• 欢迎访问金刀客博客!
  • 2019,春节快乐!

Trojan.Win32.Edog.t(机器狗变种)的分析

病毒分析 admin 6075次浏览 已收录 0个评论

File: u.exe
Size: 12,104 字节
Modified: 2008年2月8日, 21:00:12
MD5: MD5: 94732FDF4E53D2DF9B65E593E9571D00
加壳工具:Upack V0.37 -> Dwing
分析:
1,u.exe运行后释放下列文件
C:\WINDOWS\system32\HDDGuard.dll
C:\WINDOWS\system32\TIMPlatform.exe
C:\WINDOWS\system32\WIN.INI
C:\WINDOWS\system32\drivers\ati32srv.sys
C:\WINDOWS\system32\drivers\pcihdd2.sys
C:\Documents and Settings\daokers\Local Settings\Temp\shutdown.ssm
win.inf的内容为

2,添加iCafe Update服务,然后加载pcihdd2.sys
之后U.exe启动C:\WINDOWS\system32\TIMPlatform.exe
3,添加ATI2HDDSRV服务,然后加载ati32srv.sys,之后自删之。
这时我的ssm被病毒结束,这可是第一次遇到直接干掉SSM的毒毒哦。
加载的驱动如图:

之后开始添加映象劫持,所有的Debugger都指向系统的ntsd.exe
360rpt.exe
360Safe.exe
360tray.exe
adam.exe
AgentSvr.exe
apitrap.dll
AppSvc32.exe
ASSTE.dll
autoruns.exe
avconsol.exe
avgrssvc.exe
AvMonitor.exe
avp.com
avp.exe
AVSTE.dll
CCenter.exe
ccSvcHst.exe
Cleanup.dll
cqw32.exe
divx.dll
divxdec.ax
DJSMAR00.dll
DRMINST.dll
EGHOST.exe
enc98.EXE
EncodeDivXExt.dll
EncryptPatchVer.dll
FileDsty.exe
front.exe
FTCleanerShell.exe
fullsoft.dll
FYFireWall.exe
GBROWSER.DLL
HijackThis.exe
htmlmarq.ocx
htmlmm.ocx
IceSword.exe
install.exe
iparmo.exe
Iparmor.exe
ishscan.dll
isPwdSvc.exe
ISSTE.dll
javai.dll
jvm.dll
jvm_g.dll
kabaload.exe
KaScrScn.SCR
KASMain.exe
KASTask.exe
KAV32.exe
KAVDX.exe
KAVPF.exe
KAVPFW.exe
KAVSetup.exe
KAVStart.exe
KISLnchr.exe
KMailMon.exe
KMFilter.exe
KPFW32.exe
KPFW32X.exe
KPfwSvc.exe
KRegEx.exe
KRepair.com
KsLoader.exe
KVCenter.kxp
KvDetect.exe
KvfwMcl.exe
KVMonXP.kxp
KVMonXP_1.kxp
kvol.exe
kvolself.exe
KvReport.kxp
KVScan.kxp
KVSrvXP.exe
KVStub.kxp
kvupload.exe
kvwsc.exe
KvXP.kxp
KvXP_1.kxp
KWatch.exe
KWatch9x.exe
KWatchX.exe
MagicSet.exe
main123w.dll
mcconsol.exe
mmqczj.exe
mmsk.exe
mngreg32.exe
msci_uno.dll
mscoree.dll
mscorsvr.dll
mscorwks.dll
msjava.dll
mso.dll
Navapw32.exe
NAVOPTRF.dll
NeVideoFX.dll
nod32.exeNavapsvc.exe
nod32krn.exe
nod32kui.exe
NPFMntor.exe
NPMLIC.dll
NSWSTE.dll
OllyDBG.EXE
OllyICE.EXE
PFW.exe
PFWLiveUpdate.exe
photohse.EXE
PMSTE.dll
ppw32hlp.dll
printhse.EXE
procexp.exe
prwin8.EXE
ps80.EXE
psdmt.exe
qfinder.EXE
QHSET.exe
qpw.EXE
QQDoctor.exe
QQKav.exe
Ras.exe
RavMonD.exe
RavStub.exe
RawCopy.exe
RegClean.exe
RegTool.exe
rfwcfg.exe
rfwmain.exe
rfwProxy.exe
rfwsrv.exe
rfwstub.exe
RsAgent.exe
Rsaupd.exe
runiep.exe
safelive.exe
salwrap.dll
scan32.exe
setup.exe
setup32.dll
sevinst.exe
shcfg32.exe
SmartUp.exe
SREng.EXE
symlcnet.dll
symlcsvc.exe
SysSafe.exe
tcore_ebook.dll
TFDTCTT8.DLL
TrojanDetector.exe
Trojanwall.exe
TrojDie.kxp
ua80.EXE
udtapi.dll
UIHost.exe
ums.dll
UmxAgent.exe
UmxAttachment.exe
UmxCfg.exe
UmxFwHlp.exe
UmxPol.exe
UpLive.exe
vb40032.dll
vbe6.dll
vsstat.exe
webscanx.exe
WoptiClean.exe
wpwin8.EXE
xlmlEN.dll
xwsetup.EXE
4,之后访问xxx.cdev.us(61.140.3.66),找寻下载

解决办法:
1,打开FileForceKiller,记得选择“注册shell右键菜单”,之后退出,找到C:\WINDOWS\system32\HDDGuard.dll,右键,选择“sucop暴力文件删除”,在打开的页面选择“删除前清理卸载模块”,之后删除。


然后依此删除TIMPlatform.exe
或者打开icesword.exe,记得改名
菜单:文件-设置中选择禁止进线程创建。
之后结束TIMPlatform.exe,右键进程栏目中非系统exe,选中“模块信息”,找到HDDGuard.dll,点击“强制解除”。

解除“禁止进线程创建”,打开费尔木马强力清除助手,把上述的文件选择第二项清除
2,打开autoruns.exe清除映像劫持的信息
3,用C:\WINDOWS\system32\dllcache\userinit.exe覆盖C:\WINDOWS\system32\userinit.exe
4,下载机器狗专杀工具,扫描修复。
5,这个样本并没有从网络中下载木马和病毒,可能作者已停止了
附:
点击下载金刀客工具包 (含本文中涉及的所有工具)
病毒上报信箱: daokers@qq.com
文件名: 080205机器狗变种样本.rar
描述: daokers.com
fs2you下载链接:

瑞星扫描结果:
ati32srv.sys Trojan.DL.Win32.Mnless.xr
TIMPlatform.exe>>upack0.39 Trojan.Win32.Edog.t
文件名: 超级巡警机器狗专杀RodogKiller.zip
文件大小: 548.4 KB
fs2you下载链接:

文件名: 瑞星机器狗专杀.zip
文件大小:320.0 KB
fs2you下载链接:


金刀客博客 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权 , 转载请注明Trojan.Win32.Edog.t(机器狗变种)的分析
喜欢 (0)
发表我的评论
取消评论

表情 贴图 加粗 删除线 居中 斜体 签到