Board logo

标题: ini.exe fuckme.vbs 伪造卡巴斯基数字签名 熊猫烧香同族蠕虫Net-Worm.Win32.AutoRun.b [打印本页]
作者: 点饭的百度空间     时间: 2010-8-27 21:22    标题: ini.exe fuckme.vbs 伪造卡巴斯基数字签名 熊猫烧香同族蠕虫Net-Worm.Win32.AutoRun.b



这支样本属于熊猫烧香同族变种(功能和目的基本相同,实现方法略有差别)

p.s.关于病毒关闭杀毒软件的方法,印证了之前对于熊猫烧香没有技术含量的说法:结束进程 使用OpenProcess和TerminateProcess函数配合,而关闭窗口也仅仅是使用SendMessage函数向窗口发送WM_CLOSE命令 (两者强度仅相当于任务管理器的结束进程)。未加载任何驱动文件,也未获得ring0层的内核权限,任何一款正规杀软都不会被这种强度的命令结束掉。至于局域网入侵也没有使用任何漏洞注入,而仅仅是简单的弱口令攻击(说白话其实就是在猜密码……)。颇为令人失望……

该样本是使用“C/C++”编写的蠕虫程序,由微点主动防御软件自动捕获,图标为“”,病毒扩展名为“exe”,主要通过“文件捆绑”、“下载器下载”、“可移动存储器感染”、“局域网感染”等方式传播,病毒主要目的是感染局域网制造网络瘫痪。用户中毒后,会出现安全软件杀软无故退出,有关杀毒的窗口无法打开,系统运行缓慢,无法进入安全模式、无法进行系统还原等现象。

