我是一个菜鸟,第一次学别人分析病毒,做得不好,大家多多包涵。
因为分析的是比较接近系统底层的机器狗,若有很多错漏的。请高手们指出,谢谢。
学无止境,以后还得更加刻苦学习才行,经过这次的分析,让我懂得我有太多太多不懂了。。。。
病毒新颖的地方就是通过感染系统关键的DLL,使它在保持原来的功能的前提下,打开被病毒感染的另一个系统文件。
与修改系统文件输入表,感染DLL差不多,但是危害性要更强,切不可把dubug.exe先替换,重启后无法进入系统……
作者:墨羽刃(防止万一还是说说吧)
样本名:Gameeeeeee.pif
卡巴斯基:Trojan-PSW.Win32.QQPass.dcg
江民:Trojan/PSW.QQPass.trm
金山:Win32.PSWTroj.QQPass.87040
大蜘蛛:MULDROP.Trojan
瑞星:无
MD5:d38139085d83607f895fc91f043ca8e6
壳:winpack
编写语言:不明
环境:虚拟机 系统XP SP2
方式:HIPS(大部分是HIPS,用SSM和EQ2007,有点过时了)
来源:剑盟
附带一个用来打开它的VBS
分析资料:
解密字符串,解出来为:
"%SystemRoot%\system32\comctl32.dll","%SystemRoot%\system32\debug.exe","%SystemRoot%\system32\drivers\ntkapi.sys"
获取系统安装目录,释放一个4位随机字母的程序,然后运行。历遍进程查找"drvanti.exe"
(驱动防火墙)若没有找到会建立一个"E:\NBMSClient\DrvAnti.exe"(???意图不明)释放ntkapi.sys到driver文件夹,并创建一个服务,服务名为Ntsapi。然后删除ntkapi.sys,达到隐蔽的目的。找到ntdll.dll,获得函数ZwQuerySystemInformation的地址,用ZwQuerySystemInformation得到"ntoskrnl.exe"地址,然后用LoadLibraryEx装入。导出SSDT表,但是EQ和SSM的挂钩貌似没有被还原,还有……(应该还有,我看不出来了,我是菜鸟不好意思……)对自身进行提权,历遍进程查找"ravmond.exe"进程,找到后用函数ZwTerminateProcess终止进程。然后轮到"ccenter.exe"进程了,也是瑞星的……(瑞星的进程,瑞星的自我防护一向不怎么好,估计是会被终止的)。。后面,就是360的"360tray.exe"啦,专挑软骨头啃……
重头戏,穿还原建立"C:\WINDOWS\system32\debug.exe",这个系统原来也有,是调试应用程序用的,应该是覆盖建立。读取物理硬盘,然后就一直对物理硬盘的读写……很难看,也不大懂。。跳过……
再穿还原覆盖"C:\WINDOWS\system32\comctl32.dll"(这个原文件是管理WINDOWS的GUI界面,即图形界面。被覆盖后有问题,会导致系统开机的时候黑屏,无法进入系统。。。好白痴的做法。。)
这些操作,SSM与EQ均无反应。据说是把文件加载到内存中,然后读写后覆盖原文件。
查找注册表的"SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\360safebox.exe",应该是360的保险箱。找到的话,获取安装的路径。不知道要干吗,我这里没有,退出了。有时间再看
最后,退出原先的穿还原的服务Ntsapi,为了保险,重新删除一次ntkapi.sys。-_-||
释放一个P处理,删除自身,退出进程,让P处理删除 game finish!
E盾日志:
2008-08-12 12:23:34 创建文件 操作:允许
进程路径:C:\Documents and Settings\aa\桌面\脱壳.exe
文件路径:C:\WINDOWS\qgha.exe
触发规则:所有程序规则->系统文件->%WinDir%\*.exe
2008-08-12 12:36:05 创建文件 操作:允许
进程路径:C:\Documents and Settings\aa\桌面\脱壳.exe
文件路径:C:\WINDOWS\system32\drivers\ntkapi.sys
触发规则:所有程序规则->系统文件->%WinDir%\system32\drivers\*.sys
2008-08-12 12:37:37 安装服务或者驱动 操作:允许
进程路径:C:\WINDOWS\system32\services.exe
文件路径:C:\WINDOWS\system32\drivers\ntkapi.sys
触发规则:所有程序规则->*
2008-08-12 13:14:27 删除文件 操作:允许
进程路径:C:\Documents and Settings\aa\桌面\脱壳2_.exe
文件路径:C:\WINDOWS\system32\drivers\ntkapi.sys
触发规则:所有程序规则->系统文件->%WinDir%\system32\drivers\*.sys
================(我是美丽的分割线^_^)======================================================================
释放文件:****.exe(四位随机字母名)
瑞星:Trojan.DL.Win32.Mnless.atb
江民:TrojanDownloader.Agent.aimk
卡巴:Trojan-PSW.Win32.QQPass.dcg
金山:无
大蜘蛛:Trojan.DownLoad.3943
MD5:448985f7568c384e35e45ba32736dbb8
壳:winpack
编写语言:不明
分析资料:
判断是否有互斥体"__MYDOWN_MUTEX_",有则退出,防止重复打开,无则创建。解密字符串,解出的结果为:
"c:\tmp.dat"
"hxxp://1ni8sami.cn/9/jx.txt"
"
http://www.baidu.com"
"
http://www.google.cn"
历遍进程,找"360TRAY.EXE",找到后终止。
获得系统system32目录,进而找到"C:\WINDOWS\system32\dllcache\taskmgr.exe"文件(任务管理器的备分文件)
删除C:\WINDOWS\system32\taskmgr.exe(原任务管理器),由WINDOWS的保护机制,会把文件从dllcache拷贝过来覆盖。这样任务管理器就成了病毒,而你按热键调出任务管理器的时候,就会启动病毒文件。
这个病毒是个下载器,负责下载病毒,约30个。很多,要的话,获取上面的TXT,它记录了要下载的病毒地址。下载后是呈四位随机字母放在C盘的。然后打开。估计是先PING 百度和google,判断网络是否连通。然后才下载的病毒。over
==================(万恶的分割线-_-+)=========================================================================
感染文件:debug.exe
21882ace9a596593cd6721faeff4a58e
壳:winpack
分析资料:
判断是否有互斥体"__MYDOWN_MUTEX_"有则退出,防止重复打开,无则创建。
后面的功能和上面的随机四位数功能一样,也是下载者。不做分析了……(其实是看不懂了,偷个懒)
===================(分割线,最后一次)==========================================================================
感染文件:comctl32.dll
MD5:252232a18c7b05d60f4cfb0474baa44f
分析资料:
保持有原文件的功能,所以系统可以正常打开……但是,删除了或者替换了debug.exe后,它检测不是病毒文件的话,就会退出,由于这个DLL是图形界面的关键文件,它的退出会让系统无法正常打开……所以,要慎重对付它。如果它不解决掉,几乎所有程序在打开和关闭的时候都会调用debug.exe这个被修改的病毒文件。
解决方法:
从干净的系统中复制comctl32.dll,debug.exe,和taskmgr.exe到C:\WINDOWS\system32\下面替换掉原文件。
comctl32.dll,debug.exe这两个可以从C:\WINDOWS\system32\dllcache\找到备份的,而taskmgr.exe不行,必须从另外的系统拷贝一份和你 的系统相同的文件才行。
把这分隔线中的代码复制到记事本文件中(即*.txt)
###############################################################################################################
@echo off
cd C:\WINDOWS\system32
ren debug.exe llkcll
ren comctl32.dll llkclll
copy C:\WINDOWS\system32\dllcache\debug.exe C:\WINDOWS\system32\debug.exe
copy C:\WINDOWS\system32\dllcache\comctl32.dll C:\WINDOWS\system32\comctl32.dll
echo 请重新启动系统……
pause >>null
###############################################################################################################
然后选“文件”——“另存为”——文件名为“fix.bat”(主意后缀一定要是bat)
然后打开fix.bat,之后重新启动系统。病毒不会自动启动了,但是,切记不能打开任务管理器。
最后替换了任务管理器后就可以开始清理木马群了。清理木马群可以用SRENG扫描一份日志发到
http://bbs.kingzoo.com
病毒救援区,或者下载windows清理助手清理。当然,使用杀软也是一个办法。
