微点交流论坛 - 反病毒 - 转帖 xorer病毒对付安全软件的方法 (微点已经解决)

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 反病毒 » 转帖 xorer病毒对付安全软件的方法 (微点已经解决)

点饭的百度空间
银牌会员

积分 2315
发帖 2236
注册 2007-11-30

#1 转帖 xorer病毒对付安全软件的方法 (微点已经解决)

转载自：http://hi.baidu.com/yimike/blog/ ... 28b382c817682d.html

之前写的分析是建立在江民防火墙监控的基础上的，所以有很多的重要细节都被忽略了，今天重新分析了这个病毒，然后有了这个分析，当然由于俺还是个小菜鸟，所以有些地方可能不够准确和详细，还望高手指点。

Pagefile.pif有如下行为：
1.终止金山毒霸、卡巴斯基等部分杀软进程，向微点等杀软的服务发送Windows消息直至杀软进程挂掉

2.删除 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run，使得大多数安全软件的启动项被删除

3.删除如下注册表键
HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{dda3f824-d8cb-441b-834d-be2efd2c1a33}(删除后可以从临时文件夹执行任意程序）
HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths
HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{dc971ee5-44eb-4fe4-ae2e-b91490411bfc}
HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{94e3e076-8f53-42a5-8411-085bcc18a68d}
HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{81d1fe15-dd9d-4762-b16d-7c29ddecae3f}
HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{7fb9cd2e-3076-4df9-a57b-b813f72dbb91}
HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{349d35ab-37b5-462f-9b89-edd5fbde1328}（删除这5项后可以从网上下载任意程序）
HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes
HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0
HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers
4.获取debug权限，调用cacls.exe修改C:\WINDOWS\system32\com目录及其下子目录LSASS.EXE、SMSS.EXE的权限
5.在%Windir%\system32\com创建以下四个文件：SMSS.EXE、netcfg.000、netcfg.dll、LSASS.EXE。创建%ALLUSERSPROFILE%\「开始」菜单\程序\启动 ~.exe、%systemRoot%\ntfsus.exe
6.运行%systemRoot%\ntfsus.exe
7.调用regsvr32.exe注册netcfg.dll和netcfg.000
8.运行%Windir%\system32\com\LSASS.EXE
9.破坏注册表，使得隐藏和系统文件无法显示

ntfsus.exe运行后有以下行为：
1.创建服务NetApi00，释放并调用Services.exe加载驱动NetApi00.sys。NetApi00.sys加载之后会重置SSDT（NtTerminateProcess指向%Windir%\system32\hal.dll,其他所有函数指向%Windir%\system32\ntkrnlpa.exe），破坏绝大多数杀软的主动防御。2.释放%Windir%\system32\dnsq.dll,挂全局钩，钩住WH_GETMESSAGE，并且注入一些进程，例如LSASS.EXE（病毒进程）、ntfsus.exe、explorer.exe、ctfmon.exe等。被注入dnsq.dll会监视病毒LSASS.EXE进程是否存在
3.被注入dnsq.dll的进程，会监视窗口中是否含有以下关键字，若存在，则终止该进程：
firewall
狙剑
bitdefender
eqsyss
墙
升
防
瑞
mcagent
escan
ewido
升级
SREng
介绍
monitor
kv
微点
费尔
antivir
金山
360anti
360safe
木
avg
dr.web
scan
kissvc
watch
kv
twister
avp
rav
avast
360
kvxp
4.删除以下键，破坏安全模式：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
5.删除服务NetApi00和NetApi00.sys
6.LSASS.EXE出现异常时，以命令行"shutdown.exe -r -f -t 0"来调用shutdown.exe重启系统。

LSASS.EXE运行后有以下行为：
1.调用cacls.exe修改C:\WINDOWS\system32\com目录的权限
2.使用命令cmd.exe /c rd /s /q "C:\WINDOWS\system32\com\netcfg.dll"
               cmd.exe /c rd /s /q "C:\WINDOWS\system32\com\netcfg.000"
               cmd.exe /c rd /s /q "C:\WINDOWS\system32\com\SMSS.EXE"
来删除C:\WINDOWS\system32\com目录下的名为 netcfg.000 和 netcfg.dll的免疫文件夹
3.然后再次在C:\WINDOWS\system32\com下释放SMSS.EXE、netcfg.000、netcfg.dll
4.启动病毒SMSS.EXE
5.以命令“C:\Documents and Settings\All Users\「开始」菜单\程序\启动\~.exe”来调用C:\WINDOWS\system32\com\SMSS.EXE(也就是将病毒SMSS.EXE更名为~.EXE，添加到了启动目录达到开机自启动的目的）
6.调用CMD，以类似于上面的命令来调用SMSS.EXE，将病毒LSASS.EXE复制到各个硬盘和移动设备分区根目录并重命名为pagefile.pif，并创建autorun.inf
7.调用ping.exe来ping.exe -f -n 1 www.baidu.com，检测是否有Internet连接
8.调用IEXPLORE.EXE，连接至121.15.220.104（hxxp://w.c0mo.com/r.htm）下载一个ARP病毒 222.208.183.204（hxxp://js.k0102.com/goto.htm 在后台刷流量）
9.自身连接至222.208.183.204（hxxp://js.k0102.com/go.asp）统计被感染人数

======================================================================

转载) 磁碟机xorer对付安全软件的方法 (作者：轩辕小聪）

这个操作比较“令人发指”。调用PostMessageA，向窗口持续发送消息，消息Msg从0到499！UPX0:00402E26
UPX0:00402E26 loc_402E26:                            ; CODE XREF: sub_4029C7+F9 j
UPX0:00402E26                                        ; sub_4029C7+10F j
UPX0:00402E26                                        ; sub_4029C7+135 j
UPX0:00402E26                                        ; sub_4029C7+158 j
UPX0:00402E26                                        ; sub_4029C7+16E j
UPX0:00402E26                                        ; sub_4029C7+184 j ...
UPX0:00402E26                mov    esi, PostMessageA
UPX0:00402E2C                xor    ebx, ebx
UPX0:00402E2C
UPX0:00402E2E
UPX0:00402E2E loc_402E2E:                            ; CODE XREF: sub_4029C7+476 j
UPX0:00402E2E                push edi       ; lParam
UPX0:00402E2F                push edi       ; wParam
UPX0:00402E30                push ebx       ; Msg
UPX0:00402E31                push dword ptr [ebp+8] ; hWnd
UPX0:00402E34                call esi ; PostMessageA
UPX0:00402E36                inc    ebx
UPX0:00402E37                cmp    ebx, 1F4h ; 500
UPX0:00402E3D                jl short loc_402E2E
UPX0:00402E3D
显然这些发送的消息，其实是“垃圾消息”
其目的，就是要挤占目标窗口的消息队列，使目标窗口的窗口过程忙于处理这些“垃圾消息”，而用户操作时发送的有意义的操作消息，则根本来不及处理！
结果，SREng、IceSword等工具，在打开之后，用户将根本没有办法操作，因为用户操作发送给程序的消息，已经被垃圾消息挤到消息队列后面去了，得不到程序的优先响应。
这是典型的利用Windows消息驱动机制，对目标程序进行攻击使其失去响应能力的方法，有点类似于DDOS，无技术含量，但有效。

微点已经解决此问题，我们会在后续版本升级解决，到时欢迎楼主参加测试

※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出出处！※
http://bbs.micropoint.com.cn/showthread.asp?tid=26004&fpage=1

[ Last edited by 点饭的百度空间 on 2008-1-8 at 16:59 ]

※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-1-8 16:51

7ctt
新手上路

积分 17
发帖 17
注册 2007-12-24

#2 楼主的部分细节应该省略

楼主的部分细节应该省略,以免被人利用.我只知道前面的特征,不知道还加载驱动.
微点目前仍无法彻底解决,后续版本不知道让我们候到什么时候.听人说微点的内测版已经解决此问题,可公测版还不行!
解决的问题应该包括服务被删除后自动重建服务!

※ ※ ※ 本文纯属【7ctt】个人意见，与【微点交流论坛】立场无关※ ※ ※

杀毒软件中我一直支持微点！

2008-1-11 20:11

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号