已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”,请直接选择删除处理
   

====行为分析====
(1) 病毒程序带有伪造的卡巴斯基数字签名(数字签名无效),企图迷惑用户。
(2) 病毒创建目录%SystemRoot%\programs\,并在目录下新建程序ini.exe,完成后运行该程序。
(3) 在%SystemRoot%\programs\目录下创建文档desktop.ini作为感染标记。完成后调用命令行删除自身。
(4) %SystemRoot%\programs\ini.exe创建名为“shors1.3”的互斥量,以免重复运行。
(5) 创建线程,建立消息循环反复遍历进程列表。一旦在进程列表中发现以下进程名称则向其发送关闭命令:“safeboxTray.exe”“360Safe.exe”“360safebox.exe”“360tray.exe”“Iparmor.exe”“WEBSCANX.EXE”“TBSCAN.EXE”“TrojanHunter.exe”“THGUARD.EXE”“FWMon.exe”“mmsk.exe”“vptray.exe”“kav32.exe”“kwatch.exe”“kavstart.exe”“kissvc.exe”“kasmain.exe”“RavLite.exe”“RavMon.exe”“CCenter.exe”“UlibCfg.exe”“RavMonD.exe”“RavTask.exe”“FileDsty.exe”“EGHOST.EXE”“Navapw32.exe”“rfwsrv.exe”“rfwmain.exe”“rfwproxy.exe”
(6) 创建线程,建立消息循环反复查看窗口标题。一旦在窗口标题中发现以下窗口标题名称则向其发送关闭命令:“杀毒”“worm”“卡巴斯基”“超级巡警”“江民”“离线升级包”“金山”“Anti”“anti”“Virus”“virus”“Firewall”“检测”“Mcafee”“病毒”“查杀”“狙剑”“防火墙”“主动防御”“微点”“防御”“系统保护”“绿鹰”“主动”“杀马”“木马”“感染”“清除器”“上报”“举 报”“举报”“瑞星”“进 程”“进程”“系统安全”“Process”“NOD32”“拦截”“后门”“监控”“安全卫士”“监视专杀”
(7) 创建线程,反复查找顶端窗口标题,一旦发现“IceSword”则向该窗口发送关闭消息。
(8) 创建线程,反复遍历盘符并获取对应驱动器的属性。一旦发现可移动存储器,便在其根目录下创建X:\AUTORUN.INF(X为可移动存储器的盘符)。同时创建文件夹X:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\,并将该文件夹伪装为回收站。完成后, 设置两者的属性为只读系统隐藏。
(9) 病毒将本身复制为X:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\ini.exe(X为可移动存储器的盘符)。AUTORUN.INF会在系统挂载该可移动存储器的时候自动运行recycle.{645FF040-5081-101B-9F08-00AA002F954E}中的ini.exe。
(10)创建线程,建立消息循环。删除脚本运行器设置项,对应注册表项为:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings
反复删除、创建注册表项,将%SystemRoot%\programs\fuckme.vbs加载为开机启动。同时创建对应的VBS脚本:%SystemRoot%\programs\fuckme.vbs,该脚本会执行%SystemRoot%\programs\ini.exe,对应注册表值为:
SOFTWARE\Microsoft\Active Setup\Installed Components\{H8I22RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}
名称:stubpath
数值:%windir%\programs\fuckme.vbs
(11)新建动态链接库文件%SystemRoot%\programs\wsock32.dll
(12)创建线程,遍历除A盘和C盘两盘符外所有盘符下的文件,查找扩展名为”html””htm””asp””aspx””php””jsp”的网页文件,一旦发现则在其中嵌入不可见的页面元素,指向挂马网址。同时查找扩展名为”gho””GHO””Gho”的Ghost恢复文件,一旦发现则立即删除,防止用户恢复系统。
(13)创建线程,建立消息循环,依次搜索局域网同一网段内的所有IP地址,尝试通过弱口令连接局域网内其他计算机,并试图将自身以kav32.exe为名称复制到目标计算机的共享文件夹以及C、D、E、F四个驱动器的根目录下。一旦成功,则以隐藏窗口远程运行该程序,感染局域网内其他机器。
(14)创建线程,获取系统路径。将自身复制到系统任务计划文件夹下并重命名:%SystemRoot%\Tasks\安装.bat。 遍历除A盘和C盘两盘符外所有盘符下的文件,查找扩展名为”rar””zip””tgz””cab””tar”的压缩包,一旦发现,则调用WinRAR命令行将%SystemRoot%\Tasks\安装.bat添加到压缩包中
(15)创建线程,从指定网址下载病毒到本地,并存储为%Temp%\configmon.dat。成功后运行该程序。
(16)创建线程,遍历C盘所有文件夹,并将%SystemRoot%\programs\wsock32.dll复制到每一个文件夹目录下,用以替换正常系统文件。
(17)创建线程,反复从指定网址下载病毒,并存储为%SystemDriver%\__default.pif。成功后运行该程序。
(18)创建线程,修改hosts文件,屏蔽以下安全软件或可能获得安全支持的网址:“360.qihoo.com”“qihoo.com””www.qihoo.com””www.qihoo.cn””124.40.51.17””58.17.236.92””www.kaspersky.com””60.210.176.251””www.cnnod32.cn””www.lanniao.org””www.nod32club.com””www.dswlab.com””bbs.sucop.com””www.virustotal.com””tool.ikaka.com””www.jiangmin.com””www.duba.net””www.eset.com.cn””www.nod32.com””shadu.duba.net””union.kingsoft.com””www.kaspersky.com.cn””kaspersky.com.cn””virustotal.com””www.360.cn””www.360safe.cn””www.360safe.com””www.chinakv.com””www.rising.com.cn””rising.com.cn””dl.jiangmin.com””jiangmin.com”
(19)创建线程,建立消息循环。清空系统临时文件夹%Temp%\和帮助文件加%SystemRoot%\help\。清空开机启动项,防止安全软件开机启动。对应注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
(20)建立死循环,反复清空安全启动注册表项,用以阻止用户进入安全模式,被清空的注册表项为:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\

病毒创建文件:

%SystemRoot%\programs\ini.exe
%SystemRoot%\programs\desktop.ini
X:\AUTORUN.INF(X为可移动存储器的盘符)
X:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\ini.exe(X为可移动存储器的盘符)
%SystemRoot%\programs\fuckme.vbs
%SystemRoot%\programs\wsock32.dll
%SystemRoot%\Tasks\安装.bat
%Temp%\configmon.dat
%SystemDriver%\__default.pif

病毒修改文件:

%SystemRoot%\system32\drivers\etc\hosts


病毒创建注册表:
  
SOFTWARE\Microsoft\Active Setup\Installed Components\{H8I22RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}

病毒删除注册表:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AFD
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\(被清空)
KHEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\(被清空)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\(被清空)

病毒访问网络:

http://www.***.cn/1.htm
http://180.***.222.137/1.exe
http://180.***.222.137/360safe.exe

※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※

作者: yunfu2010     时间: 2010-8-28 08:17
嘿嘿 没事 估计一般的杀软都能杀掉
作者: littlefritz     时间: 2010-8-28 10:28
好没技术亮点啊
作者: 远方的远方     时间: 2010-8-28 16:09
没技术含量又如何,当年它为什么能造成那么大的危害,这说明了什么?



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn