"梦中情人sbl"新变种"snow.exe,snowfall.exe"的分析

 

作者:清新阳光                                                            ( [url]http://hi.baidu.com/newcenturysun[/url] )
日期:2007/10/28                                                         (转载请保留此申明)

样本来自卡饭,此病毒即原先分析过的sbl.exe系列的变种

File: AnHao.exe
Size: 35840 bytes
File Version: 6.00.2900.3156 (xpsp_sp2_gdr.070613-1234)
Modified: 2007年10月28日, 12:34:23
MD5: 53E349555372ADE49D4FF6C195DCEF5C
SHA1: E11B37AF59B6D4B5C64BB0DB600B7AC51D3F3226
CRC32: 1E49FEA3

技术细节:
1、释放病毒副本:
%systemroot%\system32\1.inf
%systemroot%\system32\forget.dll
%systemroot%\system32\snowfall.exe

检测各个分区根目录下是否有autorun.inf的文件或者文件夹,如果有则将其改名为AnHao
然后在各个分区释放autorun.inf和snow.exe达到通过U盘传播的目的
并每隔9s检测是否存在,如不存在,则重写

%systemroot%\system32\1.inf与autorun.inf内容相同

2.调用cmd.exe 执行cmd.exe /c net stop sharedaccess的命令 关闭 Windows自带的 防火墙

3.调用TerminateProcess函数关闭如下进程
360safe.exe
360tray.exe

4.提升自身权限,关闭avp.exe的句柄

5.调用FindWindowTextA函数查找窗口标题,并通过PostMessageA函数发送WM_CLOSE,WM_DESTROY,WM_QUIT的消息关闭带有如下字样的窗口

防火墙
任务管理器
木马清道夫
木马克星
超级巡警
主线程
NOD32核心
微点
安全卫士
木马杀客
NOD32 内核
杀毒
江民
金山

6.在HKLM\software\microsoft\windows NT\currentversion\image file execution options下面添加项目映像劫持以下杀毒软件和安全工具

360rpt.exe
360Safe.exe
360tray.exe
adam.exe
AgentSvr.exe
AppSvc32.exe
autoruns.exe
avgrssvc.exe
AvMonitor.exe
avp.com
avp.exe
CCenter.exe
ccSvcHst.exe
FileDsty.exe
FTCleanerShell.exe
HijackThis.exe
IceSword.exe
iparmo.exe
Iparmor.exe
isPwdSvc.exe
kabaload.exe
KaScrScn.SCR
KASMain.exe
KASTask.exe
KAV32.exe
KAVDX.exe
KAVPFW.exe
KAVSetup.exe
KAVStart.exe
KISLnchr.exe
KMailMon.exe
KMFilter.exe
KPFW32.exe
KPFW32X.exe
KPFWSvc.exe
KRegEx.exe
KRepair.COM
KsLoader.exe
KVCenter.kxp
KvDetect.exe
KvfwMcl.exe
KVMonXP.kxp
KVMonXP_1.kxp
kvol.exe
kvolself.exe
KvReport.kxp
KVSrvXP.exe
KVStub.kxp
kvupload.exe
kvwsc.exe
KvXP.kxp
KWatch.exe
KWatch9x.exe
KWatchX.exe
loaddll.exe
MagicSet.exe
mcconsol.exe
mmqczj.exe
mmsk.exe
NAVSetup.exe
nod32krn.exe
nod32kui.exe
PFW.exe
PFWLiveUpdate.exe
QHSET.exe
Ras.exe
Rav.exe
RavMon.exe
RavMonD.exe
RavStub.exe
RavTask.exe
RegClean.exe
rfwcfg.exe
RfwMain.exe
rfwProxy.exe
rfwsrv.exe
RsAgent.exe
Rsaupd.exe
runiep.exe
safelive.exe
scan32.exe
shcfg32.exe
SmartUp.exe
SREng.exe
symlcsvc.exe
SysSafe.exe
TrojanDetector.exe
Trojanwall.exe
TrojDie.kxp
UIHost.exe
UmxAgent.exe
UmxAttachment.exe
UmxCfg.exe
UmxFwHlp.exe
UmxPol.exe
UpLive.EXE
WoptiClean.exe
zxsweep.exe

7.调用CreateProcess打开进程%systemroot%\system32\spoolsv.exe,把%systemroot%\system32\forget.dll注入到spoolsv.exe中,并调用

urlmon.dll实现 下载功能

下载 [url]http://www.hackceo.com/ts.jif[/url] 到c:\a.exe
下载hxxp://www.hackceo.com/ts.jpg到c:\b.exe
[url]http://www.hackceo.com/ts.rar[/url] 到c:\c.exe
但下载链接均已失效,无法判断是什么病毒...

8.病毒体内有字样“mylovegirlsbl”

解决办法:
下载冰刃:
[url]http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip[/url]
sreng:
[url]http://download.kztechs.com/files/sreng2.zip[/url]

1.解压缩冰刃
把冰刃的Icesword.exe改名为1.com
切换到进程一栏 找到%systemroot%\system32\snowfall.exe
右键 结束进程
Snap1.jpg (107.29 KB)
2007-10-28 18:12


2.(还是在冰刃中)点击左下角的文件按钮
找到如下文件 删除之
%systemroot%\system32\1.inf
%systemroot%\system32\forget.dll
%systemroot%\system32\snowfall.exe并删除各个分区下面的snow.exe和autorun.inf(不要忘记)3.把sreng.exe改名为2.com,运行
启动项目 注册表
删除所有红色的IFEO映像劫持项目
Snap2.jpg (110.25 KB)
2007-10-28 18:12


PS:从拿到第一个版本的sbl到现在这个版本,病毒作者逐渐添加了各种功能,从关闭窗口到现在流行的映像劫持,同时也发现了作者的一些内心情感变化,从先前的“lovesbl”的“表白”,到“dream”,再到现在的“forget”,是不是表明这段感情该结束了呢?希望随着这段感情的结束,作者对于病毒的更新也尽快结束吧!

你可能感兴趣的:(exe,阳光,情人,snowfall,sbl)