病毒EXE主程序部分:
文件大小:35840字节
MD5 校验:ecebfb14005544cc4014d0fbf601f7a0
加壳名称:UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
开发工具:Microsoft Visual C++ 6.0
壳结尾处:004194EB - E9 1CA9FEFF JMP l9.00403E0C
入口地址:00003E0C
解密函数(所有用到的字符串都是加密存放的):
00403869 E8 12F5FFFF CALL l9.00402D80
解密后的所有字符串如下:
0012FE58 0040BFD4 ASCII "{701407A4-B171-4E8A-AD7C-F594B07B2800}"
0012FE78 0040BFFC ASCII "%s%s.dll"
0040C008=l9.0040C008 (ASCII "%sdrivers%s.sys")
0040C020=l9.0040C020 (ASCII "rundll32.exe")
0040C030=l9.0040C030 (ASCII "DllRegisterServer")
0040C044=l9.0040C044 (ASCII "%s%s %s%s.dll,%s")
0040C058=l9.0040C058 (ASCII "NotePad")
0040C060=l9.0040C060 (ASCII "WinWord")
0040C068=l9.0040C068 (ASCII "msvcrt.dll")
0040C074=l9.0040C074 (ASCII ".Globalrkdoor")
0040C088=l9.0040C088 (ASCII ".GlobalLocalSystemX")
0040C0A8=l9.0040C0A8 (ASCII "SOFTWAREMicrosoftWindowsCurrentVersion")
0040C0D4=l9.0040C0D4 (ASCII "ping -n 3 127.0.0.1>nul")
0040C0EC=l9.0040C0EC (ASCII ":Repeat")
0012FE48 0040C0F4 ASCII "del "%s""
0040C100=l9.0040C100 (ASCII "if exist "%s" goto Repeat")
0040C11C=l9.0040C11C (ASCII "cd %c:")
0040C124=l9.0040C124 (ASCII "del %0")
0040C12C=l9.0040C12C (ASCII "%s%s.bat")
运行函数:
004038F2 E8 29E3FFFF CALL l9.00401C20
创建窗口:
00401C66 FF15 C8404000 CALL DWORD PTR DS:[4040C8] ; USER32.CreateWindowExA
程序会在创建窗口的过程中,运行如下代码(只摘录了函数入口地址):
004020F0 55 PUSH EBP
病毒执行的功能函数(放的地方很隐蔽,一般很难动态跟踪定位到这里):
00402136 E8 B5F1FFFF CALL l9.004012F0 ;以读写方式打开设备".Globalrkdoor"
0040213B 85C0 TEST EAX,EAX ;对比
0040213D 75 05 JNZ SHORT l9.00402144 ;判断设备是否可以打开(是否存在)
0040213F E8 2C130000 CALL l9.00403470 ;不存在则在这里创建,并进行所有其它的安装操作
释放病毒DLL组件文件(文件名随机):
C:WINDOWSsystem32*.dll
释放病毒驱动文件(文件名随机,驱动以服务方式安装运行):
C:WINDOWSsystem32drivers*.sys
创建注册表标记项:
00402D41 E8 BAE2FFFF CALL l9.00401000
注册表标记项位置如下(名称全部随机):
"HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionAfUlRqs"
0012EF1C 0012F2BC |ValueName = "vybx"
0012EF1C 0012F2EC |ValueName = "mqnyr"
0012EF1C 0012F334 |ValueName = "ejusad"
0012EF1C 0012F31C ASCII "vensham"
加载运行释放出来的病毒DLL组件程序:
0012F054 0012F07C ASCII "C:WINDOWSsystem32rundll32.exe C:WINDOWSsystem32*.dll,DllRegisterServer"
创建批处理文件调用运行,实现自我删除:
C:WINDOWSsystem32*.bat
关闭退出。
-----------------------------------------------------------------------------------------------
病毒DLL组件部分:
文件大小:45056字节
MD5 校验:文件MD5值不固定,受配置信息干扰
开发工具:Microsoft Visual C++ 6.0 DLL
未加壳,但DLL中的所有字符串全部加密保存。
DLL中有4个导出函数:
DllCanUnloadNow
DllGetClassObject
DllRegisterServer
DllUnregisterServer
恶意网址:
[url]http://www.outhang.cn/api.php?[/url]
[url]http://www.outhang.cn/update.php?[/url]
表单结构:
id=%d&mac=%s&type=%d&setupdate=%d%02d%02d&homepage=%s
id=%d&updateversion=%d
-----------------------------------------------------------------------------------------------
病毒SYS驱动部分:
文件大小:28608字节
MD5 校验:文件MD5值不固定,受配置信息干扰
驱动功能:
1、保护病毒主程序释放出来的DLL文件、SYS文件和系统HOSTS文件,使之不被修改、删除。
2、监视保护驱动程序自身服务启动项(删除后会重新创建)。
3、保护驱动程序自身正在运行着的服务,使之不被停止、终止、禁用、删除。
4、驱动服务启动(启动优先级为“Boot”)后,会自动调用DLL组件运行(用“rundll32.exe”加载调用)。
5、设置系统IE浏览器的默认首页为“[url]http://www.3929.cn/?tn=102731[/url]”(“tn=”后面的编号不唯一)。
该病毒就只有唯一一个启动项,那就是这个恶意驱动程序的服务项,启动优先级为“Boot”。
-----------------------------------------------------------------------------------------------
手动删除该病毒的方法步骤(经过实际测试绝对有效):
第一步:寻找判断定位病毒释放出来的DLL和SYS的文件名称(DLL和SYS加一起一共两个文件)。
第二步:使用PE盘启动计算机,删除掉病毒释放出来的DLL和SYS文件(DLL和SYS加一起一共两个文件,删除前请事先备份)。
第三步:重新启动计算机进入正常系统,删除掉驱动的服务启动和其它注册表残留。
第四步:打开“IE设置选项”,设置您想要设置的默认IE浏览器主页。
第五步:使用杀毒软件进行全盘查杀病毒(该病毒为木马下载器下载到您计算机中的病毒,那个木马下载器还下载了N多其它病毒也同时安装到了您的计算机系统中)。
第六步:该病毒清理完毕。