“不简单”的小熊远程控制
样本来至剑盟```据说能关360安全卫士监控``
自己大概跟踪了下,是个小熊的远控``
能过卡吧主动防御和关闭360安全卫士监控```
Aditional information
File size: 343661 bytes
CRC32 : D1CE6C9A
MD5: ccb23ce816ba0d9ec4d07729bda18481
SHA1: cbfba1fc9b4b03ab0675aba013d9108978d491b1
SHA160 : CBFBA1FC9B4B03AB0675ABA013D9108978D491B1
packers: BINARYRES, BINARYRES
Languages:Borland Delphi 6.0 - 7.0
运行```单单释放:
%systemroot%\system32\adbits.dll 320512 字节
然后使用了另类的隐蔽技术,
替换服务!
被更改的服务是BITS
原来BITS正常的ServiceDll值是qmgr.dll,被替换成病毒文件(adbits.dll)!!!
这种替换技术一般都比较少用,可能会因为兼容或病毒其他问题导致系统崩溃``
如果冒然删除adbits.dll 的话,那么BITS这个服务也报废了 :(
庆幸的是并不能绕过MS的数字签字,SREng日志可见。
随后qmgr.dll依附宿主Svchost,查找AVP.AlertDialog和360SafeMonClass窗口类``
尝试关闭360安全卫士监控和卡吧的主动防御窗口,并调用SendMessageA模拟鼠标操作``
试图点击窗口出现的“允许”按钮,如果不成功,则模拟“跳过”,否则强制关闭监控窗口。
由于没有卡吧和360``故无法未验证,可能不准确``
不过替换服务它确实那样做了`` :D
SSM日志:
Process:
Path: C:\Documents and Settings\admin\桌面\server\server.exe
PID: 1396
Registry Group: Services
Object:
Registry key: HKLM\SYSTEM\CurrentControlSet\Services\BITS\Parameters
Registry value: ServiceDll
New value:
Type: REG_EXPAND_SZ
Value: C:\winnt\system32\adbits.dll
Previous value:
Type: REG_EXPAND_SZ
Value: C:\WINNT\system32\qmgr.dll
Path: C:\Documents and Settings\admin\桌面\server\server.exe
PID: 1396
Registry Group: Services
Object:
Registry key: HKLM\SYSTEM\CurrentControlSet\Services\BITS\Parameters
Registry value: ServiceDll
New value:
Type: REG_EXPAND_SZ
Value: C:\winnt\system32\adbits.dll
Previous value:
Type: REG_EXPAND_SZ
Value: C:\WINNT\system32\qmgr.dll
SREng日志:
[Background Intelligent Transfer Service / BITS][Running/Auto Start]
<C:\winnt\system32\svchost.exe -k BITSgroup-->C:\winnt\system32\adbits.dll><N/A>
<C:\winnt\system32\svchost.exe -k BITSgroup-->C:\winnt\system32\adbits.dll><N/A>
最后adbits.dll利用宿主反弹连接(又饶过XX防火墙了 =。=)
(SSM的ND拦下)
先往192.168.0.1发TCP的数据包试探网路是否通``
(我点拒绝了`` )
还带有Sock5后门``
此后再无动静………… Zzzzzzzzz````
解决方法:
[url]http://free.ys168.com/?gudugengkekao[/url]
下载冰刃:
冰刃(增强版).rar 555KB
后断开网络,关闭不需要的进程```
打开冰刃,删除:
C:\Windows\system32\adbits.dll
这时候你会发现BITS服务已不可用,先看看BITS的描述吧:
本工具将后台智能传送服务 (BITS) 更新到版本 2.0。Windows Update 和某些应用程序依赖于 BITS 来使用空闲网络带宽在后台传送文件。WinHTTP 更新程序也包括在其中以确保 BITS 可靠运行。
(转至网络,3Q``)
如果你认为不需要这个服务的话``就删除吧``可以用SREng或冰刃
冰刃的注册表功能删除:
打开到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
把BITS整个键删除``
如果觉得有用的话,修改BITS下的Parameters\ServiceDll
原本为C:\Windows\system32\adbits.dll 修改为C:\Windows\system32\qmgr.dll
```重启电脑,尽可能修改QQ、网游、邮箱、MSN等密码```````
