複合型機器狗病毒的***(lssass.exe)

原創 yuncx 2018-09-11 06:12
最近機器狗病毒盛行,而***爲了進一步增強病毒的破壞能力,在機器狗病毒中加入了很多“新功能”,應該可以預見到,複合型機器狗將會在未來的一段時間內盛行。
下面是最近截獲的這個比較可惡的病毒的簡要分析和查殺舉例

File: mm.exe
Size: 12340 bytes
Modified: 2008年2月1日, 22:57:01
MD5: 3F93A9CCB07B2341C7BED9CE807CA34D
SHA1: DB9E60225412DED91C3BD783BE5E76AA6AD77C4E
CRC32: 29257F02

1.主病毒(mm.exe)運行後,釋放如下文件:

 C:\WINDOWS\system32\drivers\pcihdd2.sys
C:\WINDOWS\system32\lssass.exe
註冊服務DeepFree Update 指向C:\WINDOWS\system32\drivers\pcihdd2.sys 並加載這個驅動 這個驅動即爲機器狗的驅動
之後會替換userinit.exe文件

2.之後mm.exe啓動C:\WINDOWS\system32\lssass.exe 至此mm.exe(即機器狗)退出 大權交給lssass.exe

3.lssass.exe運行後,釋放如下文件

 C:\WINDOWS\system32\drivers\ati32srv.sys
註冊服務ATI2HDDSRV 指向ati32srv.sys 並加載這個驅動 該驅動可以恢復系統的SSDT表 使得殺毒軟件的API hook完全失效...很多殺毒軟件的“主動防禦”和“自我保護”功能也因此失效

4.調用cmd.exe把KvTrust.dll,UrlGuard.dll,antispy.dll,safemon.dll,ieprot.dll重命名爲tmp%d.temp的格式
5.結束很多安全軟件進程
avp.com                        
avp.exe                        
runiep.exe                     
PFW.exe                        
FYFireWall.exe                 
rfwmain.exe                    
rfwsrv.exe                     
KAVPF.exe                      
KPFW32.exe                     
nod32kui.exe                   
nod32.exe
Navapsvc.exe          
Navapw32.exe                   
avconsol.exe                   
webscanx.exe                   
NPFMntor.exe                   
vsstat.exe                     
KPfwSvc.exe                    
Ras.exe                        
RavMonD.exe                    
mmsk.exe                       
WoptiClean.exe                 
QQKav.exe                      
QQDoctor.exe                   
EGHOST.exe                     
360Safe.exe                    
iparmo.exe                     
adam.exe                       
IceSword.exe     
360rpt.exe                     
360tray.exe                    
AgentSvr.exe                   
AppSvc32.exe   
autoruns.exe                   
avgrssvc.exe                   
AvMonitor.exe                  
CCenter.exe  
ccSvcHst.exe   
FileDsty.exe                   
FTCleanerShell.exe             
HijackThis.exe                 
Iparmor.exe                    
isPwdSvc.exe                   
kabaload.exe                   
KaScrScn.SCR                   
KASMain.exe                    
KASTask.exe                    
KAVDX.exe                      
KAVPFW.exe                     
KAVSetup.exe                   
KAVStart.exe                   
KISLnchr.exe                   
KMailMon.exe                   
KMFilter.exe                
KPFW32.exe                    
KPFW32X.exe                    
KPFWSvc.exe                    
KRegEx.exe                 
KRepair.com                    
KsLoader.exe                   
KVCenter.kxp                   
KvDetect.exe             
KvfwMcl.exe                    
KVMonXP.kxp                    
KVMonXP_1.kxp                  
kvol.exe               
kvolself.exe                   
KvReport.kxp                   
KVScan.kxp                     
KVSrvXP.exe          
KVStub.kxp                     
kvupload.exe                   
kvwsc.exe                      
KvXP.kxp           
KvXP_1.kxp                     
KWatch.exe                     
KWatch9x.exe                   
KWatchX.exe                
MagicSet.exe                   
mcconsol.exe                   
mmqczj.exe                     
KAV32.exe                   
nod32krn.exe                   
PFWLiveUpdate.exe             
QHSET.exe                      
RavMonD.exe  
RavStub.exe                    
RegClean.exe                   
rfwcfg.exe                     
RfwMain.exe
rfwsrv.exe                    
RsAgent.exe                    
Rsaupd.exe                     
safelive.exe                   
scan32.exe                     
shcfg32.exe                    
SmartUp.exe                  
SREng.EXE                      
symlcsvc.exe                   
SysSafe.exe                    
TrojanDetector.exe         
Trojanwall.exe                 
TrojDie.kxp                    
UIHost.exe                     
UmxAgent.exe                  
UmxAttachment.exe              
UmxCfg.exe                   
UmxFwHlp.exe                   
UmxPol.exe                     
UpLive.exe                     
procexp.exe                
OllyDBG.EXE                    
OllyICE.EXE                    
rfwstub.exe                    
RegTool.exe              
rfwProxy.exe            

6.映像劫持幾乎上面所有安全軟件指向“ntsd -d”  

7.啓動IE進行下載工作,首先會讀取[url]http://xtx.[/url]×××.info/images/xin.txt比較
裏面的VERSION信息 如果發現不是最新版本 則下載最新版本 具有自我更新功能

病毒***植入完畢後的sreng日誌如下(本例中均假設系統裝在C盤下)
啓動項目
註冊表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<WSockDrv32><C:\WINDOWS\dqyxis.exe> []
    <upxdnd><C:\WINDOWS\upxdnd.exe> []
    <LotusHlp><C:\WINDOWS\LotusHlp.exe> []
    <PTSShell><C:\WINDOWS\PTSShell.exe> []
    <SHAProc><C:\WINDOWS\SHAProc.exe> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <kfzmwcnyi><kfzmwcnyi.exe> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{2f32e793-9263-4aa5-862f-da2480554715}><C:\WINDOWS\system32\JAA-JAA-1032.dll> []
    <{9a8234b5-a04c-4b0c-ad8c-f4fdb94c9543}><C:\WINDOWS\system32\RAA_RAA_1002.dll> []
    <{4FA10261-B890-F432-A453-69F1023513F4}><C:\WINDOWS\Fonts\gjcsdyc.dll> []
    <{94f833b0-726d-4d09-b715-6352f632ece7}><C:\WINDOWS\system32\QAB_QAB_1011.dll> []
    <{0a1d93b9-0e5d-4239-94df-6e673bf85067}><C:\WINDOWS\system32\IIA-IIA-1030.dll> []
==================================
驅動程序
[ATI2HDDSRV / ATI2HDDSRV][Running/Manual Start]
<\??\C:\WINDOWS\system32\drivers\ati32srv.sys><N/A>
[DeepFree Update / DeepFree Update][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\drivers\pcihdd2.sys><N/A>
[msskye / msskye][Running/Auto Start]
<system32\drivers\msaclue.sys><N/A>
==================================
正在運行的進程
[PID: 1452][C:\WINDOWS\system32\userinit.exe] [N/A, ]
    [C:\WINDOWS\system32\HDDGuard.dll] [N/A, ]
[PID: 1472][C:\windows\explorer.exe] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\JAA-JAA-1032.dll] [N/A, ]
    [C:\WINDOWS\system32\RAA_RAA_1002.dll] [N/A, ]
    [C:\WINDOWS\Fonts\gjcsdyc.dll] [N/A, ]
    [C:\WINDOWS\system32\QAB_QAB_1011.dll] [N/A, ]
    [C:\WINDOWS\system32\IIA-IIA-1030.dll] [N/A, ]
    [C:\WINDOWS\wlqirtuk.dll] [N/A, ]
    [C:\WINDOWS\dcadmqws.dll] [N/A, ]
    [C:\WINDOWS\system32\upxdnd.dll] [N/A, ]
    [C:\WINDOWS\system32\WSockDrv32.dll] [N/A, ]
    [C:\WINDOWS\system32\LotusHlp.dll] [N/A, ]
    [C:\WINDOWS\system32\PTSShell.dll] [N/A, ]
    [C:\WINDOWS\system32\SHAProc.dll] [N/A, ]
    [C:\WINDOWS\system32\HDDGuard.dll] [N/A, ]
...
查殺方法舉例:

1.手動查殺:
下載sreng:[url]http://download.kztechs.com/files/sreng2.zip[/url]
Xdelbox:下載地址[url]http://www.dodudou.com/down/[/url]裏面的原創軟件文件夾下
複製如下文字 到剪貼板(只限本例中下載的***名稱,具體情況需要具體分析)
C:\WINDOWS\Fonts\gjcsdss.dll
C:\WINDOWS\Fonts\gjcsdyc.dll
C:\WINDOWS\Fonts\gjcsdzc.exe
C:\WINDOWS\Fonts\gjcubxw.fon
C:\WINDOWS\system32\drivers\msaclue.sys
C:\WINDOWS\system32\drivers\usbKeyInit.sys
C:\WINDOWS\system32\3auhad.dll
C:\WINDOWS\system32\cuhad.dll
C:\WINDOWS\system32\duygnef.dll
C:\WINDOWS\system32\ejcvogxwow.dll
C:\WINDOWS\system32\gnolnait.dll
C:\WINDOWS\system32\HDDGuard.dll
C:\WINDOWS\system32\HHHCompress.dll
C:\WINDOWS\system32\hnibxqidj.dll
C:\WINDOWS\system32\IIA-IIA-1030.dll
C:\WINDOWS\system32\JAA-JAA-1032.dll
C:\WINDOWS\system32\knjcwnezyzj.dll
C:\WINDOWS\system32\knlExt.dll
C:\WINDOWS\system32\lnaixnauhqq.dll
C:\WINDOWS\system32\LotusHlp.dll
C:\WINDOWS\system32\lrngbtlzx.dll
C:\WINDOWS\system32\lssass.exe
C:\WINDOWS\system32\LYLOADER.EXE
C:\WINDOWS\system32\LYMANGR.DLL
C:\WINDOWS\system32\MSDEG32.DLL
C:\WINDOWS\system32\mshxxbb32.dll
C:\WINDOWS\system32\msqjmmm32.dll
C:\WINDOWS\system32\mstfhncn32.dll
C:\WINDOWS\system32\mswmkkk32.dll
C:\WINDOWS\system32\mswwwdj32.dll
C:\WINDOWS\system32\niluw.dll
C:\WINDOWS\system32\otpiexpqj.dll
C:\WINDOWS\system32\PTSShell.dll
C:\WINDOWS\system32\QAB_QAB_1011.dll
C:\WINDOWS\system32\RAA_RAA_1002.dll
C:\WINDOWS\system32\SHAProc.dll
C:\WINDOWS\system32\upxdnd.dll
C:\WINDOWS\system32\Wingin.exe
C:\WINDOWS\system32\WSockDrv32.dll
C:\WINDOWS\system32\xbwqogywm.dll
C:\WINDOWS\dcadmqws.dll
C:\WINDOWS\kfzmwcnyi.exe
C:\WINDOWS\litknpar.exe
C:\WINDOWS\LotusHlp.exe
C:\WINDOWS\PTSShell.exe
C:\WINDOWS\SHAProc.exe
C:\WINDOWS\upxdnd.exe
C:\WINDOWS\wlqirtuk.dll
C:\WINDOWS\WSockDrv32.exe
解壓下載的Xdelbox壓縮包內所有文件到一個文件夾下
之後打開Xdelbox.exe
在下面的大框中 單擊右鍵 點擊 “剪貼板導入不檢查路徑”
之後剛纔複製的那個文件列表將出現在下面的大框中
然後再在下面的大框中單擊右鍵 點擊 “立即重啓執行刪除”
軟件會自動重啓計算機

重啓計算機以後 會有兩個系統進入的選擇的倒計時界面
第一個是你原來的windows系統
第二個是這個軟件給你設定的dos系統

不用你管,它會自動選擇進入第二個系統
類似dos的界面滾動完畢以後 病毒就被刪除了
之後他會自動重啓進入正常模式

重啓後 千萬不要聯
打開sreng 刪除上面涉及到的啓動項目 和IFEO項目
然後雙擊我的電腦,工具,文件夾選項,查看,單擊選取"顯示隱藏文件或文件夾" 並清除"隱藏受保護的操作系統文件(推薦)"前面的鉤。在提示確定更改時,單擊“是” 然後確定
複製C:\Windows\system32\dllcache\userinit.exe 到C:\Windows\system32覆蓋已有文件 如果提示覆蓋錯誤 在任務管理器裏面結束userinit.exe即可

2.使用專殺處理(以瑞星近期出的機器狗專殺爲例)

經測試該專殺可以殺滅目前大部分機器狗下載的*** 並可自動修復userinit.exe等系統文件

綜上所述,複合型機器狗病毒具有機器狗的完全特徵並加入了一些“新的功能”比如映像劫持殺毒軟件,破壞殺毒軟件的API hook等 今後可能會加入更多的破壞功能
目前此類病毒的主要傳播途徑是網頁掛馬
所以希望大家注意以下幾點:
1.及時升級殺毒軟件和防火牆(老生常談)
2.一定要打全Windows系統補丁(非常重要)
3.各種軟件也儘量使用最新版本,尤其迅雷,PPstream,realplayer,暴風影音,百度toolbar等等,現在大多以利用這些軟件的漏洞掛馬爲主
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

解密後綴phobos勒索病毒 解密成功

染血的精靈 2019-02-24 13:35:07

華爲3COM交換機防病毒策略

god9394 2019-02-24 13:04:19

Linux基本操作命令

wbzjacky 2019-02-24 13:12:38

444句英語

wbzjacky 2019-02-24 13:12:37

真實的模擬***綜合實驗

wbzjacky 2019-02-24 13:12:37

三層交換機的HSRP、vlan、端口聚合

wbzjacky 2019-02-24 13:12:37

HSRP和二層交換機的端口聚合、vlan

wbzjacky 2019-02-24 13:12:37

服務器雙機熱備解決方案

wbzjacky 2019-02-24 13:12:37

各種光模塊的傳輸距離

realzfd 2019-02-24 13:10:25

ESX4 通過VMware vSphere CLI 開啓snmp

realzfd 2019-02-24 13:09:43

SOLARWINDS服務器更改計算機名導致的一次奇怪故障

realzfd 2019-02-24 13:09:42

Dlink交換機常用命令

千年小道 2019-02-24 13:06:21

Sametime的安裝細節問題

god9394 2019-02-24 13:04:19

3G愛你沒商量

god9394 2019-02-24 13:04:19

郵件自動歸檔

god9394 2019-02-24 13:04:19