 来自:

天月来了版主帖子:76904 注册: 2007-02-06 来自:	发表于： 2008-11-28 09:14 \| 短消息资料字号：小中大 10楼回复 7F 无心柳的帖子只是病毒主程序不断免杀，在所有杀毒软件不认的情况下，开网页后，一旦病毒主程序开始运行将终止杀毒软件的工作，然后就都没用了。所以目前靠病毒特征码判断不了病毒主程序的情况下，只有依赖程序行为的监控，而目前病毒的程序行为渐渐向正常的程序行为靠拢，所以各种杀毒软件的主动防御提示的时候，因为用户大多不知道提示的意思，都选择了放行所以难以解决问题。
天月来了版主帖子:76904 注册: 2007-02-06 来自:

<<上一主题|下一主题>>

12 3 4

1 / 4 页

跳转页

页面顶部

Powered by Discuz!NT