瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 Trojan-PSW.Win32.QQRob.ec——比较疯狂的木马

12345678   1  /  8  页   跳转

Trojan-PSW.Win32.QQRob.ec——比较疯狂的木马

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-11-11 20:31 | 只看楼主 短消息 资料
字号: 1楼

Trojan-PSW.Win32.QQRob.ec——比较疯狂的木马

样本来自萧心(http://bbs.52happy.net/read.php?tid=225596)。

以下是在PowerShadow的Full Shadow模式下观察这个木马的结果及手工杀毒流程(由于我的SSM设置为“启动加载”,所以还有还手的机会。染毒后才运行SSM,是否还有这样的机会——我不清楚)。
一、运行Dd11.exe后释放/下载的文件:
在C:\windows\system32\下释放/下载FuckJacks.exe和msvce32.exe。
在windows文件夹中释放(下载)1.exe。
在其它分区根目录下释放autorun.inf和Setup.exe并试图改写.exe文件(由于Tiny的文件保护而未得逞)。

二、其它恶意行为:
反复删除瑞星、卡巴斯基、买咖啡、毒霸、亚虎助手的加载项并结束这些程序的进程;重写病毒自己的加载项。
终止IceSword进程。结束FuckJacks.exe进程前,IceSword不能运行(IceSword被该木马利用的机制见15楼附图)。试图结束SSM进程,但未得逞(看来病毒作者还没研究透SSM)。

三、注册表改动:
在HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run分支添加:           
svohost(指向C:\windows\system32\FuckJacks.exe)
在HKCU\Software\Microsoft\Windows\CurrentVersion\Run分支添加:
FuckJacks (指向C:\windows\system32\FuckJacks.exe)
在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"Shell"="Explorer.exe"添加:
C:\windows\system32\msvce32.exe
四、我的杀毒流程:
1、用SSM禁止FuckJacks.exe运行。
2、开启IceSword。用IceSword删除C:\windows\system32\FuckJacks.exe。
关闭IceSword。自己动手删除C:\windows\1.exe、C:\windows\system32\msvce32.exe以及其它分区根目录下的autorun.inf、Setup.exe。其它被感染的.exe中的病毒代码能否被杀软“清除”——不得而知。如果不能,只好删除。
3、清理注册表:
展开HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run分支           
删除:svohost(指向C:\windows\system32\FuckJacks.exe)   
   
展开HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run分支           
删除:FuckJacks(指向C:\windows\system32\FuckJacks.exe)   
展开:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
删除"Shell"="Explorer.exe,C:\windows\system32\msvce32.exe"中的C:\windows\system32\msvce32.exe。
4、备份杀软病毒库。重新安装杀毒软件。重装杀软后,导入病毒库备份。可以免去病毒库升级。

【注】:其他网友说的“FuckJacks.exe删除.GHO文件”,我没观察到。Full Shadow模式下再次染毒后,我曾看过我的GHOST备份——完整无损。我的Tiny“文件保护”中设置了GHOST备份文件夹的保护监控,允许删除文件,但Tiny监控提示并记录文件被删除。

附件附件:

下载次数:416
文件类型:image/pjpeg
文件大小:
上传时间:2006-11-11 20:31:18
描述:
预览信息:EXIF信息



最后编辑2006-12-12 13:21:20
分享到:
gototop
 
艾玛
头像
大版主
  • 帖子:18894
  • 注册: 2004-01-01
  • 来自:
卡卡名人堂论坛9周年纪念
发表于: 2006-11-11 20:41 | 短消息 资料
字号: 2楼

我要baohe
我去下载了呵,谢谢

补上我的一份:

建议1、近期要做好QQ消息、局域网用户及移动存储的安全;

建议2、不要使用admin等默认超级用户,不要使用以下简单密码。(还来得及改的,就改超级用户名和密码吧)

1234
password
6969
harley
123456
golf
pussy
mustang
1111
shadow
1313
fish
5150
7777
qwerty
baseball
2112
letmein
12345678
12345
ccc
admin
5201314
qq520
1
12
123
1234567
123456789
654321
54321
111
000000
abc
pw
11111111
88888888
pass
passwd
database
abcd
abc123
sybase
123qwe
server
computer
520
super
123asd
0
ihavenopass
godblessyou
enable
xp
2002
2003
2600
alpha
110
111111
121212
123123
1234qwer
123abc
007
a
aaa
patrick
pat
administrator
root
sex
god
foobar
secret
test
test123
temp
temp123
win
pc
asdf
pwd
qwer
yxcv
zxcv
home
xxx
owner
login
Login
pw123
love
mypc
mypc123
admin123
mypass
mypass123
901100
Administrator
Guest
admin
Root

我的贴子:http://hi.baidu.com/killvir/blog/item/034215ce7d159b39b700c80b.html
欢迎访问我的博客:http://hi.baidu.com/killvir
gototop
 
