- 最后登录
- 2010-1-8
- 在线时间
- 99 小时
- 注册时间
- 2007-6-16
- 阅读权限
- 200
- 帖子
- 30
- 精华
- 6
- UID
- 1439149
 
- 铜钱
- 102
- 元宝
- 5
- 威望
- 314
- 积分
- 174
|
发表于 2007-10-28 18:20:02
|显示全部楼层
原创非首发,转载请注明作者:清新阳光 ( http://hi.baidu.com/newcenturysun)' d- ^7 ^: u: z* a" j7 Z
样本来自卡饭,此病毒即原先分析过的sbl.exe系列的变种
6 _+ z2 C- `) W0 L* f% Q9 ^1 p4 y5 [* \* |2 Y) \
File: AnHao.exe
. ~6 z4 k/ ?& T! F+ e: RSize: 35840 bytes) a% P2 _: H! |! A/ I6 r z' W
File Version: 6.00.2900.3156 (xpsp_sp2_gdr.070613-1234)# J7 }& R3 K, W3 Z, m9 ?8 U
Modified: 2007年10月28日, 12:34:23. B- X' x# T& e, O2 w
MD5: 53E349555372ADE49D4FF6C195DCEF5C/ o) S8 z6 G. y& S2 Q
SHA1: E11B37AF59B6D4B5C64BB0DB600B7AC51D3F3226) w1 a! ~+ j1 \+ h% y
CRC32: 1E49FEA33 ~+ |$ v' ` P
+ q+ k5 X3 n" E5 h技术细节:
! v' Z2 G3 \$ m: i5 } q# F' k) n. k5 v; ^
1、释放病毒副本:
$ i) c) u# C* d8 `& h; A3 h%systemroot%\system32\1.inf
/ N' D, w' z" Z4 y0 V%systemroot%\system32\forget.dll
3 N2 C- a' S& y9 T. p%systemroot%\system32\snowfall.exe" K/ ]/ D% m4 E- I
检测各个分区根目录下是否有autorun.inf的文件或者文件夹,如果有则将其改名为AnHao8 y1 p; I3 m# b) e' o% z
然后在各个分区释放autorun.inf和snow.exe达到通过U盘传播的目的
. g7 [4 W1 H- y6 \并每隔9s检测是否存在,如不存在,则重写
) c0 I! `& l" O5 R Y! d%systemroot%\system32\1.inf与autorun.inf内容相同$ |' z( S+ _" y' F
$ T- U/ Q+ |+ K$ n) G+ h( j& g2.调用cmd.exe 执行cmd.exe /c net stop sharedaccess的命令 关闭Windows自带的防火墙
$ J* ?( S1 h5 O& U1 m; u' E8 v0 r7 g7 o3 h* W1 V( K" v1 S
3.调用TerminateProcess函数关闭如下进程
0 _0 ]$ B* u) J: F0 C, i( P% L360safe.exe' [$ } c2 W1 b: _9 E
360tray.exe/ H. v- D' N" N- ~" ~& m
9 C, t9 S9 b! i# Y9 P9 L4.提升自身权限,关闭avp.exe的句柄
0 W+ B9 {* n, G$ x! |% ]
( n% u- W4 G5 @0 d5.调用FindWindowTextA函数查找窗口标题,并通过PostMessageA函数发送WM_CLOSE,WM_DESTROY,WM_QUIT的消息关闭带有如下字样的窗口' Y4 q8 ^) ?% H1 R
防火墙
) E8 C& E& k v6 g2 X$ O( Y任务管理器- a+ V9 I! H8 Y& p& |( o' S+ ~
木马清道夫
/ Q+ y) X2 O# ?8 U- y木马克星* Z L7 f$ m7 i8 p; j
超级巡警; |) V ] L' Q3 ~7 b
主线程$ E8 A) h) o1 T6 p" _ K) u
NOD32核心
9 t! s& U) f6 @- x微点1 B) N9 q; P$ N# U( l- O
安全卫士4 U! U5 `& ]* X2 v6 u9 r
木马杀客
: i: `3 B. z8 VNOD32 内核( t& n- @4 V% `/ i9 H0 G' i$ i
杀毒4 k1 P& v8 c) {9 H2 S) I7 A5 y
江民8 T6 O( o$ a' L+ j3 a% q* a
金山
& J: n( x$ ~! N/ J+ R- M0 D' D5 Z( Z# W; F ?. H
6.在HKLM\software\microsoft\windows NT\currentversion\image file execution options下面添加项目映像劫持以下杀毒软件和安全工具
# D# u+ L+ d! A, S9 v& b" q3 A360rpt.exe( v, n; Q7 b# }+ X' a
360Safe.exe
0 g* f% F0 t2 c+ w' x360tray.exe, W u$ G( z( c' D
adam.exe
, l. J3 f( ?/ R' jAgentSvr.exe) s; ]7 J9 _( I, A9 H# Y; D0 j
AppSvc32.exe
, @' D: C( [$ t; b/ Aautoruns.exe3 @6 ~7 A& A" y6 `
avgrssvc.exe0 Y9 ]# ]$ }* y
AvMonitor.exe( d% Y) H# C( w j5 _
avp.com
2 x3 M8 n$ S* |avp.exe' C5 x. ^% ] q
CCenter.exe8 s3 ^) k/ S5 H. Z
ccSvcHst.exe% D& H" Z0 V+ ?( l) g7 r6 R# \4 |
FileDsty.exe
2 f$ Y# S* ?* V z4 T% [- \2 _/ rFTCleanerShell.exe r: A- S' V0 D$ c! p
HijackThis.exe: B9 f" @( X/ @, r3 |
IceSword.exe
2 y/ n% H& U0 O o! e+ W& ^iparmo.exe
