瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 一个TDSS变种的初步观测及手杀流程
baohe - 2010-10-1 16:37:00
样本来自剑盟:http://bbs.janmeng.com/thread-948291-1-1.html。 

观测环境:windows 7 旗舰版,全补丁。关闭CAHIPS 的系统保护;再无其它安全软件。

这是一个隐蔽性很强的病毒。

一、病毒样本运行后所见:


1、病毒样本运行后,用XueTr0.36可发现以下异常:





2、病毒样本在WINDOWS7 下运行后,释放下列病毒文件:

C:\windows\system32\spool\PRTPROCS\W32X86\eIQ79317i.dll(随机文件名;每次都变)
C:\Users\Lenovo\AppData\Local\Temp\随机文件名(无后缀)

病毒样本运行后,添加注册表项:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager
PendingFileRenameOperations="\??\c:\windows\system32\spool\PRTPROCS\W32X86\eIQ79317i.dll"

3、病毒样本运行、重启系统后,检查注册表,发现病毒创建了下列服务项:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\{34DC6DC4-070B-43F7-903B-C922AB6198CA}

"NameServer"="93.188.163.75,93.188.166.110"(乌克兰)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\{34DC6DC4-070B-43F7-903B-C922AB6198CA}

"DhcpNameServer"="93.188.163.75,93.188.166.110"(乌克兰)

重启后,第2项描述的两个病毒程序消失(在PE下核实过,确实自动删除了。)

4、病毒样本运行后在硬盘末端扇区 488396997至488397167(共计169个扇区)写入病毒代码。
在WINDOWS7 环境下,用SectorEditor不能发现上述各扇区的病毒代码(查看结果全部为“0”)。
病毒写入硬盘末端169个扇区的那些代码,用WINPEBOOT引导至PE环境下,用SectorEditor可以发现。
在PE环境下用SectorEditor检查MBR,未发现异常。

下面3个图是在WINDOWS7 环境下,用SectorEditor查看硬盘末端扇区的3个截图(内容全部看不到):








下面是在WINPE 环境下,用SectorEditor查看硬盘末端扇区与上面win7下所见三个对应扇区的截图:








5、在PE环境下可以发现病毒释放的驱动c:\windows\temp\IQ3179m.sys(MD5: AA7E367F5CE98B846919963891CC688A;Kaspersky 报为 Rootkit.Win32.TDSS.ufl



二、手工杀毒:

在PE下,用SectorEditor将硬盘末端扇区488396997至488397167全部填“0”(见下图)。


删除病毒驱动c:\windows\temp\IQ3179m.sys。
重启到WINDOWS7 环境。
删除病毒添加的上述注册表内容。



用户系统信息:Opera/9.80 (Windows NT 6.1; U; zh-cn) Presto/2.6.30 Version/10.62
baohe - 2010-10-1 16:39:00
此毒更改DNS设置 :




杀毒后,如果需要用DNS,应重新设置DNS。不用 DNS者此项留空即可。 






用XueTr0.36检查第一项描述的现象:全部消失。


杀净病毒的另外一个征象是————用户 可以顺利打开赛门铁克这类反病毒厂商的网页了:






OK!
夲號ヱ被ジ盜 - 2010-10-1 22:11:00
拜读。。。。。。
byxxdrls - 2010-10-1 22:14:00


引用:
病毒样本运行后在硬盘末端扇区 488396997至488397167(共计169个扇区)写入病毒代码
这是怎么发现的呢?
baohe - 2010-10-1 22:25:00


引用:
原帖由 byxxdrls 于 2010-10-1 22:14:00 发表


引用:
病毒样本运行后在硬盘末端扇区 488396997至488397167(共计169个扇区)写入病毒代码
这是怎么发现的呢?



在网上查过一些TDL3/TDL4的资料。多提到这类病毒在硬盘末尾若干扇区写入病毒代码。
因此,就用两个硬盘同样大小的电脑做了一个对比:一个电脑中运行此毒;另一个电脑上不运行此毒。然后,引导到PE环境下,用sectoreditor从硬盘最后一个扇区往前逐一观察/记录。
对比这两台电脑硬盘末端扇区内容,得到答案。
byxxdrls - 2010-10-1 22:51:00
哦,谢谢了。我那样本是感染系统驱动的,不知和硬盘末尾扇区写入的病毒代码是啥关系呢。
天月来了 - 2010-10-2 7:57:00
这些病毒也整得太复杂了:kaka6:
baohe - 2010-10-2 22:28:00


引用:
原帖由 天月来了 于 2010-10-2 7:57:00 发表
这些病毒也整得太复杂了:kaka6:




目的是躲避杀软的查杀或借助工具手杀。


中此毒后,用SRENG等常用工具看不出啥异常。


病毒驱动加载后,病毒文件及病毒添加的注册表内容统统被此驱动过滤掉了。在WINDOWS 环境下用资源管理器根本就找不到病毒的蛛丝马迹。



即使用XueTr这类工具能查出些蛛丝马迹,但也奈何它不得。


另外,在中毒后的WIN7 环境中,此毒能骗过sectoreditor的扇区查看/编辑(看到的内容不真实)。这是我第一次遇到。


PS: 想了些办法,总算把此毒释放并隐藏的较深的病毒文件找到并抓获了:kaka12:
1、%windows%\temp\E7931s.sys    (随机文件名;33.5K;MD5: AA7E367F5CE98B846919963891CC688A)。
2、%system%\ernel32.dll    (109K;MD5: 0BA7059F06AA36C3FE7966A2BA18FA61)。
3、%system%\spool\prtprocs\w32x86\aA31eI3.dll   (随机文件名;109K;MD5: 0BA7059F06AA36C3FE7966A2BA18FA61)。
4、%userprofile%\temp\g7i317    (随机文件名;109K;MD5: E6952E9EC3DECE0BB7995F245F173BC9)。



附件就是(密码:123)

附件: Desktop.rar (2010-10-3 14:59:40, 339.76 K)
该附件被下载次数 352

jks_风 - 2011-4-24 13:06:00
看完猫叔的帖子不得不穿上马甲来留名啊

猫叔给力 这分析报告给的 自行惭愧啊。

:kaka12:

鬼影以后 很多猥琐流病毒都开始琢磨怎么倒蹬硬盘了 再加上驱动隐藏 恩 以后安全这问题就越来越难整了。。。
1
查看完整版本: 一个TDSS变种的初步观测及手杀流程