作者:清新阳光
原文出处:http://hi.baidu.com/newcenturysun/blog/item/652eb58bf24f937e9e2fb4af.html
今天接到了一个病毒 样本Backdoor.RWX.2005.hy 测试了一下 发现他是个比较怪异的病毒
下面我们就来看看他如何怪异
病毒主要特征:
1.结束一些杀毒软件和安全工具进程
2.IFEO映像劫持 cmd regedit msconfig等文件
3.通过硬盘双击启动(怪就怪在这点,而且作者很聪明)
病毒分析:
File: dllhost.exe
Size: 762368 bytes
File Version: 3.0.2.3
MD5: 1D8B98F417340D9B399A5F9F9944B2E3
SHA1: 19E4F629D735AC04504510B3A2D6124E654BF883
CRC32: 0ACAB18C
运行后
生成如下文件
C:\WINDOWS\dllhost.exe
C:\WINDOWS\setuprs1.PIF
创建服务COMSystemApp
服务相关键值
HKLM\SYSTEM\ControlSet001\Services\COMSystemApp\Security\Security: 01 00 14 80 90 00 00 00 9C 00 00
00 14 00 00 00 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00
00 00 00 02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 00 05 12 00 00 00 00 00 18
00 FF 01 0F 00 01 02 00 00 00 00 00 05 20 00 00 00 20 02 00 00 00 00 14 00 8D 01 02 00 01 01 00 00 00
00 00 05 0B 00 00 00 00 00 18 00 FD 01 02 00 01 02 00 00 00 00 00 05 20 00 00 00 23 02 00 00 01 01 00
00 00 00 00 05 12 00 00 00 01 01 00 00 00 00 00 05 12 00 00 00
HKLM\SYSTEM\ControlSet001\Services\COMSystemApp\Type: 0x00000110
HKLM\SYSTEM\ControlSet001\Services\COMSystemApp\Start: 0x00000002
HKLM\SYSTEM\ControlSet001\Services\COMSystemApp\ErrorControl: 0x00000000
HKLM\SYSTEM\ControlSet001\Services\COMSystemApp\ImagePath: "C:\WINDOWS\dllhost.exe -netsvcs"
HKLM\SYSTEM\ControlSet001\Services\COMSystemApp\DisplayName: "COM+ System Applications"
HKLM\SYSTEM\ControlSet001\Services\COMSystemApp\ObjectName: "LocalSystem"
HKLM\SYSTEM\ControlSet001\Services\COMSystemApp\Description: "管理基于组件对象模型 (COM+) 的组件的配
置和跟踪。如果停止该服务,则大多数基于 COM+ 的组件将不能正常工作。如果禁用该服务,则任何明确依赖它的
服务都将无法启动"
HKLM\SYSTEM\ControlSet001\Services\COMSystemApp\FailureActions: 00 00 00 00 00 00 00 00 00 00 00 00
03 00 00 00 53 00 65 00 01 00 00 00 00 00 00 00 01 00 00 00 00 00 00 00 01 00 00 00 00 00 00 00
结束以下进程
autoruns
autoruns.exe
procexp.exe
WoptiProcess.exe
KavPFW.EXE
KPFW32.EXE
RfwMain.EXE
RRfwMain.EXE
PFW.exe
ewido.exe
SysSafe.exe
FireWall.exe
kpf4gui.exe
McAfeeFire.exe
FireTray.exe
jpf.exe
ssgui.exe
outpost.exe
360tray.exe
FYFireWall.exe
runiep.exe
Ras.exe
cpf.exe
KAVPF.exe
kav.exe
avp.exe
avpcc.exe
mmc.exe
KBVXP.kxp
KvMonXP.kxp
KVCenter.kxp
TrojDie.kxp
监控如下窗口 如果发现他们则将其关闭
天网防火墙个人版
Tapplication
天网防火墙企业版
噬菌体
TfLockDownMain
ZoneAlarm
ZAFrameWnd
ZoneAlarm Pro
IFEO映像劫持cmd.exe msconfig.exe regedit.exe regedt32.exe 到C:\WINDOWS\setuprs1.PIF
连接218.16.138.64:83
下面就是比较“聪明”比较怪异的地方了
在第一次运行样本的同时 在每个分区根目录下面 生成autorun.inf.tmp的文件 和一个歧义文件名runauto..\的文
件夹
这个文件夹是通过歧义文件名创立的 所以通过一般手段是删不掉的
这个文件夹有什么用呢?
而且奇怪的是 怎么生成的是autorun.inf.tmp呢 这样怎么达到双击启动病毒的目的呢
别急 病毒创建了这么一个注册表键值
注册表群组: System Critical
对象:
注册表键: HKLM\SYSTEM\CurrentControlSet\Control\Session Manager
注册表值: PendingFileRenameOperations
新的值:
类型: REG_MULTI_SZ
值:
\??\C:\autorun.inf.tmp
\??\C:\autorun.inf
也就是说你重启以后 会自动 把autorun.inf.tmp重命名为autorun.inf
再看那个autorun.inf的内容吧
[AutoRun]
open=RUNAUT~1\autorun.pif
shell\1=打开(&O)
shell\1\Command=RUNAUT~1\autorun.pif
shell\2\=浏览(&B)
shell\2\Command=RUNAUT~1\autorun.pif
shellexecute=RUNAUT~1\autorun.pif
这回明白了吧 那个runauto..\的文件夹中 有一个autorun.pif的文件
双击启动的就是他
autorun.pif当然就是 病毒文件咯
原来runauto..\是为了保护 病毒文件的 这回杀毒软件也没辙了吧。。
而且为隐人耳目 这个东西使得右键菜单中的出现了两个打开 和一个浏览
点击 第一个打开 和浏览 都会激活病毒(见图)
而且那几个被映像劫持的文件 也很隐人耳目
当我们在 运行中输入 cmd回车的时候
首先会劫持到C:\WINDOWS\setuprs1.PIF 运行之 然后 由C:\WINDOWS\setuprs1.PIF马上复制一个cmd.exe出来并把
他重命名为 cmd.exe.exe 最后启动他
如果我们打开的是注册表 那么同样打开的也是 regedit.exe.exe而之中一切发生的变化我们会浑然不知
说说解决办法吧
还是安全模式吧
打开sreng (还好 还可以用)
“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”,
选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:
[COM+ System Applications / COMSystemApp][Running/Auto Start]
<C:\WINDOWS\dllhost.exe -netsvcs><>
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件
(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
右键 点击 最下面的 “打开” 打开C盘
删除C:\WINDOWS\dllhost.exe
C:\WINDOWS\setuprs1.PIF
利用autoruns.exe 恢复被映像劫持的文件(autoruns也要重命名,否则可能会被结束)
接下来 我们来对付那个歧义文件名的文件夹
开始 运行 输入cmd(此时 已经恢复了IFEO,所以可以用了)
依次输入 rd /s c:\runauto..\
rd /s d:\runauto..\
del C:\autorun.inf
del d:\autorun.inf
.....
有几个分区 输入几个
好了 大功告成
总结一下 现在病毒可以说越来越恶劣 越来越“聪明”了 各位加强防范是关键啊!