微点交流论坛 - 主动防御 - ini.exe fuckme.vbs 伪造卡巴斯基数字签名熊猫烧香同族蠕虫Net-Worm.Win32.AutoRun.b

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 主动防御 » ini.exe fuckme.vbs 伪造卡巴斯基数字签名熊猫烧香同族蠕虫Net-Worm.Win32.AutoRun.b

点饭的百度空间
银牌会员

积分 2315
发帖 2236
注册 2007-11-30

#1 ini.exe fuckme.vbs 伪造卡巴斯基数字签名熊猫烧香同族蠕虫Net-Worm.Win32.AutoRun.b

这支样本属于熊猫烧香同族变种（功能和目的基本相同，实现方法略有差别）

p.s.关于病毒关闭杀毒软件的方法，印证了之前对于熊猫烧香没有技术含量的说法：结束进程使用OpenProcess和TerminateProcess函数配合，而关闭窗口也仅仅是使用SendMessage函数向窗口发送WM_CLOSE命令（两者强度仅相当于任务管理器的结束进程）。未加载任何驱动文件，也未获得ring0层的内核权限，任何一款正规杀软都不会被这种强度的命令结束掉。至于局域网入侵也没有使用任何漏洞注入，而仅仅是简单的弱口令攻击（说白话其实就是在猜密码……）。颇为令人失望……

该样本是使用“C/C++”编写的蠕虫程序，由微点主动防御软件自动捕获，图标为“

”，病毒扩展名为“exe”，主要通过“文件捆绑”、“下载器下载”、“可移动存储器感染”、“局域网感染”等方式传播，病毒主要目的是感染局域网制造网络瘫痪。用户中毒后，会出现安全软件杀软无故退出，有关杀毒的窗口无法打开，系统运行缓慢，无法进入安全模式、无法进行系统还原等现象。

已安装使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”，请直接选择删除处理

====行为分析====
(1) 病毒程序带有伪造的卡巴斯基数字签名（数字签名无效），企图迷惑用户。
(2) 病毒创建目录%SystemRoot%\programs\，并在目录下新建程序ini.exe，完成后运行该程序。
(3) 在%SystemRoot%\programs\目录下创建文档desktop.ini作为感染标记。完成后调用命令行删除自身。
(4) %SystemRoot%\programs\ini.exe创建名为“shors1.3”的互斥量，以免重复运行。
(5) 创建线程，建立消息循环反复遍历进程列表。一旦在进程列表中发现以下进程名称则向其发送关闭命令：“safeboxTray.exe”“360Safe.exe”“360safebox.exe”“360tray.exe”“Iparmor.exe”“WEBSCANX.EXE”“TBSCAN.EXE”“TrojanHunter.exe”“THGUARD.EXE”“FWMon.exe”“mmsk.exe”“vptray.exe”“kav32.exe”“kwatch.exe”“kavstart.exe”“kissvc.exe”“kasmain.exe”“RavLite.exe”“RavMon.exe”“CCenter.exe”“UlibCfg.exe”“RavMonD.exe”“RavTask.exe”“FileDsty.exe”“EGHOST.EXE”“Navapw32.exe”“rfwsrv.exe”“rfwmain.exe”“rfwproxy.exe”
(6) 创建线程，建立消息循环反复查看窗口标题。一旦在窗口标题中发现以下窗口标题名称则向其发送关闭命令：“杀毒”“worm”“卡巴斯基”“超级巡警”“江民”“离线升级包”“金山”“Anti”“anti”“Virus”“virus”“Firewall”“检测”“Mcafee”“病毒”“查杀”“狙剑”“防火墙”“主动防御”“微点”“防御”“系统保护”“绿鹰”“主动”“杀马”“木马”“感染”“清除器”“上报”“举报”“举报”“瑞星”“进程”“进程”“系统安全”“Process”“NOD32”“拦截”“后门”“监控”“安全卫士”“监视专杀”
(7) 创建线程，反复查找顶端窗口标题，一旦发现“IceSword”则向该窗口发送关闭消息。
(8) 创建线程，反复遍历盘符并获取对应驱动器的属性。一旦发现可移动存储器，便在其根目录下创建X:\AUTORUN.INF（X为可移动存储器的盘符）。同时创建文件夹X:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\，并将该文件夹伪装为回收站。完成后，设置两者的属性为只读系统隐藏。
(9) 病毒将本身复制为X:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\ini.exe（X为可移动存储器的盘符）。AUTORUN.INF会在系统挂载该可移动存储器的时候自动运行recycle.{645FF040-5081-101B-9F08-00AA002F954E}中的ini.exe。
(10)创建线程，建立消息循环。删除脚本运行器设置项，对应注册表项为：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings
反复删除、创建注册表项，将%SystemRoot%\programs\fuckme.vbs加载为开机启动。同时创建对应的VBS脚本：%SystemRoot%\programs\fuckme.vbs，该脚本会执行%SystemRoot%\programs\ini.exe，对应注册表值为：
SOFTWARE\Microsoft\Active Setup\Installed Components\{H8I22RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}
名称：stubpath
数值：%windir%\programs\fuckme.vbs
(11)新建动态链接库文件%SystemRoot%\programs\wsock32.dll
(12)创建线程，遍历除A盘和C盘两盘符外所有盘符下的文件，查找扩展名为”html””htm””asp””aspx””php””jsp”的网页文件，一旦发现则在其中嵌入不可见的页面元素，指向挂马网址。同时查找扩展名为”gho””GHO””Gho”的Ghost恢复文件，一旦发现则立即删除，防止用户恢复系统。
(13)创建线程，建立消息循环，依次搜索局域网同一网段内的所有IP地址，尝试通过弱口令连接局域网内其他计算机，并试图将自身以kav32.exe为名称复制到目标计算机的共享文件夹以及C、D、E、F四个驱动器的根目录下。一旦成功，则以隐藏窗口远程运行该程序，感染局域网内其他机器。
(14)创建线程，获取系统路径。将自身复制到系统任务计划文件夹下并重命名：%SystemRoot%\Tasks\安装.bat。遍历除A盘和C盘两盘符外所有盘符下的文件，查找扩展名为”rar””zip””tgz””cab””tar”的压缩包，一旦发现，则调用WinRAR命令行将%SystemRoot%\Tasks\安装.bat添加到压缩包中
(15)创建线程，从指定网址下载病毒到本地，并存储为%Temp%\configmon.dat。成功后运行该程序。
(16)创建线程，遍历C盘所有文件夹，并将%SystemRoot%\programs\wsock32.dll复制到每一个文件夹目录下，用以替换正常系统文件。
(17)创建线程，反复从指定网址下载病毒，并存储为%SystemDriver%\__default.pif。成功后运行该程序。
(18)创建线程，修改hosts文件，屏蔽以下安全软件或可能获得安全支持的网址：“360.qihoo.com”“qihoo.com””www.qihoo.com””www.qihoo.cn””124.40.51.17””58.17.236.92””www.kaspersky.com””60.210.176.251””www.cnnod32.cn””www.lanniao.org””www.nod32club.com””www.dswlab.com””bbs.sucop.com””www.virustotal.com””tool.ikaka.com””www.jiangmin.com””www.duba.net””www.eset.com.cn””www.nod32.com””shadu.duba.net””union.kingsoft.com””www.kaspersky.com.cn””kaspersky.com.cn””virustotal.com””www.360.cn””www.360safe.cn””www.360safe.com””www.chinakv.com””www.rising.com.cn””rising.com.cn””dl.jiangmin.com””jiangmin.com”
(19)创建线程，建立消息循环。清空系统临时文件夹%Temp%\和帮助文件加%SystemRoot%\help\。清空开机启动项，防止安全软件开机启动。对应注册表项：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
(20)建立死循环，反复清空安全启动注册表项，用以阻止用户进入安全模式，被清空的注册表项为：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\

病毒创建文件：

%SystemRoot%\programs\ini.exe
%SystemRoot%\programs\desktop.ini
X:\AUTORUN.INF（X为可移动存储器的盘符）
X:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\ini.exe（X为可移动存储器的盘符）
%SystemRoot%\programs\fuckme.vbs
%SystemRoot%\programs\wsock32.dll
%SystemRoot%\Tasks\安装.bat
%Temp%\configmon.dat
%SystemDriver%\__default.pif

病毒修改文件：

%SystemRoot%\system32\drivers\etc\hosts

病毒创建注册表：
　　
SOFTWARE\Microsoft\Active Setup\Installed Components\{H8I22RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}

病毒删除注册表：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AFD
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\（被清空）
KHEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\（被清空）
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\（被清空）

病毒访问网络：

http://www.***.cn/1.htm
http://180.***.222.137/1.exe
http://180.***.222.137/360safe.exe

※文章所有权归【pioneer】与【东方微点论坛】共同所有，转载请注明出处！※

※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【微点交流论坛】立场无关※ ※ ※

你的微笑 is 微点的骄傲！
http://hi.baidu.com/new/micropoint

2010-8-27 21:22

yunfu2010
注册用户

积分 56
发帖 56
注册 2010-8-23

#2

嘿嘿没事估计一般的杀软都能杀掉

※ ※ ※ 本文纯属【yunfu2010】个人意见，与【微点交流论坛】立场无关※ ※ ※

2010-8-28 08:17

littlefritz
版主

微点帮帮团团长

积分 3505
发帖 3502
注册 2009-5-23
来自微点帮帮团

#3

好没技术亮点啊

※ ※ ※ 本文纯属【littlefritz】个人意见，与【微点交流论坛】立场无关※ ※ ※

2010-8-28 10:28

远方的远方
新手上路

积分 17
发帖 17
注册 2010-5-25

#4

没技术含量又如何，当年它为什么能造成那么大的危害，这说明了什么？

※ ※ ※ 本文纯属【远方的远方】个人意见，与【微点交流论坛】立场无关※ ※ ※

2010-8-28 16:09

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号