- 积分
- 172
- 威望
- 310
- 元宝
- 5
- 铜钱
- 100
|
1楼
发表于 2007-10-28 18:20
| 只看该作者
"梦中情人sbl"新变种"snow.exe,snowfall.exe"的分析
原创非首发,转载请注明作者:清新阳光 ( http://hi.baidu.com/newcenturysun)' C) _' D$ b( y; P; M5 V# b
样本来自卡饭,此病毒即原先分析过的sbl.exe系列的变种
3 Y+ [: C6 m: x( A* [ @/ Z0 z1 r
, U- s% u) l7 I% Y# |# pFile: AnHao.exe2 } Y$ N/ P( @3 b3 X7 m
Size: 35840 bytes, m! i6 l2 A8 E
File Version: 6.00.2900.3156 (xpsp_sp2_gdr.070613-1234)1 K" ?2 U% ^5 J, ] |
Modified: 2007年10月28日, 12:34:23
" E7 F {- Y0 d, OMD5: 53E349555372ADE49D4FF6C195DCEF5C; _. [2 h! Y( z$ g$ z" P
SHA1: E11B37AF59B6D4B5C64BB0DB600B7AC51D3F32261 Y" y" @# Y1 A* ?. Q
CRC32: 1E49FEA31 r) m$ f1 r, Q6 i/ B+ n8 ^' O
& q0 E& F, v! M$ |! O6 V4 [" E9 g
技术细节:
+ X) C$ b/ ~; A, i* M1 F1 ~9 C: V& |6 r1 q: j, K
1、释放病毒副本:$ x) F* _7 J/ Y& H1 \$ B8 m2 p
%systemroot%\system32\1.inf+ r, X: C- M: S# A1 H. D: D& ~
%systemroot%\system32\forget.dll. } D" H- M5 G2 l
%systemroot%\system32\snowfall.exe: x, ]4 o$ l+ u" l
检测各个分区根目录下是否有autorun.inf的文件或者文件夹,如果有则将其改名为AnHao4 k* P2 A" M' R' x
然后在各个分区释放autorun.inf和snow.exe达到通过U盘传播的目的' i& Z( U4 M3 u! z( t2 E/ f
并每隔9s检测是否存在,如不存在,则重写
% J* n+ { Q! F& k%systemroot%\system32\1.inf与autorun.inf内容相同; M: i* k) h: `7 O( K- T! T
5 g2 R W" m: D, d2 y5 S
2.调用cmd.exe 执行cmd.exe /c net stop sharedaccess的命令 关闭Windows自带的防火墙
$ a3 H, U* R9 L2 l( m8 |4 B6 k" n8 d9 `* ]$ }
3.调用TerminateProcess函数关闭如下进程
4 k7 u- z6 b- f' R% n2 T360safe.exe0 ^+ [5 g2 B" o. }9 @. ^6 v9 e( E
360tray.exe
! w$ k) v3 C4 w+ c! [) w7 C' b. g) n
4.提升自身权限,关闭avp.exe的句柄
4 Y4 ]: ^6 }0 h" l, ]" F5 A2 A: A n+ D
5.调用FindWindowTextA函数查找窗口标题,并通过PostMessageA函数发送WM_CLOSE,WM_DESTROY,WM_QUIT的消息关闭带有如下字样的窗口
+ c5 K! I3 N! U3 q2 w防火墙2 G/ a: }. \/ K! g7 _+ z9 ?7 c5 `
任务管理器
2 I9 x4 i6 z0 ^7 D0 X4 @7 |' q4 E木马清道夫9 t% w- G/ k7 P. }% s9 d% S
木马克星7 r0 B: P/ s; z2 r
超级巡警
2 Q1 R, W7 p. M3 }: X2 M主线程
0 t* w+ W7 {( u% |9 E1 |# L; _' ENOD32核心7 R" p; g2 t g2 y, k
微点! d4 j( [/ h2 v' f
安全卫士
& R" P, P. \- L" b; W% e( x木马杀客
/ \% y p5 t4 V7 kNOD32 内核
4 z6 l% l/ R U5 U6 _杀毒
- }6 x& ?, q2 i9 z# D' C: f江民2 ^0 g8 ?! b' W
金山
/ N4 W4 p0 [& u( v& x" A
7 h* P( r6 M. E9 T. ?6.在HKLM\software\microsoft\windows NT\currentversion\image file execution options下面添加项目映像劫持以下杀毒软件和安全工具
- A ^2 B" i( m8 E% p0 t360rpt.exe) p2 h5 a+ x$ F2 F3 R; X8 G* g
360Safe.exe
1 X! L3 f9 K0 d6 P+ {, Q2 V [360tray.exe9 z F" d7 E) l" P
adam.exe6 Q5 y- `0 r" ^5 z. r
AgentSvr.exe& L' ]1 P: m D
AppSvc32.exe
$ E& { |9 l( ~( ^( k) Fautoruns.exe
6 |& C) D J' N& Navgrssvc.exe8 w2 ~! v' ^% G. f
AvMonitor.exe; c5 v- L ^8 B( H! |
avp.com9 @* N5 M( _ u) ~# s1 d
avp.exe F$ `; `; p) p# m
CCenter.exe
3 ? }1 `& Y& uccSvcHst.exe
( {0 S$ Q& Q& KFileDsty.exe
' P2 Z4 @/ p& p( OFTCleanerShell.exe) _$ P2 E- w& D0 \ P
HijackThis.exe
7 w$ ~4 \$ Z& y6 O8 Q7 pIceSword.exe& @. W' u* d, _$ p; u
iparmo.exe
( G( }7 r a; Z5 Q2 H* YIparmor.exe
& v7 v4 p4 t' ~5 Z/ `$ gisPwdSvc.exe5 n1 W: |$ d1 A9 l C6 x" ?
kabaload.exe
' m l- ^' C7 {( |KaScrScn.SCR
! Z5 t7 u5 u- V3 oKASMain.exe
0 G* q& `1 v$ i2 c; GKASTask.exe8 M7 A+ O! z" X8 k6 L! O
KAV32.exe
( b |* u0 H2 r: i6 c" ^4 K$ [KAVDX.exe$ ]: l4 x# r" L, b T
KAVPFW.exe8 d# `2 k/ O, z; S
KAVSetup.exe
) y' ]4 S, I. S) _KAVStart.exe* t* {6 @, W/ b
KISLnchr.exe
% U, `+ z& H/ |2 X' J% @. x" Y, u. TKMailMon.exe$ O& y( Z- I) i" k, U* g! ^
KMFilter.exe6 ?7 X, u d0 @9 j" I
KPFW32.exe
' ^" y( q7 t s5 o& f1 B" |KPFW32X.exe
4 C+ ~3 O0 _' UKPFWSvc.exe
2 L$ ^; ?: t. @9 q2 b# s9 R+ \* KKRegEx.exe( i7 q4 Y) C$ }: t+ {
KRepair.COM6 P' m4 @7 l' Q4 G
KsLoader.exe y4 y: }/ Q- f; v* U- B7 b
KVCenter.kxp
. k/ u$ J% O* mKvDetect.exe d$ u0 b* E) d; Y [: x# T, m+ G
KvfwMcl.exe
% x3 u; y$ r7 p: w# bKVMonXP.kxp0 x6 M& b! ]0 p) s5 z) T
KVMonXP_1.kxp1 g1 p$ B0 W2 j, h! H4 C! Q9 W
kvol.exe7 n8 [: g! O w4 P5 _7 T& g. s
kvolself.exe
7 M( b& I' O8 Z8 b) ~' g& jKvReport.kxp
9 |* y2 B0 ]4 k; iKVSrvXP.exe2 g( n7 T8 B' q7 ]9 { b
KVStub.kxp3 ^( N+ o3 L/ w9 R
kvupload.exe4 ^" p, S+ a& S7 u, L
kvwsc.exe- p* z; S1 ?6 N3 g: v$ b' \
KvXP.kxp; v4 _) A' G& m& f
KWatch.exe; A& ^, ~9 K. I; g7 j
KWatch9x.exe
( z t* N" X: H; L$ ZKWatchX.exe
$ h+ a5 [1 t% Zloaddll.exe) ]) P' q3 j9 x; k
MagicSet.exe6 c& q; e4 F6 a" |$ l
mcconsol.exe0 z; o/ ?5 {) Y. w! u
mmqczj.exe
7 v% X) d: ]/ ~mmsk.exe( [ h4 z' z5 P
NAVSetup.exe
& E; S, {# w" O6 t, _nod32krn.exe
9 y$ Q5 t- s' E6 Nnod32kui.exe
9 X E8 s0 y, R V1 APFW.exe7 k9 W: ^# e3 [7 a. G; j! L
PFWLiveUpdate.exe
( H' `! I# W1 P6 XQHSET.exe- H- k) ^1 G1 W$ [8 r# i" W. M
Ras.exe" {6 J4 ?& W9 D: M
Rav.exe
8 u, p; W+ m3 X( S. i* NRavMon.exe
! _/ b5 U2 j1 h$ H- PRavMonD.exe
# U1 G; E! g: V) [9 X+ TRavStub.exe; K6 F" r4 U3 ?( N
RavTask.exe
- A2 Q# J8 }# n2 @4 D- JRegClean.exe4 Q2 t% Q O1 L
rfwcfg.exe+ r0 E o' r# K4 L0 j
RfwMain.exe2 A6 p' A( H3 l& s& i
rfwProxy.exe
% O% D+ G3 m9 nrfwsrv.exe! S9 X! P; Z9 l' s
RsAgent.exe3 j+ h( k) ~9 X1 y! I
Rsaupd.exe5 V7 L+ \6 P- l( f/ f; _
runiep.exe5 |0 q7 u) ^+ X! U1 F+ z8 `
safelive.exe2 {! a( V- {# c: r
scan32.exe; {2 e) f, K0 X3 r- v: H
shcfg32.exe8 h: B7 ?, r% B0 E, Q8 R7 r' m* `
SmartUp.exe
( Z4 O& M: J3 |9 k1 G3 {- n5 YSREng.exe' z* l/ e8 Q G
symlcsvc.exe i7 o/ U9 P m$ h
SysSafe.exe5 a* ?4 G$ D; v# n. J6 }, w$ ~! ~
TrojanDetector.exe/ {3 C- i9 ]. i: o0 |
Trojanwall.exe; Z2 J7 X6 Q! _ ]( f/ C
TrojDie.kxp5 m$ e6 F- p! R& G, Y+ f
UIHost.exe
: I9 u! R* i3 _/ t' F9 A- `4 j9 kUmxAgent.exe. H0 v# ]: I" Y7 H
UmxAttachment.exe" ?% Z1 E+ u' E+ V" X
UmxCfg.exe
" Y7 w: _, @6 J: bUmxFwHlp.exe3 ^5 }6 m$ P7 I9 O9 q( f' M
UmxPol.exe
( `' Y6 S. o6 H tUpLive.EXE1 c) u7 t2 X* p2 [2 h9 j0 D) q3 ]
WoptiClean.exe
# Q/ l: j% F9 D: z2 Izxsweep.exe
$ ]1 v) f T& @3 O, B- Z0 Q$ A4 a8 B8 X: k. l7 C9 T8 o
7.调用CreateProcess打开进程%systemroot%\system32\spoolsv.exe,把%systemroot%\system32\forget.dll注入到spoolsv.exe中,并调用+ X9 d3 Y0 M3 M
urlmon.dll实现下载功能
3 [3 z2 n* y i/ G( x R% z8 W下载http://www.hackceo.com/ts.jif到c:\a.exe
+ v3 ?5 u6 V& n% @# ~http://www.hackceo.com/ts.jpg到c:\b.exe
! D+ l( S8 C3 n4 F3 c! z( M9 whttp://www.hackceo.com/ts.rar到c:\c.exe# B& e6 S { ]( o) u- L
但下载链接均已失效,无法判断是什么病毒...
, {1 E% f' m$ l* y2 p# [% l# q. y6 q( f! d. } L1 {
8.病毒体内有字样“mylovegirlsbl”8 [ b' q0 ^1 q
/ `! z& j! c+ ?: w2 H
解决办法:+ z5 V, \+ d: J$ j& n0 c# b
下载冰刃:
6 J+ Y- ~# a' m) z6 Yhttp://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip
+ S7 y* r6 i0 f7 N. Wsreng:
, T# H2 F0 N+ ~' G# D9 `http://download.kztechs.com/files/sreng2.zip' h! a, y! A- H! y9 @- I5 z
! ` P& u: V, D/ n+ H i
1.解压缩冰刃
' b% b6 S% L8 |" y1 a! G3 S把冰刃的Icesword.exe改名为1.com$ A, o: {8 c, H' \, X
切换到进程一栏 找到%systemroot%\system32\snowfall.exe
. k b) d' f( ]6 O7 p0 x9 f/ e右键 结束进程( N. h2 D: U% C, {: E4 e
! a! d9 K1 j( j I' T
$ c o8 W1 T/ S( t' s
2.(还是在冰刃中)点击左下角的文件按钮6 w- C7 }+ h# L6 N: M; w
找到如下文件 删除之
^/ x% A! ?3 o% _/ B%systemroot%\system32\1.inf
2 {: Q7 l; I2 r& z( i! F$ k. g9 a w%systemroot%\system32\forget.dll, {% n" ~' G& X/ f" S6 J; i5 }
%systemroot%\system32\snowfall.exe+ n6 b9 ~! c4 N
并删除各个分区下面的snow.exe和autorun.inf(不要忘记) K0 }; v8 E# q$ O/ H
5 G2 M7 e- Q# h+ @# @" G3 B H3.把sreng.exe改名为2.com,运行' W9 Z2 ?* Y0 Y# l1 v7 Z
启动项目 注册表
B2 S) P# S/ S+ E- Q, ~2 a* h2 i! Q0 V删除所有红色的IFEO映像劫持项目
0 |$ ?& [! f1 n# Q
6 Z- H. u5 f7 d$ N b
2 @: {2 ~8 D& `6 P" r7 U* kPS:从拿到第一个版本的sbl到现在这个版本,病毒作者逐渐添加了各种功能,从关闭窗口到现在流行的映像劫持,同时也发现了作者的一些内心情感变化,从先前的“lovesbl”的“表白”,到“dream”,再到现在的“forget”,是不是表明这段感情该结束了呢?希望随着这段感情的结束,作者对于病毒的更新也尽快结束吧! |
-
1
评分次数
-
|
发表于 2007-10-28 21:43
| 
发表于 2007-10-28 21:54
| 
