【转贴】对两个Mocbot(魔波) 的小分析及解决方案..加完美专杀.. - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛【转贴】对两个Mocbot(魔波) 的小分析及解决方案..加完美专杀..

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

【转贴】对两个Mocbot(魔波) 的小分析及解决方案..加完美专杀..

mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York	发表于： 2006-08-16 07:43 \| 显示全部短消息资料字号：小中大 1楼【转贴】对两个Mocbot(魔波) 的小分析及解决方案..加完美专杀.. 【08-15】对两个Mocbot(魔波) 的小分析及解决方案病毒预警！（关于Generic Host Process for Win32 Services错误）从8月13日中午开始发现很多人出现了svchost.exe出现错误的情况，并且ADSL PPPOE连接失效，症状为任务栏中连接显示状态不正常，无法正常断开连接，无数据流量。任务栏声音按钮消失。同时声卡失效。据某外国网站介绍今天截获了一个利用 MS06-040 漏洞的蠕虫病毒并且主要攻击2000和xp sp1 根据介绍那个魔波 (Mocbot) 受影响是2000系统和xp sp1 以下分析首发www.ccfox.net奔雷论坛原帖地址http://www.ccfox.net/read.php?tid=1323 转贴请著名作者同时感谢剑盟yjhfast和霏凡tkabc给我的意见和帮助但是本人虚拟机是xp sp2 没打八月补丁的由于这个东西受灾面积很广,也想玩一下昨天拿到了名为9928A1E6601CF00D0B7826D13FB556F0D4E7D5C2ED00CC31F8C25C9F4FD75F05.exe的样本自己运行了一下测试如下 ---------------------------------- 增加值:4 ---------------------------------- HKLM\SYSTEM\ControlSet001\Services\lanmanserver\parameters\autoshareserver: 0x00000000 HKLM\SYSTEM\ControlSet001\Services\lanmanserver\parameters\autosharewks: 0x00000000 HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters\autoshareserver: 0x00000000 HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters\autosharewks: 0x00000000 ---------------------------------- 修改值:10 ---------------------------------- HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed: 40 CE 92 9E FB 54 73 2D 45 C9 41 0E 21 BB AC C2 4E F4 E7 A3 A7 DB 69 3C 59 18 FF 79 5E 30 B3 3F C0 A5 DE 73 EE D0 59 30 64 FC AB 90 85 74 AD 6C 69 DE AE C5 D5 E8 7B 33 04 38 89 76 4B A6 6C 85 CE D4 CF CF DB EF 86 B3 70 50 FE 91 C5 6C DC 3C HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed: FD AE A0 53 B2 F3 C2 91 1F 5D EF 0D 15 EE 03 FB 40 76 B6 29 51 63 AF 70 CC 53 6E A6 90 D4 48 53 12 DB F4 DB 86 F0 5A EC 2C 40 A7 26 7F 97 DE B6 35 A9 67 95 CD C5 D7 BC A4 33 3B 14 E1 B3 3E 1D 65 D6 F5 C0 92 29 B9 D0 3A BF DB DA 9C 36 C9 D3 HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM: "Y" HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM: "n" HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-19\RefCount: 0x00000003 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-19\RefCount: 0x00000002 HKLM\SYSTEM\ControlSet001\Control\Lsa\restrictanonymous: 0x00000000 HKLM\SYSTEM\ControlSet001\Control\Lsa\restrictanonymous: 0x00000001 HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Start: 0x00000002 HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Start: 0x00000004 HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Epoch\Epoch: 0x00000063 HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Epoch\Epoch: 0x00000064 HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous: 0x00000000 HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous: 0x00000001 HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Start: 0x00000002 HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Start: 0x00000004 HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch\Epoch: 0x00000063 HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch\Epoch: 0x00000064 HKU\S-1-5-21-448539723-1972579041-839522115-1003\SessionInformation\ProgramCount: 0x00000001 HKU\S-1-5-21-448539723-1972579041-839522115-1003\SessionInformation\ProgramCount: 0x00000002 ---------------------------------- 文件增加:2 ---------------------------------- C:\WINDOWS\system32\wgareg.exe C:\WINDOWS\Debug\dcpromo.log 可恶的家伙运行后首先把系统墙关了(图1) 生成了C:\WINDOWS\system32\wgareg.exe (图2) C:\WINDOWS\system32\wgareg.exe动作蠕虫扫描TCP 445,找出有漏洞的电脑,然后溢出漏洞连接到hxxp://media.pixpond.com,下载 l9rd6g.jpg 档案 202.121.199.200 端口18067 58.81.137.157 端口18067 61.163.231.115 端口：18067 38.119.88.27 端口80 221.224.49.0 端口445 221.18.49.0 端口445 ...... 主要向外连接端口18067\80\445 端口445疯狂连接,可能出现无数连接,本人用gss,鼠标点了1000多次 "Allow " 并建立服务 [Windows Genuine Advantage Registration Service / wgareg] <C:\WINDOWS\system32\wgareg.exe><N/A> 其中该蠕虫还会下载木马 Trojan-Proxy.Win32.Ranky.fv (咔吧报的名字) URL: http://media.pixpond.com/l9rd6g.jpg/FSG 之后出现为了保护你的计算机,Windows已经关闭了程序(图3) 然后就是报错(图4) 2006-08-19 14:06:07
mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York	分享到：

mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York	发表于： 2006-08-16 07:44 \| 显示全部短消息资料字号：小中大 2楼今天刚拿到的样本名为2BF2A4F0BDAC42F4D6F8A062A720679722452B1D6E4D6BAE5FC067A9B166A340.exe 自己同样运行一下特征基本和第一个一样但是区别是建议了服务为 [Windows Genuine Advantage Validation Monitor / wgavm] <C:\WINDOWS\system32\wgavm.exe><N/A> 其中该蠕虫还会下载木马 Backdoor.Win32.IRCBot.st (咔吧报的名字) URL: http://media.pixpond.com/l9q3wg.jpg/PE_Patch/MEW 下载到的MEW是pe文件改成exe运行发现生成物也就是第一个生成的所有变化和第一个一模一样既然出现了重复主要最后都要下到这个其中该蠕虫还会下载木马 Trojan-Proxy.Win32.Ranky.fv URL: http://media.pixpond.com/l9rd6g.jpg/FSG FSG是个pe文件改exe直接运行 ---------------------------------- 增加键: ---------------------------------- HKLM\SOFTWARE\Tmp HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_NTRCS HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_NTRCS\0000 HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_NTRCS\0000\Control HKLM\SYSTEM\ControlSet001\Services\ntrcs HKLM\SYSTEM\ControlSet001\Services\ntrcs\Security HKLM\SYSTEM\ControlSet001\Services\ntrcs\Enum ---------------------------------- 删除值: ---------------------------------- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\IMJPMIG8.1: ""C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32" HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\PHIME2002ASync: "C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC" HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\PHIME2002A: "C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName" HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\VMware Tools: "C:\Program Files\VMware\VMware Tools\VMwareTray.exe" HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\VMware User Process: "C:\Program Files\VMware\VMware Tools\VMwareUser.exe" HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\GhostSecuritySuite: ""C:\Program Files\GhostSecuritySuite\gss.exe" -minimize" HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\%windir%\system32\sessmgr.exe: "%windir%\system32\sessmgr.exe::enabled:@xpsp2res.dll,-22019" HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\%windir%\system32\sessmgr.exe: "%windir%\system32\sessmgr.exe::enabled:@xpsp2res.dll,-22019" HKU\S-1-5-21-448539723-1972579041-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run\ctfmon.exe: "C:\WINDOWS\system32\ctfmon.exe" ---------------------------------- 增加值 ---------------------------------- HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_NTRCS\0000\DeviceDesc: "Windows Vista/NT Runtime Compatibility Service" HKLM\SYSTEM\ControlSet001\Services\ntrcs\ImagePath: "C:\WINDOWS\NT\nrcs.exe"---------------------------------- ---------------------------------- 文件删除: ---------------------------------- 将本身删除 ---------------------------------- 文件增加:1 ---------------------------------- C:\WINDOWS\NT\nrcs.exe ---------------------------------- 目录增加:1 ---------------------------------- C:\WINDOWS\NT 值得注意的是删除了全部启动项目............也就是说将杀软的启动项目也删除了,导致他们开机无法运行同时新闻上说的东西也就是验证了为什么会那样 ADSL PPPOE连接失效，症状为任务栏中连接显示状态不正常，无法正常断开连接，无数据流量。任务栏声音按钮消失。同时声卡失效。病毒自己加了启动项目[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <Microsoft (R) Windows Vista/NT Runtime Compatibility Service><C:\WINDOWS\NT\nrcs.exe> [] 并建立服务 [Windows Vista/NT Runtime Compatibility Service / ntrcs] <C:\WINDOWS\NT\nrcs.exe><N/A>
mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York

mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York	发表于： 2006-08-16 07:44 \| 显示全部短消息资料字号：小中大 3楼解决方案由于这个“魔鬼波”蠕虫借微软新漏洞来袭针对2000 &xp sp1 1)请及时下载补丁微软MS06-040Server服务漏洞可能允许远程执行代码补丁下载地址：中文Windows 2000 Service Pack 4： http://download.microsoft.com/do ... B921883-x86-CHS.EXE 中文Windows XP Service Pack 1 & Service Pack 2： http://download.microsoft.com/do ... B921883-x86-CHS.exe 中文Windows Server 2003 & Service Pack 1：http://download.microsoft.com/do ... B921883-x86-CHS.exe Windows XP Professional x64 Edition： http://download.microsoft.com/do ... B921883-x64-ENU.exe 2)如果是xp 打开系统带的防火墙 3)最好加个杀软的防火墙+合适的规则 4)用防火墙处阻止端口445\139 5)如果没有防火墙可以用一下关闭端口小软件 Windows Worms Doors Cleaner v1.4.1 下载地址http://www.firewallleaktester.com/tools/wwdc.exe 介绍http://www.firewallleaktester.com/wwdc.htm 感谢霏凡tkabc提供
mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York

mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York	发表于： 2006-08-16 07:45 \| 显示全部短消息资料字号：小中大 4楼 ICRBot Killer 魔波：最近很流行的一个BOT，利用漏洞传播迅速。目前发现两个变种，其中一个变种还下载另外一个木马。这个工具可以顺利清除魔波病毒及其下载的木马。还可以修复被破坏的系统注册表。可以说是比较完美的版本了。自己做了测试比江民,金山等出的还要完美,带了杀一个比较bt的木马解决了ADSL PPPOE连接失效，症状为任务栏中连接显示状态不正常，无法正常断开连接，无数据流量。任务栏声音按钮消失。同时声卡失效。这个打上补丁还出现的问题! 注：只支持XP系统卡卡不支持附件.. 再此转入本人网盘.. http://free.ys168.com/?mopery 另外提供一个.... 下载地址:http://www.ccfox.net/ICRBot Killer.rar 原作者:hzqedison 专杀作者:abc
mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York

mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York	发表于： 2006-08-16 08:00 \| 显示全部短消息资料字号：小中大 5楼自己外加补充... 江民.金山,,同时出了专杀... ------------------------------------------------------------------- 江民相关页面 http://www.jiangmin.com/News/jiangmin/index/important/2006814143542.htm 江民专杀下载地址:http://www.jiangmin.com/download/mocbotkiller.exe 金山相关页面 http://db.kingsoft.com/zt/WargBot/ 金山专杀下载地址:http://download.duba.net/download/othertools/DubaTool_IRCBot.EXE 另外本人网盘一样提供... http://free.ys168.com/?mopery 专杀又出来了进行编辑... 帖子出处:http://bbs.52happy.net/read.php?tid=205337 专杀界面本人网盘内也提供...
mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York

mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York	发表于： 2006-08-17 10:15 \| 显示全部短消息资料字号：小中大 6楼新的专杀..已经出了... 欢迎大家试用...
mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York

mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York	发表于： 2006-08-17 10:49 \| 显示全部短消息资料字号：小中大 7楼很正常的... 有的人也打开不了...几乎都行...
mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT