微点交流论坛

标题: 转帖 xorer病毒对付安全软件的方法 (微点已经解决) [打印本页]

作者: 点饭的百度空间 时间: 2008-1-8 16:51 标题: 转帖 xorer病毒对付安全软件的方法 (微点已经解决)

转载自：http://hi.baidu.com/yimike/blog/ ... 28b382c817682d.html

之前写的分析是建立在江民防火墙监控的基础上的，所以有很多的重要细节都被忽略了，今天重新分析了这个病毒，然后有了这个分析，当然由于俺还是个小菜鸟，所以有些地方可能不够准确和详细，还望高手指点。

Pagefile.pif有如下行为：
1.终止金山毒霸、卡巴斯基等部分杀软进程，向微点等杀软的服务发送Windows消息直至杀软进程挂掉

2.删除 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run，使得大多数安全软件的启动项被删除

3.删除如下注册表键
HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{dda3f824-d8cb-441b-834d-be2efd2c1a33}(删除后可以从临时文件夹执行任意程序）
HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths
HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{dc971ee5-44eb-4fe4-ae2e-b91490411bfc}
HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{94e3e076-8f53-42a5-8411-085bcc18a68d}
HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{81d1fe15-dd9d-4762-b16d-7c29ddecae3f}
HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{7fb9cd2e-3076-4df9-a57b-b813f72dbb91}
HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{349d35ab-37b5-462f-9b89-edd5fbde1328}（删除这5项后可以从网上下载任意程序）
HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes
HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0
HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers
4.获取debug权限，调用cacls.exe修改C:\WINDOWS\system32\com目录及其下子目录LSASS.EXE、SMSS.EXE的权限
5.在%Windir%\system32\com创建以下四个文件：SMSS.EXE、netcfg.000、netcfg.dll、LSASS.EXE。创建%ALLUSERSPROFILE%\「开始」菜单\程序\启动 ~.exe、%systemRoot%\ntfsus.exe
6.运行%systemRoot%\ntfsus.exe
7.调用regsvr32.exe注册netcfg.dll和netcfg.000
8.运行%Windir%\system32\com\LSASS.EXE
9.破坏注册表，使得隐藏和系统文件无法显示

ntfsus.exe运行后有以下行为：
1.创建服务NetApi00，释放并调用Services.exe加载驱动NetApi00.sys。NetApi00.sys加载之后会重置SSDT（NtTerminateProcess指向%Windir%\system32\hal.dll,其他所有函数指向%Windir%\system32\ntkrnlpa.exe），破坏绝大多数杀软的主动防御。2.释放%Windir%\system32\dnsq.dll,挂全局钩，钩住WH_GETMESSAGE，并且注入一些进程，例如LSASS.EXE（病毒进程）、ntfsus.exe、explorer.exe、ctfmon.exe等。被注入dnsq.dll会监视病毒LSASS.EXE进程是否存在
3.被注入dnsq.dll的进程，会监视窗口中是否含有以下关键字，若存在，则终止该进程：
firewall
狙剑
bitdefender
eqsyss
墙
升
防
瑞
mcagent
escan
ewido
升级
SREng
介绍
monitor
kv
微点
费尔
antivir
金山
360anti
360safe
木
avg
dr.web
scan
kissvc
watch
kv
twister
avp
rav
avast
360
kvxp
4.删除以下键，破坏安全模式：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
5.删除服务NetApi00和NetApi00.sys
6.LSASS.EXE出现异常时，以命令行"shutdown.exe -r -f -t 0"来调用shutdown.exe重启系统。

LSASS.EXE运行后有以下行为：
1.调用cacls.exe修改C:\WINDOWS\system32\com目录的权限
2.使用命令cmd.exe /c rd /s /q "C:\WINDOWS\system32\com\netcfg.dll"
               cmd.exe /c rd /s /q "C:\WINDOWS\system32\com\netcfg.000"
               cmd.exe /c rd /s /q "C:\WINDOWS\system32\com\SMSS.EXE"
来删除C:\WINDOWS\system32\com目录下的名为 netcfg.000 和 netcfg.dll的免疫文件夹
3.然后再次在C:\WINDOWS\system32\com下释放SMSS.EXE、netcfg.000、netcfg.dll
4.启动病毒SMSS.EXE
5.以命令“C:\Documents and Settings\All Users\「开始」菜单\程序\启动\~.exe”来调用C:\WINDOWS\system32\com\SMSS.EXE(也就是将病毒SMSS.EXE更名为~.EXE，添加到了启动目录达到开机自启动的目的）
6.调用CMD，以类似于上面的命令来调用SMSS.EXE，将病毒LSASS.EXE复制到各个硬盘和移动设备分区根目录并重命名为pagefile.pif，并创建autorun.inf
7.调用ping.exe来ping.exe -f -n 1 www.baidu.com，检测是否有Internet连接
8.调用IEXPLORE.EXE，连接至121.15.220.104（hxxp://w.c0mo.com/r.htm）下载一个ARP病毒 222.208.183.204（hxxp://js.k0102.com/goto.htm 在后台刷流量）
9.自身连接至222.208.183.204（hxxp://js.k0102.com/go.asp）统计被感染人数

======================================================================

转载) 磁碟机xorer对付安全软件的方法 (作者：轩辕小聪）

这个操作比较“令人发指”。调用PostMessageA，向窗口持续发送消息，消息Msg从0到499！UPX0:00402E26
UPX0:00402E26 loc_402E26:                            ; CODE XREF: sub_4029C7+F9 j
UPX0:00402E26                                        ; sub_4029C7+10F j
UPX0:00402E26                                        ; sub_4029C7+135 j
UPX0:00402E26                                        ; sub_4029C7+158 j
UPX0:00402E26                                        ; sub_4029C7+16E j
UPX0:00402E26                                        ; sub_4029C7+184 j ...
UPX0:00402E26                mov    esi, PostMessageA
UPX0:00402E2C                xor    ebx, ebx
UPX0:00402E2C
UPX0:00402E2E
UPX0:00402E2E loc_402E2E:                            ; CODE XREF: sub_4029C7+476 j
UPX0:00402E2E                push edi       ; lParam
UPX0:00402E2F                push edi       ; wParam
UPX0:00402E30                push ebx       ; Msg
UPX0:00402E31                push dword ptr [ebp+8] ; hWnd
UPX0:00402E34                call esi ; PostMessageA
UPX0:00402E36                inc    ebx
UPX0:00402E37                cmp    ebx, 1F4h ; 500
UPX0:00402E3D                jl short loc_402E2E
UPX0:00402E3D
显然这些发送的消息，其实是“垃圾消息”
其目的，就是要挤占目标窗口的消息队列，使目标窗口的窗口过程忙于处理这些“垃圾消息”，而用户操作时发送的有意义的操作消息，则根本来不及处理！
结果，SREng、IceSword等工具，在打开之后，用户将根本没有办法操作，因为用户操作发送给程序的消息，已经被垃圾消息挤到消息队列后面去了，得不到程序的优先响应。
这是典型的利用Windows消息驱动机制，对目标程序进行攻击使其失去响应能力的方法，有点类似于DDOS，无技术含量，但有效。

微点已经解决此问题，我们会在后续版本升级解决，到时欢迎楼主参加测试

※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出出处！※
http://bbs.micropoint.com.cn/showthread.asp?tid=26004&fpage=1

[ Last edited by 点饭的百度空间 on 2008-1-8 at 16:59 ]

作者: 7ctt 时间: 2008-1-11 20:11 标题: 楼主的部分细节应该省略

楼主的部分细节应该省略,以免被人利用.我只知道前面的特征,不知道还加载驱动.
微点目前仍无法彻底解决,后续版本不知道让我们候到什么时候.听人说微点的内测版已经解决此问题,可公测版还不行!
解决的问题应该包括服务被删除后自动重建服务!

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn