Board logo

標題: 〔教學〕注意防範WIN32.EXE之類的變態木馬下載器 [打印本頁]

作者: ssvmw     時間: 2006-11-13 12:16 AM    標題: 〔教學〕注意防範WIN32.EXE之類的變態木馬下載器

(文章太长,我就不改格式了,现在我也碰到了这样的问题,但是我看不懂这文章,想请知道的大大来帮想个容易一些的解决办法)
一、WIN32.EXE的来源]http://fdghewrtewrtyrew.biz/adv/130/win32.e xe]]
二、运行后的表现:此WIN32.EXE通过80和8080端口访问若干个IP,若防火墙不能监测到或令防火墙允许该访问,WIN32.EXE会自动下载木马Kernels8.exe到system32目录下;Kernels8.exe自网络下载1.dlb、2.dlb.....等一堆木马到当前用户文件夹中,并自动运行。下载的木马加载运行后,又从网络上下载其它木马/蠕虫。

木马/蠕虫完全下载并植入系统后,SREng日志可见:

启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<Windows update loader><C:\Windows\xpupdate.exe> [N/A]
<UpdateService><C:\windows\system32\wservice.exe> [N/A]
<taskdir><C:\windows\system32\taskdir.exe> [N/A]
<_mzu_stonedrv3><C:\windows\system32\_mzu_stonedrv3.exe> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<System><C:\windows\system32\testtestt.exe> [N/A]
<UpdateService><C:\windows\system32\wservice.exe> [N/A]
<spoolsvv><C:\windows\system32\spoolsvv.exe> [N/A]
<adir><C:\windows\system32\adirss.exe> [N/A]
<_mzu_stonedrv3><C:\windows\system32\_mzu_stonedrv3.exe> [N/A]
<30><C:\windows\system32\30.tmp> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
<SystemTools><C:\windows\system32\testtestt.exe> [N/A]
<_mzu_stonedrv3><C:\windows\system32\_mzu_stonedrv3.exe> [N/A]
<30><C:\windows\system32\30.tmp> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
<sqPIftjYG><C:\windows\system32\rflbg.dll> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rpcc]
<WinlogonNotify: rpcc><C:\windows\system32\rpcc.dll> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winsys2freg]
<WinlogonNotify: winsys2freg><C:\Documents and Settings\All Users\Documents\Settings\winsys2f.dll> [N/A]
==================================
正在运行的进程
[PID: 584][\??\C:\windows\system32\winlogon.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\Documents and Settings\All Users\Documents\Settings\winsys2f.dll] [N/A, N/A]
[PID: 1584][C:\windows\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\windows\system32\rflbg.dll] [N/A, N/A]
==================================
HOSTS 文件
127.0.0.1 avp. com
127.0.0.1 ca. com
127.0.0.1 f-secure. com
127.0.0.1 housecall.trendmicro.c om
127.0.0.1 kaspersky.c om
127.0.0.1 mcafee.c om
127.0.0.1 my-etrust.c om
127.0.0.1 nai.co m
127.0.0.1 networkassociates.co m
127.0.0.1 secure.nai.co m
127.0.0.1 securityresponse.symantec.c om
127.0.0.1 sophos.co m
127.0.0.1 symantec.c om
127.0.0.1 trendmicro.c om
127.0.0.1 us.mcafee.co m
127.0.0.1 v4.windowsupdate.microsoft.co m
127.0.0.1 v5.windowsupdate.microsoft.c om
127.0.0.1 v5windowsupdate.microsoft.nsatc.n et
127.0.0.1 viruslist.co m
127.0.0.1 windowsupdate.co m
127.0.0.1 windowsupdate.microsoft.co m
127.0.0.1 [l]www.avp.co m[/]
127.0.0.1 []www.bitdefender.com[/url]
127.0.0.1 []www.ca.com[/url]
127.0.0.1 [l]www.f-secure.com[/url]
127.0.0.1 []www.kaspersky.com[/url]
127.0.0.1 []www.mcafee.com[/url]
127.0.0.1 [l]www.my-etrust.com[/url]
127.0.0.1 [l]www.nai.com[/url]
127.0.0.1 [l]www.networkassociates.com[/url]
127.0.0.1 [l]www.pandasoftware.com[/url]
127.0.0.1 [l]www.ravantivirus.com[/url]
127.0.0.1 []www.sophos.com[/url]
127.0.0.1 []www.symantec.com[/url]
127.0.0.1 [l]www.trendmicro.com[/url]
127.0.0.1 [l]www.viruslist.com[/url]
127.0.0.1 []www.windowsupdate.com[/url]
127.0.0.1 www3.ca.com
127.0.0.1 downloads1.kaspersky-labs.com
127.0.0.1 downloads2.kaspersky-labs.com
127.0.0.1 downloads3.kaspersky-labs.com
127.0.0.1 downloads4.kaspersky-labs.com
127.0.0.1 downloads-us1.kaspersky-labs.com
127.0.0.1 downloads-eu1.kaspersky-labs.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 mast.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 update.symantec.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 download.mcafee.com
127.0.0.1 updates.symantec.com

