微点交流论坛 - 反病毒 - 下载者以及其非常独特试图过微点的一支新AV终结者

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 反病毒 » 下载者以及其非常独特试图过微点的一支新AV终结者

1/2

反黑先锋
版主

RUNWAY

积分 2901
发帖 2857
注册 2006-6-17

#1 下载者以及其非常独特试图过微点的一支新AV终结者

作者：清新阳光 2007年10月13日 12:32 掘自:发掘网

U盘病毒ah.exe以及其下载的病毒的分析
这是一个类似AV终结者的木马下载器，具有U盘传播，关闭杀毒软件和指定窗口并下载木马的功能

File: ah.exe
Size: 18432 bytes
Modified: 2007年10月12日, 21:12:04
MD5: B329E5D20A1636F2A7EB7051A8ED55A1
SHA1: 4AAE08CB65BFBCC0F5F086AEDB3042ED16332F2F
CRC32: 8300CEA6
AV命名：Trojan.DL.Win32.Autorun.yuz（瑞星）

技术细节：
1、释放病毒副本：
%systemroot%\system32\dream.exe
%systemroot%\system32\sbl.inf
%systemroot%\system32\plmmsbl.dll
各个分区释放autorun.inf和ah.exe
%systemroot%\system32\sbl.inf与autorun.inf内容相同

2.添加注册表启动项目
在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
下添加 {melove}{%systemroot%\system32\dream.exe}
和{dream}{%systemroot%\system32\dream.exe}的启动项目

3.启动一个svchost.exe 然后利用

3.调用cmd.exe 执行cmd.exe /c net stop sharedaccess的命令关闭Windows自带的防火墙

4.结束如下进程
360safe.exe
360tray.exe
avp.exe

5.检测窗口，关闭带有如下字样的窗口
防火墙
任务管理器
木马清道夫
木马克星
超级巡警
NOD32核心
微点

微点报警发现未知间谍软件
下载的东东很有研究价值~！已上报请工程师查看3楼和5楼
Program version: 1.2.10571.0099
Characteristic base: 1.6.467.071012
Update time: 2007-10-12 17:07:52

安全卫士
木马杀客
NOD32 内核
杀毒
江民
金山

6.调用CreateProcess打开进程%systemroot%\system32\svchost.exe，把%systemroot%\system32\plmmsbl.dll注入到svchost.exe中，并调用urlmon.dll实现下载功能
下载http://*.8800.org/lxh.exe到c盘并命名为a.exe（或者b.exe ,c.exe）

http://*.8800.org/lxh.exe会释放一个winsys16_071012.dll（文件名不固定,病毒几乎每天都在更新）到%systemroot%\system32\下面
并利用rundll32.exe加载

此病毒也是一个类似AV终结者的下载者病毒
添加启动项目
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\
下面添加
向瑞星的IE执行保护发送允许的指令
向卡巴的安全警告发送允许或者跳过的指令
并可关闭如下字样的窗口（包括但不限于）
卡巴斯基
瑞星
安全卫士
毒霸
360
江民
Windows任务管理器
雅虎助手
Kaspersky
jiangmin
rising
NOD32
Symantec AntiVirus
系统配置实用程序
注册表编辑器
启动管理
木马
mcafee
duba
金山反间谍
...

之后病毒又会接连下载几个木马程序

木马全部植入完毕以后
木马生成物主要如下
%systemroot%\system\AlxRes071012.exe
%systemroot%\system32\inf\scrsys071012.scr
%systemroot%\system32\inf\scrsys16_071012.dll
%systemroot%\system32\mywebhit.ini
%systemroot%\system32\wincheck071008.dll
%systemroot%\system32\wincheck071008.exe
%systemroot%\system32\winsys16_071012.dll
%systemroot%\system32\winsys32_071012.dll
%systemroot%\checkcj.ini
%systemroot%\mwinsys.ini

sreng日志如下
启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
{mscheck}{rundll32.exe %systemroot%\system32\wincheck071008.dll mymain}  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
{Userinit}{rundll32.exe %systemroot%\system32\winsys16_071012.dll start}  [N/A]
{melove}{%systemroot%\system32\dream.exe}  []
{dream}{%systemroot%\system32\dream.exe}  []

==================================
Autorun.inf
[C:\]
[autorun]
OPEN=ah.exe
shellexecute=ah.exe
shell\Auto\command=ah.exe
shell=open
[D:\]
[autorun]
OPEN=ah.exe
shellexecute=ah.exe
shell\Auto\command=ah.exe
shell=open

解决方法：
下载冰刃：
http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip
sreng：
http://download.kztechs.com/files/sreng2.zip

1.打开Icesword
进程栏中结束dream.exe和rundll32.exe

单击左下角文件按钮
删除如下文件
%systemroot%\system\AlxRes071012.exe
%systemroot%\system32\inf\scrsys071012.scr
%systemroot%\system32\inf\scrsys16_071012.dll
%systemroot%\system32\mywebhit.ini
%systemroot%\system32\wincheck071008.dll
%systemroot%\system32\wincheck071008.exe
%systemroot%\system32\winsys16_071012.dll
%systemroot%\system32\winsys32_071012.dll
%systemroot%\checkcj.ini
%systemroot%\mwinsys.ini
%systemroot%\system32\dream.exe
%systemroot%\system32\sbl.inf
%systemroot%\system32\plmmsbl.dll
以及每个分区下面的
ah.exe 和autorun.inf

2.打开sreng
启动项目注册表
删除如下项目
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
{mscheck}{rundll32.exe %systemroot%\system32\wincheck071008.dll mymain}  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
{Userinit}{rundll32.exe %systemroot%\system32\winsys16_071012.dll start}  [N/A]
{melove}{%systemroot%\system32\dream.exe}  []
{dream}{%systemroot%\system32\dream.exe}  []

即可

【原文地址：http://www.itdigger.com/2007/10/13/125313390.htm 请勿断链保留此行】

[ Last edited by 反黑先锋 on 2007-10-31 at 12:00 ]

※ ※ ※ 本文纯属【反黑先锋】个人意见，与【微点交流论坛】立场无关※ ※ ※

荣先祥藏头诗《赞东方微点》
东风欣传好消息
方策独步世所稀
微妙玄机嵌主动
点睛灭毒堪神笔

2007-10-13 17:07

qq2008444
银牌会员

职业潜水艇

积分 5373
发帖 5291
注册 2007-7-7
来自兰·基亚斯兰古拉王国

#2

~ ~才那么点东西啊

※ ※ ※ 本文纯属【qq2008444】个人意见，与【微点交流论坛】立场无关※ ※ ※

迅雷不及掩耳盗铃，以不变应万变不离其宗，成事不足挂齿，此物最相思风雨中，一屋不扫何以扫天下无敌，东边日出西边雨一直下，举头望明月几时有，呆若木鸡毛当令箭，杀鸡焉用牛刀小试，锋芒毕露春光，围魏救赵宝奎，Very good bye，八格牙鲁冰花，一泻千里共婵娟……

2007-10-13 17:08

反黑先锋
版主

RUNWAY

积分 2901
发帖 2857
注册 2006-6-17

#3

样本已发送超版请测试研究下有个病毒非常独特可惜啊还是没能过微点

win32k

※ ※ ※ 本文纯属【反黑先锋】个人意见，与【微点交流论坛】立场无关※ ※ ※

荣先祥藏头诗《赞东方微点》
东风欣传好消息
方策独步世所稀
微妙玄机嵌主动
点睛灭毒堪神笔

2007-10-13 19:21

qq2008444
银牌会员

职业潜水艇

积分 5373
发帖 5291
注册 2007-7-7
来自兰·基亚斯兰古拉王国

MS反黑很勤劳哦
这种警报估计你发得最多

※ ※ ※ 本文纯属【qq2008444】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-10-13 20:35

反黑先锋
版主

RUNWAY

积分 2901
发帖 2857
注册 2006-6-17

3楼的病毒微点工程师研究下吧。

win32k: 这毒的确大智若愚
看图，好看的说，下载的东东挺独特的哈可惜还是没过了微点

※ ※ ※ 本文纯属【反黑先锋】个人意见，与【微点交流论坛】立场无关※ ※ ※

荣先祥藏头诗《赞东方微点》
东风欣传好消息
方策独步世所稀
微妙玄机嵌主动
点睛灭毒堪神笔

2007-10-13 20:42

微点专家
版主

Weizi

积分 11554
发帖 11458
注册 2006-8-27
来自贵阳

#6

干嘛要积分才能进来看啊

※ ※ ※ 本文纯属【微点专家】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-10-14 00:22

228879547
中级用户

积分 451
发帖 447
注册 2007-3-2

#7

············· 看的我一头雾水···看不明白·····学习学习

※ ※ ※ 本文纯属【228879547】个人意见，与【微点交流论坛】立场无关※ ※ ※

CPU：P4 3.0
内存：1G
补丁：即时跟新
系统：雨林木风XP 3.0 ghost版
安软：微点预升级
微点版本：每日跟新
浏览器：遨游2

2007-10-14 10:41

反黑先锋
版主

RUNWAY

积分 2901
发帖 2857
注册 2006-6-17

#8

微点是否收到了我发的邮件哦这毒虽然过不了微点。。但是很有研究价值支持微点更强

[ Last edited by 反黑先锋 on 2007-10-15 at 10:33 ]

※ ※ ※ 本文纯属【反黑先锋】个人意见，与【微点交流论坛】立场无关※ ※ ※

荣先祥藏头诗《赞东方微点》
东风欣传好消息
方策独步世所稀
微妙玄机嵌主动
点睛灭毒堪神笔

2007-10-15 10:19

Legend
超级版主

超级版主

积分 77171
发帖 70170
注册 2005-10-29

#9

反黑先锋
您好，您的邮件我们已经收到，但是附加无法正常解压，请您尝试重新发送，谢谢您的反馈和支持。

※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※

微点官方认证新浪微博：欢迎进入微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息

2007-10-15 10:39

反黑先锋
版主

RUNWAY

积分 2901
发帖 2857
注册 2006-6-17

#10

Quote:

Originally posted by Legend at 2007-10-15 10:39:
反黑先锋
您好，您的邮件我们已经收到，但是附加无法正常解压，请您尝试重新发送，谢谢您的反馈和支持。

你们的反病毒已经收到了哦

技术支持说无法解压
“ah.exe 已命名为：Worm.Win32.AutoRun.e
lxh.exe 已命名为： Trojan-Spy.Win32.Agent.buh”

我重新写了2份给反病毒和技术支持邮件已成功发出。

[ Last edited by 反黑先锋 on 2007-10-15 at 11:06 ]

※ ※ ※ 本文纯属【反黑先锋】个人意见，与【微点交流论坛】立场无关※ ※ ※

荣先祥藏头诗《赞东方微点》
东风欣传好消息
方策独步世所稀
微妙玄机嵌主动
点睛灭毒堪神笔

2007-10-15 11:01

1/2

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号