样本来至卡卡,据跟踪,应该是个后门。
过了不少,卡吧、偌顿、AVG等都没有报。
Aditional Information
File size: 35840 bytes
MD5: 35dd26a679f1f63416dac1a58b41b0b9
SHA1: 54dd757c46e55b4e7735d5539713eeffc5a6a04c
CRC32 : DB83B3B5
RIPEMD160: 922669B252DF8C2BCEC268A462DCF6D6BF1E7D75
运行样本```
释放:
%Systemroot%\system32\DocProp1.dll 20992 字节
%Systemroot%\system32\msv1_1.dll 7680 字节
%Systemroot%\system32\servers.ini 138 字节
创建注册表:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\msv1_1]
"Asynchronous"=dword:00000000
"DllName"=hex(2):6d,00,73,00,76,00,31,00,5f,00,31,00,2e,00,64,00,6c,00,6c,00,\
00,00
"Impersonate"=dword:00000000
"Logon"="fnopendll"
其中msv1_1.dll插入Winlogon.exe(核心)进程。并隔一段时间利用IE调用dw15 -x -s 连接外部(实现反弹连接)
应该是下载一些乱七八糟的东东,不过测试时并未实现。
SSM的日志:
Parent process:
Path: C:\program files\Internet Explorer\IEXPLORE.EXE
PID: 1524
Information: Internet Explorer (Microsoft Corporation)
Child process:
Path: C:\program files\Internet Explorer\DW15.EXE
Information: Microsoft Application Error Reporting (Microsoft Corporation)
Command line:dw15 -x -s 600
并每隔60秒调用regsvr32.exe注册serverhelp.dll(%Systemroot%\system32\下的),测试并未发现生成。
好像还遍历生成了Autorun.inf和icvas.exe(不能验证)。
解决方法:
[url]http://free.ys168.com/?gudugengkekao[/url]下载:
冰刃(增强版).rar 555KB
PowerRmv.com 101KB
SREng.rar 597KB
下载后直接放桌面,不能下载的话自己去网上找。关闭不必要的进程,断开网络。
方法一:
1、运行冰刃,文件―设置―禁止进线程创建-确定。有看到IE进程的话全部结束掉。
2、打开冰刃文件功能,展开到C:\Windows\system32\下(如果是2K、ME系统的话是C:\Winnt\system32\)删除:
DocProp1.dll msv1_1.dll servers.ini
3、用冰刃的注册表功能,展开到:
KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\下
把msv1_1这整个项删除, 切记不要看错了。
4、如果在分区下有看到Autorun.inf和icvas.exe的话删除掉。(没有则忽略)
5、冰刃―重启并监视―确定。
6、重启完后打开SREng如果有看到msv1_1项不要删除,编辑置空(没有的话忽略)
方法二:
打开PowerRMV,填入:
C:\windows\system32\DocProp1.dll
C:\windows\system32\msv1_1.dll
C:\windows\system32\servers.ini
如果是是2K、ME系统的话是把C:\windows\路径改成:C:\Winnt\system32\
开始―运行―regedit,展开到:
KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\下
把msv1_1这整个项删除, 切记不要看错了
(不能删除的话,用冰刃的注册表功能)
打开SREngmsv1_1项不要删除,编辑置空(没有的话忽略)