==================================

HijackThis v1.99.1日志可见:

O4 - HKLM\..\Run: [System] C:\windows\system32\testtestt.exe
O4 - HKLM\..\Run: [UpdateService] C:\windows\system32\wservice.exe
O4 - HKLM\..\Run: [spoolsvv] C:\windows\system32\spoolsvv.exe
O4 - HKLM\..\Run: [adir] C:\windows\system32\adirss.exe
O4 - HKLM\..\Run: [_mzu_stonedrv3] C:\windows\system32\_mzu_stonedrv3.exe
O4 - HKLM\..\Run: [30] C:\windows\system32\30.tmp
O4 - HKLM\..\RunServices: [SystemTools] C:\windows\system32\testtestt.exe
O4 - HKLM\..\RunServices: [_mzu_stonedrv3] C:\windows\system32\_mzu_stonedrv3.exe
O4 - HKLM\..\RunServices: [30] C:\windows\system32\30.tmp
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O4 - HKCU\..\Run: [UpdateService] C:\windows\system32\wservice.exe
O4 - HKCU\..\Run: [taskdir] C:\windows\system32\taskdir.exe
O4 - HKCU\..\Run: [_mzu_stonedrv3] C:\windows\system32\_mzu_stonedrv3.exe
O4 - HKCU\..\Run: [WinMedia] C:\windows\loader622535.exe
O4 - HKCU\..\Run: [Winstx] C:\windows\loader628714.exe

O20 - Winlogon Notify: rpcc - C:\windows\system32\rpcc.dll
O20 - Winlogon Notify: winsys2freg - C:\Documents and Settings\All Users\Documents\Settings\winsys2f.dll
O21 - SSODL: sqPIftjYG - {F4233280-5E89-982A-A244-6D00C3A79C12} - C:\windows\system32\rflbg.dll

其中,C:\Documents and Settings\All Users\Documents\Settings\winsys2f.dll插入winlogon.exe进程。这个.dll处理起来较难。原因在于:
1、这个dll位于隐藏文件夹中,须用IceSword或WINRAR等工具才能看到。
2、因为它插入了winlogon.exe进程,这个dll不能直接删除。
3、不知这堆木马/蠕虫中的哪几个开启了IE进程若干(并无IE窗口打开)。WINDOWS的“任务管理器”被禁;用其它工具,表面上虽可进行结束IE进程的操作,但无论用什么工具结束IE进程后,病毒又试图通过winlogon.exe启动IE进程(SSM可监控到此过程);此时,如果用较低版本的SSM禁止winlogon.exe启动IE进程,则系统崩溃,重启。用最新版本的SSM 2.2.0.595可以禁止winlogon.exe启动IE进程而无副作用。

这堆病毒的处理难点还有:
1、病毒感染系统时,已经在系统相关目录(有.exe文件的目录)以及系统分区以外的其它分区目录(有.exe文件的目录)下释放了大量.t文件。以后,凡运行相关的.exe时,须先执行这个.t文件;此过程可被SSM监控到,也可被SSM禁止。然而,若用SSM禁止这个.t运行,则你要运行的那个.exe也同样被SSM禁止了。中招后用杀毒软件杀毒就是一个例子(卡巴斯基最新病毒库只能检出其中部分病毒)。一旦允许卡巴斯基目录下的.t运行,kav.exe即被感染(MD5值改变)。收拾干净系统后,我只好卸载卡巴斯基,重新安装。我的Tiny防火墙也是同样下场。为了看全这“西洋景”,我关闭了Tiny。染毒/系统重启后,Tiny自动加载时amon.exe被感染。
2、如果没有完全禁止所有的病毒程序运行,就在普通WINDOWS模式下删除木马/蠕虫文件,删除操作时会在同一位置生成数目不等的、文件名后缀为.t的文件,文件名为随机排列的8个小写英文字母。

三、我的处理办法:
1、用最新版SSM2.2结束上述病毒进程,并将其归入blocked组。将SSM设置为“自动运行”。
2、重启系统。
3、重启系统后,SSM还报病毒程序试图加载(木马通过SSM安装文件夹中的.t实现启动加载),可用SSM禁止它,并归入blocked组。
4、删除病毒的加载项(见前面的SREng以及HijackThis日志)。
5、显示隐藏文件。删除病毒文件(图1-图6)。要删除的病毒文件太多,做为例子,图中显示的只是这堆病毒中的主要文件以及删除病毒文件时生成的部分.t文件(如果将删除到回收站的病毒文件全部显示出来,则需要18张图)。
染毒后生成的.t文件的多寡目及分布范围取决于(1)系统启动时加载运行的程序数目;(2)染毒后未处理干净前在WINDOWS下操作步骤的多寡;(3)系统分区以外的其它分区各目录下的文件夹中是否包含.exe文件(文件夹中若不包含.exe文件,则无病毒.t文件生成)。
6、修复HOSTS文件。
7、卸载、重新安装被感染的应用程序(MD5值改变的那些)。

[ Last edited by TCG on 2006-11-15 at 06:13 PM ]
作者: TCG     時間: 2006-11-13 09:28 AM
注意防範WIN32.EXE之類的變態木馬下載器

(文章太長,我就不改格式了,現在我也碰到了這樣的問題,但是我看不懂這文章,想請知道
的大大來幫想個容易一些的解決辦法)
一、WIN32.EXE的來源]http://fdghewrtewrtyrew.biz/adv/130/win32.e xe]]
二、運行後的表現:此WIN32.EXE通過80和8080連接埠訪問若干個IP,若防火牆不能監測
到或令防火牆允許該訪問,WIN32.EXE會自動下載木馬Kernels8.exe到system32目錄下;
Kernels8.exe自網路下載1.dlb、2.dlb.....等一堆木馬到當前用戶文件夾中,並自動運
行。下載的木馬加載運行後,又從網路上下載其它木馬/蠕蟲。

木馬/蠕蟲完全下載並植入系統後,SREng日誌可見:

啟動項目
註冊表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<Windows update loader><C:\Windows\xpupdate.exe> [N/A]
<UpdateService><C:\windows\system32\wservice.exe> [N/A]
<taskdir><C:\windows\system32\taskdir.exe> [N/A]
<_mzu_stonedrv3><C:\windows\system32\_mzu_stonedrv3.exe> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<System><C:\windows\system32\testtestt.exe> [N/A]
<UpdateService><C:\windows\system32\wservice.exe> [N/A]
<spoolsvv><C:\windows\system32\spoolsvv.exe> [N/A]
<adir><C:\windows\system32\adirss.exe> [N/A]
<_mzu_stonedrv3><C:\windows\system32\_mzu_stonedrv3.exe> [N/A]
<30><C:\windows\system32\30.tmp> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
<SystemTools><C:\windows\system32\testtestt.exe> [N/A]
<_mzu_stonedrv3><C:\windows\system32\_mzu_stonedrv3.exe> [N/A]
<30><C:\windows\system32\30.tmp> [N/A]
[HKEY_LOCAL_
MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoa
]
<sqPIftjYG><C:\windows\system32\rflbg.dll> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\Notify\rpcc]
<WinlogonNotify: rpcc><C:\windows\system32\rpcc.dll> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\Notify\winsys2freg]
<WinlogonNotify: winsys2freg><C:\Documents and Settings\All
Users\Documents\Settings\winsys2f.dll> [N/A]
==================================
正在運行的進程
[PID: 584][\??\C:\windows\system32\winlogon.exe] [Microsoft Corporation, 5.
1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\Documents and Settings\All Users\Documents\Settings\winsys2f.dll] [N/A,
N/A]
[PID: 1584][C:\windows\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180
(xpsp_sp2_rtm.040803-2158)]
[C:\windows\system32\rflbg.dll] [N/A, N/A]
==================================
HOSTS 文件
127.0.0.1 avp. com
127.0.0.1 ca. com
127.0.0.1 f-secure. com
127.0.0.1 housecall.trendmicro.c om
127.0.0.1 kaspersky.c om
127.0.0.1 mcafee.c om
127.0.0.1 my-etrust.c om
127.0.0.1 nai.co m
127.0.0.1 networkassociates.co m
127.0.0.1 secure.nai.co m
127.0.0.1 securityresponse.symantec.c om
127.0.0.1 sophos.co m
127.0.0.1 symantec.c om
127.0.0.1 trendmicro.c om
127.0.0.1 us.mcafee.co m
127.0.0.1 v4.windowsupdate.microsoft.co m
127.0.0.1 v5.windowsupdate.microsoft.c om
127.0.0.1 v5windowsupdate.microsoft.nsatc.n et
127.0.0.1 viruslist.co m
127.0.0.1 windowsupdate.co m
127.0.0.1 windowsupdate.microsoft.co m
127.0.0.1 [l]www.avp.co m[/]
127.0.0.1 []www.bitdefender.com[/url]
127.0.0.1 []www.ca.com[/url]
127.0.0.1 [l]www.f-secure.com[/url]
127.0.0.1 []www.kaspersky.com[/url]
127.0.0.1 []www.mcafee.com[/url]
127.0.0.1 [l]www.my-etrust.com[/url]
127.0.0.1 [l]www.nai.com[/url]
127.0.0.1 [l]www.networkassociates.com[/url]
127.0.0.1 [l]www.pandasoftware.com[/url]
127.0.0.1 [l]www.ravantivirus.com[/url]
127.0.0.1 []www.sophos.com[/url]
127.0.0.1 []www.symantec.com[/url]
127.0.0.1 [l]www.trendmicro.com[/url]
127.0.0.1 [l]www.viruslist.com[/url]
127.0.0.1 []www.windowsupdate.com[/url]
127.0.0.1 www3.ca.com
127.0.0.1 downloads1.kaspersky-labs.com
127.0.0.1 downloads2.kaspersky-labs.com
127.0.0.1 downloads3.kaspersky-labs.com
127.0.0.1 downloads4.kaspersky-labs.com
127.0.0.1 downloads-us1.kaspersky-labs.com
127.0.0.1 downloads-eu1.kaspersky-labs.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 mast.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 update.symantec.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 download.mcafee.com
127.0.0.1 updates.symantec.com

==================================

HijackThis v1.99.1日誌可見:

O4 - HKLM\..\Run: [System] C:\windows\system32\testtestt.exe
O4 - HKLM\..\Run: [UpdateService] C:\windows\system32\wservice.exe
O4 - HKLM\..\Run: [spoolsvv] C:\windows\system32\spoolsvv.exe
O4 - HKLM\..\Run: [adir] C:\windows\system32\adirss.exe
O4 - HKLM\..\Run: [_mzu_stonedrv3] C:\windows\system32\_mzu_stonedrv3.exe
O4 - HKLM\..\Run: [30] C:\windows\system32\30.tmp
O4 - HKLM\..\RunServices: [SystemTools] C:\windows\system32\testtestt.exe
O4 - HKLM\..\RunServices: [_mzu_stonedrv3] C:\windows\system32\_mzu_
stonedrv3.exe
O4 - HKLM\..\RunServices: [30] C:\windows\system32\30.tmp
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O4 - HKCU\..\Run: [UpdateService] C:\windows\system32\wservice.exe
O4 - HKCU\..\Run: [taskdir] C:\windows\system32\taskdir.exe
O4 - HKCU\..\Run: [_mzu_stonedrv3] C:\windows\system32\_mzu_stonedrv3.exe
O4 - HKCU\..\Run: [WinMedia] C:\windows\loader622535.exe
O4 - HKCU\..\Run: [Winstx] C:\windows\loader628714.exe

O20 - Winlogon Notify: rpcc - C:\windows\system32\rpcc.dll
O20 - Winlogon Notify: winsys2freg - C:\Documents and Settings\All
Users\Documents\Settings\winsys2f.dll
O21 - SSODL: sqPIftjYG - {F4233280-5E89-982A-A244-6D00C3A79C12} -
C:\windows\system32\rflbg.dll

其中,C:\Documents and Settings\All Users\Documents\Settings\winsys2f.dll插入
winlogon.exe進程。這個.dll處理起來較難。原因在於:
1、這個dll位於隱藏文件夾中,須用IceSword或WINRAR等工具才能看到。
2、因為它插入了winlogon.exe進程,這個dll不能直接刪除。
3、不知這堆木馬/蠕蟲中的哪幾個開啟了IE進程若干(並無IE窗口打開)。WINDOWS的「
任務管理器」被禁;用其它工具,表面上雖可進行結束IE進程的操作,但無論用什麼工
具結束IE進程後,病毒又試圖通過winlogon.exe啟動IE進程(SSM可監控到此過程);此
時,如果用較低版本的SSM禁止winlogon.exe啟動IE進程,則系統崩潰,重啟。用最新版
本的SSM 2.2.0.595可以禁止winlogon.exe啟動IE進程而無副作用。

這堆病毒的處理難點還有:
1、病毒感染系統時,已經在系統相關目錄(有.exe文件的目錄)以及系統分區以外的其
它分區目錄(有.exe文件的目錄)下釋放了大量.t文件。以後,凡運行相關的.exe時,
須先執行這個.t文件;此過程可被SSM監控到,也可被SSM禁止。然而,若用SSM禁止這個
.t運行,則你要運行的那個.exe也同樣被SSM禁止了。中招後用殺毒軟體殺毒就是一個例
子(卡巴斯基最新病毒庫只能檢出其中部分病毒)。一旦允許卡巴斯基目錄下的.t運行
,kav.exe即被感染(MD5值改變)。收拾乾淨系統後,我只好卸載卡巴斯基,重新安裝
。我的Tiny防火牆也是同樣下場。為了看全這「西洋景」,我關閉了Tiny。染毒/系統重
啟後,Tiny自動加載時amon.exe被感染。
2、如果沒有完全禁止所有的病毒程式運行,就在普通WINDOWS模式下刪除木馬/蠕蟲文件
,刪除操作時會在同一位置生成數目不等的、文件名後綴為.t的文件,文件名為隨機排
列的8個小寫英文字母。

三、我的處理辦法:
1、用最新版SSM2.2結束上述病毒進程,並將其歸入blocked組。將SSM設置為「自動運行
」。
2、重啟系統。
3、重啟系統後,SSM還報病毒程式試圖加載(木馬通過SSM安裝文件夾中的.t實現啟動加
載),可用SSM禁止它,並歸入blocked組。
4、刪除病毒的加載項(見前面的SREng以及HijackThis日誌)。
5、顯示隱藏文件。刪除病毒文件(圖1-圖6)。要刪除的病毒文件太多,做為例子,圖
中顯示的只是這堆病毒中的主要文件以及刪除病毒文件時生成的部分.t文件(如果將刪
除到回收站的病毒文件全部顯示出來,則需要18張圖)。
染毒後生成的.t文件的多寡目及分佈範圍取決於(1)系統啟動時加載運行的程式數目;
(2)染毒後未處理乾淨前在WINDOWS下操作步驟的多寡;(3)系統分區以外的其它分區
各目錄下的文件夾中是否包含.exe文件(文件夾中若不包含.exe文件,則無病毒.t文件
生成)。
6、修復HOSTS文件。
7、卸載、重新安裝被感染的應用程式(MD5值改變的那些)。

註:特將本文簡換繁以饗讀者




歡迎光臨 網際論壇 (http://centurys.net/) Powered by Discuz! 2.5