转自 http://gudugengkekao.blog.51cto.com/172212/31135
一个捆绑型的病毒,还能下木马```
样本来至剑盟````有点意思,破例开了双HIPS跟踪``
今天的卡吧、AVG、BitDefender、NOD32等都没有报``
瑞星报的是:Worm.Delf.dy
Aditional Information
File size: 20000 bytes
MD5: 3087e68819f9521b7f8be1a17734c3fe
SHA1: 82b39340a3da0bdde544f0f5e6b9df81e71797a2
CRC32 : 1C5A03D
RIPEMD160: 397194446721BA5D7DD6A79CC2ADDC5690D9E49F
Tiger_192: 4C55317A0FEEA4579665AE892B112E57972671985F50ABAC
SHA160 : 82B39340A3DA0BDDE544F0F5E6B9DF81E71797A2
packers: Upack 0.3.9 beta2s
Languages:Borland Delphi 6.0-7.0
运行,释放:
C:\WINNT\system\internat.exe 20000 字节
C:\WINNT\system\SYSTEM32.vxd 855 字节
1_.ii 20000 字节
1、internat.exe常驻进程,调用CMD的Dir命令,遍历分区搜索EXE可执行文件,保存列表至:%Windir%\win.log
并修改所有运行中的程序的内存空间(便于用来后来捆绑)
2、按win.log里列表的"黑名单"进行捆绑,跳过系统盘、System Volume Information、Recycled文件夹和下列文件名:
CA.exe NMCOSrv.exe CONFIG.exe Updater.exe WE8.exe settings.exe PES5.exe PES6.exe
zhengtu.exe xenettools.exe laizi.exe proxy.exe Launcher.exe WoW.exe Repair.exeBackgroundDownloader.exe eo2_unins_web.exe O2Jam.exe O2JamPatchClient.exe
O2ManiaDriverSelect.exe OTwo.exe sTwo.exe GAME2.EXE GAME3.EXE Game4.exe game.exe hypwise.exe Roadrash.exe O2Mania.exe Lobby_Setup.exe eCoralQQ.exe QQ.exe QQexternal.exe BugReport.exe tm.exe ra2.exe ra3.exe ra4.exeexedzh.exe Findbug.EXE fb3.exe Meteor.exe mir.exe
KartRider.exe NMService.exeztconfig.exe patchupdate.exe
貌似都是网游、QQ等进程,给下载木马盗号埋下伏笔.....
3、接下来从D盘开始进行捆绑感染,被捆绑的文件增加21034字节。用WinHex对比了下,原来是把病毒代码捆绑到文件尾部,并修改了PE头,优先执行捆绑尾部的代码,后执行程序。(原程序运行无影响)。
4、另一个线程,参数是/update,连接222.220.16.186(TCP)下载16个木马,都是盗号木马(隔段时间重新连接)
被捆绑后文件,运行后首先执行1_.ii,后在同目录下生成个批处理,内容为:
:try
del "%病毒路径%\1_.ii"
if exist "%病毒路径%" goto try
del %0
也就是执行捆绑尾部的病毒后删除自身
那么每次运行被感染的程序其实就是重新激活病毒,重头做上面那些,并遍历分区生成
Autorun.inf和Steup.exe
Autorun.inf内容:
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\打开(&O)\command=setup.exe
达到双击分区激活病毒的效果,并支持U盘等移动介质传播。
没有特别好的解决方法,因为每个被“感染”的文件都等于是病毒,只要不小心运行感染的文件后,之前做的一切将都是徒劳的。
最大限度遏制方法:
http://free.ys168.com/?gudugengkekao1下载:
PowerRmv.com 101KB
SREng.rar 597KB
打开PowerRmv,选上抑制对象再次生成,填入(一次一个,找不到的忽略):
C:\Windows\Win.log
C:\Windows\system32\upxdnd.dll
C:\Windows\system32\msdebug.dll
C:\Windows\system32\windhcp.ocx
C:\Windows\system32\nwizdh.exe
C:\Windows\system32\msccrt.dll
C:\Windows\system32\RemoteDbg.dll
C:\Windows\system32\WinForm.dll
C:\Windows\system32\AVPSrv.dll
C:\Windows\system32\Kvsc3.dll
C:\Windows\system\internat.exe
C:\Windows\system\1.exe
C:\Windows\system\2.exe
C:\Windows\system\5.exe
C:\Windows\system\6.exe
C:\Windows\system\7.exe
C:\Windows\system\8.exe
C:\Windows\system\9.exe
C:\Windows\system\10.exe
C:\Windows\system\14.exe
C:\Windows\system\SYSTEM32.vxd
C:\Windows\upxdnd.exe
C:\Windows\msccrt.exe
C:\Windows\WinForm.exe
C:\Windows\AVPSrv.exe
C:\Windows\Kvsc3.exe
C:\autorun.inf
C:\setup.exe
D:\autorun.inf
D:\setup.exe
E:\autorun.inf
E:\setup.exe
F:\autorun.inf
F:\setup.exe
*:\autorun.inf
*:\setup.exe
*为移动介质盘符。
打开SREng删除:
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<k55d7c><C:\DOCUME~1\admin\LOCALS~1\Temp\iexplorer.exe> []
<13e2><C:\DOCUME~1\admin\LOCALS~1\Temp\c0nime.exe> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<WinForm><C:\winnt\WinForm.exe> []
<upxdnd><C:\winnt\upxdnd.exe> []
<msccrt><C:\winnt\msccrt.exe> []
<AVPSrv><C:\winnt\AVPSrv.exe> []
<Kvsc3><C:\winnt\Kvsc3.exe> []
服务
[WIKLD / WIKLD][Stopped/Manual Start]
<C:\DOCUME~1\admin\LOCALS~1\Temp\WIKLD.exe><N/A>
[Remote Debug Service / RemoteDbg][Stopped/Auto Start]
<C:\winnt\system32\rundll32.exe RemoteDbg.dll,input><Microsoft Corporation>
[Windows DHCP Service / WinDHCPsvc][Stopped/Auto Start]
<C:\winnt\system32\rundll32.exe windhcp.ocx,input><Microsoft Corporation>
记得修改QQ、邮箱等密码。。。。
然后把病毒文件上报杀软,等识别吧`````
如果有兴趣的,可以用WinHex删除捆绑的数据,我成功了几个,不过蛮累的,不推荐....
p.s:帮上司做实验,结果自己也壮烈了,甚是悲哀…… 俺把病毒主体全给清了,但是却没法子恢复被感染的文件,只好用E盾一一禁止,累s。希望瑞星尽快搞个专杀!
