瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 木马下载器日趋复杂,手工杀毒需要冷静分析。
baohe - 2007-5-16 12:27:00
这是一个比较难杀的木马下载器。可通过移动存贮介质传播。

一、中毒后的SRENG日志:
(注:中此毒后,SRENG须改名运行。原因见后述。)

启动项目
注册表

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <naxcehy><C:\windows\system32\kndncso.exe>  [N/A]
    <gvkfbrq><C:\windows\system32\jvxnypf.exe>  [N/A]
    <cmdbcs><C:\windows\cmdbcs.exe>  [N/A]
    <mppds><C:\windows\mppds.exe>  [N/A]
    <upxdnd><C:\windows\upxdnd.exe>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{91B1E846-2BEF-4345-8848-7699C7C9935F}><C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysWFGQQ2.dll>  [N/A]
==================================
服务
[WinWLServiceNow / WinWLServiceNow][Stopped/Auto Start]
  <C:\DOCUME~1\baohelin\LOCALS~1\Temp\RAVWL.EXE><N/A>
==================================
正在运行的进程
[PID: 812][C:\windows\system32\lsass.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\windows\system32\RAVWL516.dll]  [N/A, N/A]
[PID: 1816][C:\windows\Explorer.EXE]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysWFGQQ2.dll]  [N/A, N/A]
[PID: 992][C:\windows\system32\ctfmon.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysWFGQQ2.dll]  [N/A, N/A]
[PID: 2148][C:\Program Files\Tiny Firewall Pro\amon.exe]  [Computer Associates International, Inc., 6.5.3.2]   
    [C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysWFGQQ2.dll]  [N/A, N/A]
[PID: 4000][C:\WINDOWS\system32\shadow\ShadowTip.exe]  [PowerShadow, 1, 0, 0, 1] 
    [C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysWFGQQ2.dll]  [N/A, N/A]
[PID: 2164][C:\Program Files\SREng2\SREng.exe]  [Smallfrogs Studio, 2.3.13.690] 
    [C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysWFGQQ2.dll]  [N/A, N/A]
[PID: 2216][C:\Program Files\Opera\Opera.exe]  [Opera Software, 8771]
    [C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysWFGQQ2.dll]  [N/A, N/A]
[PID: 2904][C:\Program Files\Tiny Firewall Pro\cfgtool.exe]  [Computer Associates International, Inc., 6.0.0.52]
    [C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysWFGQQ2.dll]  [N/A, N/A]
[PID: 2580][C:\Program Files\Tiny Firewall Pro\tralogan.exe]  [Computer Associates International, Inc., 6.0.0.17]
    [C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysWFGQQ2.dll]  [N/A, N/A]
[PID: 3112][C:\windows\system32\jvxnypf.exe]  [N/A, N/A] 
    [C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysWFGQQ2.dll]  [N/A, N/A]
[PID: 2392][C:\windows\system32\conime.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] 
    [C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysWFGQQ2.dll]  [N/A, N/A]
[PID: 4020][C:\windows\system32\kndncso.exe]  [N/A, N/A] 
    [C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysWFGQQ2.dll]  [N/A, N/A]
[PID: 2740][C:\Autoruns\autorun.exe]  [Sysinternals - www.sysinternals.com, 8.43] 
    [C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysWFGQQ2.dll]  [N/A, N/A]
[PID: 3208][C:\Program Files\HyperSnap-DX 5\HprSnap5.exe]  [Hyperionics Technology LLC, 5, 3, 0, 0]   
    [C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysWFGQQ2.dll]  [N/A, N/A]
[PID: 2168][C:\windows\system32\111.exe]  [N/A, N/A]   
    [C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysWFGQQ2.dll]  [N/A, N/A]
==================================
Autorun.inf
[D:\]
[AutoRun]
open=gvkfbrq.exe
shellexecute=gvkfbrq.exe
shell\Auto\command=gvkfbrq.exe

二、手工杀毒流程(注意操作顺序):

从上述SRENG日志可见:jvxnypf.exe和kndncso.exe以及它们下载的这堆木马颇难对付。原因在于:
1、jvxnypf.exe和kndncso.exe两个病毒进程相互守护。
2、临时文件夹中的那个C:\DOCUME~1\baohelin\LOCALS~1\Temp\RAVWL.EXE有一个同伙RAVWL516.DLL。此DLL插入了lsass.exe进程。若强制卸除lsass.exe进程中的RAVWL516.DLL,系统会死掉。下次开机时,随着RAVWL.EXE加载,RAVWL516.DLL又插入了lsass.exe进程。
3、病毒模块SysWFGQQ2.dll“不挑食”,见进程就插。
4、当前用户文件夹中还有一堆下载的木马。手工杀毒过程稍有不甚,就会前功尽弃。

鉴于这堆病毒的上述特点,建议用IceSword,按下述操作顺序搞掂他们:

1、改名运行IceSword(因为IceSword已经被病毒通过IFEO劫持了),禁止进程创建。
2、结束病毒进程及被病毒插入的应用程序进程(不要结束lsass.exe进程)。
3、强制删除主要病毒文件(图1-图4)。
4、删除病毒添加的启动项、服务项(见SRENG日志)。
4、取消IceSword的“禁止进程创建”。
5、此时可用资源管理器或WINRAR删除其余的病毒文件(图5)。当然,你也可以用IceSword删除这些病毒文件。我之所以这样做,是出于安全考虑。IceSword删除的文件不能恢复,万一删错,就麻烦了。我的原则是:能不用IceSword删除的,尽量不用IceSword删除。
6、删除病毒添加的IFEO劫持项(可用autoruns查找并删除。注意:autoruns也被病毒IFEO了,需要改名运行。)

图1

附件: 1558472007516121734.jpg
baohe - 2007-5-16 12:28:00
图2

附件: 1558472007516121838.jpg
baohe - 2007-5-16 12:29:00
图3

附件: 1558472007516121901.jpg
baohe - 2007-5-16 12:29:00
图4

附件: 1558472007516121927.jpg
我无邪 - 2007-5-16 12:30:00
好多病毒,菜鸟555
楼主辛苦了
baohe - 2007-5-16 12:30:00
图5

附件: 1558472007516122038.jpg
孤独更可靠 - 2007-5-16 12:44:00
貌似以前分析的那个

不是变种吧?
帅的被贼砍 - 2007-5-16 13:30:00
有些意思. 猫叔传个吧 hou2298@yahoo.com.cn
三月学毒 - 2007-5-16 14:26:00
的确霸道
学习了
baohe - 2007-5-16 14:30:00
引用:
【孤独更可靠的贴子】貌似以前分析的那个

不是变种吧?

………………

是个新DD。瑞星今天的病毒库刚刚能杀。
baohe - 2007-5-16 14:33:00
引用:
【帅的被贼砍的贴子】有些意思. 猫叔传个吧 hou2298@yahoo.com.cn
………………

发了
轩辕小聪 - 2007-5-16 15:02:00
哈哈,猫叔发这个帖子的时候,我刚刚好正在同学的电脑前对付这个东西。不过因为他的卡巴在被劫持之前宰了不少下载下来的文件,他一发现狂报警又及时断网,所以他那里服务没创建,lsass.exe也没被插入。

回来后自己运行了一下,才发现如猫叔所说它下载N多东西。本来想写帖,现在上来看猫叔刚好写了,我就不用忙活了,呵呵。

病毒进程互相守护,好像是通过创建互斥体来监视的。
对于这种的方法,除了用IceSword禁止进线程创建再结束进程外,还可以用(也就是我刚才用的方法)Process explorer,先把两个进程都挂起(右键suspend),然后再依次结束。

还有重要一点,这两三个nwiz****.dll,如果运行成功,会创建启动项的,而且此项目SREng还扫不到,autoruns可以扫到,在
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\(相应的CLSID项目)]
创建stubpath键,指向自身文件。
轩辕小聪 - 2007-5-16 15:14:00
而且这个病毒创建主文件(kndncso.exe,jvxnypf.exe,meex.com以及非系统盘根目录的autorun.inf和exe)之后,又sleep了好几分钟,才开始下载其他病毒文件,我就差点没耐性地把它关了。
还有这几个主文件名,应该是有任意性的。不同的变种或在不同电脑里创建的主文件名应该不一样。但是行为和下载的东西是一样的。
baohe - 2007-5-16 15:49:00
【回复“轩辕小聪”的帖子】
这类木马下载器的特点就是————变。
主体文件名变;
下载的内容变;
即使是中同一个下载器,但因中毒后的联网时间长短不同,下载的木马的数量也不一样;
IFEO劫持项目也在变(逐渐增加)。现在,连Tiny和SSM也被列进去了。汗!!

IFEO劫持用到这么变态的程度,其实是病毒作者的愚蠢之处。用户发现那么多软件都不能用了,还不想办法么?被IFEO劫持掉的软件,改个名字即可运行。这么处心积虑的劫持有什么用呢?我看是病毒作者的脑子进水了!!

天月来了 - 2007-5-16 16:11:00
引用:
【轩辕小聪的贴子】
还有重要一点,这两三个nwiz****.dll,如果运行成功,会创建启动项的,而且此项目SREng还扫不到,autoruns可以扫到,在
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\(相应的CLSID项目)]
创建stubpath键,指向自身文件。
………………

这可难了,将来真得所有工具一起上了。

汗哦..........................................
天月来了 - 2007-5-16 16:12:00
引用:
【baohe的贴子】【回复“轩辕小聪”的帖子】
这类木马下载器的特点就是————变。
主体文件名变;
下载的内容变;
即使是中同一个下载器,但因中毒后的联网时间长短不同,下载的木马的数量也不一样;
IFEO劫持项目也在变(逐渐增加)。现在,连Tiny和SSM也被列进去了。汗!!

IFEO劫持用到这么变态的程度,其实是病毒作者的愚蠢之处。用户发现那么多软件都不能用了,还不想办法么?被IFEO劫持掉的软件,改个名字即可运行。这么处心积虑的劫持有什么用呢?我看是病毒作者的脑子进水了!!


………………


呵呵!!!!

你别提醒做病毒的哦。


日不懂啊 - 2007-5-16 16:45:00
激烈的攻防战啊~~~~
学习~~~ING
菜菜瓜瓜 - 2007-5-16 16:58:00
给我杀~!!!
菜菜瓜瓜 - 2007-5-16 17:00:00
1、jvxnypf.exe和kndncso.exe两个病毒进程相互守护。


这是怎么个原理  啊 没看明白
日不懂啊 - 2007-5-16 17:11:00
是啊,太高深不明白~
网缘绝恋 - 2007-5-16 17:34:00
又学习ING
帅的被贼砍 - 2007-5-16 17:37:00
下载器确实很变态..  jvxnypf.exe和kndncso.exe  的真凶才是  meex.com


我给大家个大图,如果中了的话按这个来对

附件: 6356212007516172740.jpg
帅的被贼砍 - 2007-5-16 17:38:00
做回好事
baohe - 2007-5-16 18:35:00
引用:
【天月来了的贴子】

呵呵!!!!

你别提醒做病毒的哦。



………………

提醒他,他也没办法。
程序名可以随便改。他怎能事先知道你改成什么?比如,我将IceSword.exe改成111.exe、sam.exe、aaa.exe都可以运行。其它的,如:autoruns.exe、SRENG.exe也是如此。
炫Oo逍遥oO - 2007-5-16 18:38:00
汗..
炫Oo逍遥oO - 2007-5-16 18:39:00
对了,问下猫叔.有用过 雨过天晴 这软件吗?
家里电脑不想用shadow..想试下这个..测病毒用
天月来了 - 2007-5-16 19:39:00
测东西可以用的,还有“冰点还原”的重启几次后的方式,也可以用来测测病毒玩。

GURST - 2007-5-16 20:06:00
学习学习
loveperday - 2007-5-16 20:08:00
果然是高手。。。学习。。。
姑苏残月 - 2007-5-16 20:38:00
好玩,姑苏看过了
123
查看完整版本: 木马下载器日趋复杂,手工杀毒需要冷静分析。
© 2000 - 2026 Rising Corp. Ltd.