爱在缘来
头像
初生襁褓狮
  • 帖子:156
  • 注册: 2006-08-14
  • 来自:
发表于: 2006-11-11 20:46 | 短消息 资料
字号: 3楼

学习!
gototop
 
爱在缘来
头像
初生襁褓狮
  • 帖子:156
  • 注册: 2006-08-14
  • 来自:
发表于: 2006-11-11 20:47 | 短消息 资料
字号: 4楼

可恶的度
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-11-11 20:53 | 只看楼主 短消息 资料
字号: 5楼

引用:
【艾玛的贴子】我要baohe
我去下载了呵,谢谢
………………

已发
gototop
 
影子110
头像
叱咤花甲狮
  • 帖子:4210
  • 注册: 2005-04-10
  • 来自:怀黯
发表于: 2006-11-11 20:57 | 短消息 资料
字号: 6楼

引用:
【baohe的贴子】样本来自萧心(http://bbs.52happy.net/read.php?tid=225596)。

一、运行Dd11.exe后释放的文件:
在C:\windows\system32\下释放FuckJacks.exe
在其它分区根目录下释放Setup.exe并试图改写.exe文件(由于Tiny的文件保护而未得逞)。

二、其它恶意行为:
反复删除瑞星、卡巴斯基、买咖啡、毒霸、亚虎助手的加载项;重写自己的加载项。
终止IceSword进程。结束FuckJacks.exe进程前,IceSword不能运行。试图结束SSM进程,但未得逞(看来病毒作者还没研究透SSM)。

....
………………


那么强的病毒~~
版主给我一份~~


xue_mai_qi@163.com

谢谢了~
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-11-11 21:04 | 只看楼主 短消息 资料
字号: 7楼

引用:
【影子110的贴子】

那么强的病毒~~
版主给我一份~~


xue_mai_qi@163.com

谢谢了~
………………

已发
gototop
 
JayFaye
头像
叱咤花甲狮
  • 帖子:3546
  • 注册: 2004-08-15
  • 来自:
发表于: 2006-11-11 23:41 | 短消息 资料
字号: 8楼

Dd11.exe大小为30,465字节,FSG加壳处理。
病毒运行后会在%SYSTEM%下面释放FuckJacks.exe这么一个文件,同Dd11.exe。并且在每个分区根目录下面释放setup.exe和autorun.inf文件(利用系统自动播放达到启动目的)。
FuckJacks.exe将调用CMD.EXE、NET.EXE以及NET1.EXE几个程序,同时占用大量CPU,会结束掉一些进程,比如注册表编辑器、IceSword所有版本等。
病毒会覆盖或者修改掉正常的程序,当EXE程序的文件名第一个为数字或者字母a-d(A-D)时会立刻进行覆盖或修改,其他文件名的程序会慢慢侵蚀。
************************************
病毒会删除“安全中心”的相关注册表。
病毒增加如下注册表启动项:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"FuckJacks"="%SYSTEM%\\FuckJacks.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"svohost"="%SYSTEM%\\FuckJacks.exe"
[HKEY_USERS\S-1-5-21-1757981266-2111687655-682003330-500\Software\Microsoft\Windows\CurrentVersion\Run]
"FuckJacks"="%SYSTEM%\\FuckJacks.exe"
************************************
关于病毒的清除:
1、打开任务管理器,结束掉FuckJacks.exe进程。
2、右击每个分区盘符选择“打开”删除分区根目录下面的setup.exe和autorun.inf文件。
3、删除上面提到的病毒增加的注册表值。
4、关于安全中心的恢复可以从正常系统中倒入注册表,或者跳过这一步,不是特别重要。
5、被病毒覆盖的文件(覆盖后的文件大小为30,465字节)是不可恢复的,直接删除;被修改的文件用16进制编辑器删除00000000到00007700的代码段,在文件末尾找到并删除从“WhBoy”到最后所有的代码段保存即可恢复原貌。


对于修改的正常文件(非覆盖),可以新建一个空文件夹,把这个被修改的正常文件放在里面运行这个文件即可恢复原貌
gototop
 
猪知山
头像
锋芒艾服狮
  • 帖子:1891
  • 注册: 2005-03-11
  • 来自:
发表于: 2006-11-12 07:16 | 短消息 资料
字号: 9楼

学习
gototop
 
闪电风暴
头像
特邀体验者
  • 帖子:5462
  • 注册: 2005-01-12
  • 来自:0GiNr
发表于: 2006-11-12 09:45 | 短消息 资料
字号: 10楼

学习了=>kxzhmc500@sina.com
gototop
 
<<上一主题|下一主题>>
12345678   1  /  8  页   跳转
页面顶部
Powered by Discuz!NT