8 K! d v! W' F* R& T0 q+ y% vIparmor.exe5 m' n$ w4 r+ i' p
isPwdSvc.exe
" f7 l9 {/ J5 i5 \ ]: A( Jkabaload.exe
+ ]$ V V" _* ^" q" JKaScrScn.SCR
0 c$ v" S* e: R$ C" mKASMain.exe
6 V9 `! ]+ r5 L FKASTask.exe
/ `+ m% q( s2 A+ p; [ BKAV32.exe) \0 x' O. }3 T M
KAVDX.exe
+ c8 c+ K8 K- {: ]+ \ K! mKAVPFW.exe
9 T1 h, H# L" P6 b, {6 J) I8 uKAVSetup.exe
4 w8 W, ?& \2 [7 z' Y7 F- FKAVStart.exe. Q# L2 i7 N4 f2 y, t7 B0 M6 Z
KISLnchr.exe: O: |9 a. c' R& M8 x
KMailMon.exe
$ {# c& s+ X/ m1 \( q* ~* p# d1 hKMFilter.exe
3 @; w+ x2 s6 WKPFW32.exe% J) T* @$ ?. Q* U' u U: q
KPFW32X.exe
8 G( ^* b4 x' ]; x& KKPFWSvc.exe
1 e- _. y: L. r4 g7 wKRegEx.exe
% T0 }4 Y( [# B& T6 OKRepair.COM
- n' k. I ]1 P$ B }0 S. D# _$ j2 wKsLoader.exe* O' F) r6 G2 W
KVCenter.kxp
' O. D+ [/ H3 c. t5 K6 ^KvDetect.exe
$ {2 u5 H& ?/ O3 P" G- X( bKvfwMcl.exe
, j/ x! j5 t3 Z2 n: F' g! FKVMonXP.kxp
3 o+ z4 j: i5 L, L- h: V; HKVMonXP_1.kxp
1 A' \0 X, J& q; W* g7 ukvol.exe
) [# p2 F. r* C$ V. N' G& ? ukvolself.exe5 S" B4 w8 ^ v' m
KvReport.kxp
, S6 i0 [# ~" D) MKVSrvXP.exe
6 S! ?4 x) t& `KVStub.kxp- O$ t* b9 a- v$ W8 M, l: c8 w: J
kvupload.exe. v3 L, p- ^) W F: S% U. k
kvwsc.exe
' `" i6 Q' ?# L3 X' jKvXP.kxp
: U9 t8 s, |! Y3 h: A. QKWatch.exe" L D o& j& M; K
KWatch9x.exe% J+ [& [) |! {$ Z* C8 J f
KWatchX.exe+ P! n1 j, D- ]% v
loaddll.exe
( V W( y5 V, @ v7 d/ G3 k5 W- l: ~MagicSet.exe; C: _, w3 E& i4 f* Y0 G
mcconsol.exe' Y; v T" O9 B) @5 k
mmqczj.exe
u( U& v9 l, ?, xmmsk.exe# b, X# u. H: M
NAVSetup.exe
4 W) [4 i( S/ k+ wnod32krn.exe# f2 w8 u3 a. v8 T9 s( }
nod32kui.exe, T* u" K" S' y5 R+ b8 ^' b7 r" }9 o
PFW.exe$ m: |2 g. o. V1 t
PFWLiveUpdate.exe
" g. K: i! h9 c$ e3 J' w6 dQHSET.exe, ^4 q8 \& N9 W2 v: j
Ras.exe4 ?* x- j. c; a' _" Q) ]5 u- s$ r: u3 M
Rav.exe
$ U1 k, K9 C1 [* M6 _# zRavMon.exe
3 \/ |! {. R. G) P+ N" xRavMonD.exe" c `3 l! ?! u2 h
RavStub.exe
9 T" n9 G; @" G5 f3 _# Q0 jRavTask.exe
8 @* ~! C. i5 jRegClean.exe
/ g' s& O7 d, _" prfwcfg.exe
7 F# H5 C8 t" uRfwMain.exe
1 S' S F8 [' M5 x/ orfwProxy.exe
) }; R8 ~* h% T% G, v P) arfwsrv.exe
+ ]3 T4 i& U: O4 |. J4 VRsAgent.exe0 g1 |( {( }. z% V
Rsaupd.exe
$ Z! I( q5 [! A1 \& M, r# Cruniep.exe6 p1 p# {( g& G" U$ K
safelive.exe% ]! T J& z4 \! E
scan32.exe
2 L' z* K# a W7 u9 s. _5 G# {" vshcfg32.exe
8 a; x/ R: c, ^$ S7 NSmartUp.exe `' ?4 i7 m% O4 n: t
SREng.exe. K& {, I* N8 A6 q0 s4 O
symlcsvc.exe
* H) Q3 u! [; x& X# {SysSafe.exe
4 X+ N6 _5 U# U! V. E, iTrojanDetector.exe
, L* M0 f9 Q0 }9 A" ~Trojanwall.exe+ h9 g2 `, ]! ~0 Q' [
TrojDie.kxp" ?- i& s F- Y- r
UIHost.exe
4 d2 V- } i0 x5 o% ^, r7 T8 [7 UUmxAgent.exe8 Q4 v. E$ `5 u
UmxAttachment.exe
& [1 H: ^# W: e5 E( Y. H5 eUmxCfg.exe' O6 \3 H* }4 e
UmxFwHlp.exe
' B( f5 k; u% o3 gUmxPol.exe
( I' p3 i& f" {6 l- c% ?* FUpLive.EXE& R0 y. W- C6 }4 b& _- H/ _
WoptiClean.exe+ R& T1 O; W/ l
zxsweep.exe
) Y4 k! T, e8 `9 [* q7 a _& f0 W. d7 z) N" P6 W1 s7 {
7.调用CreateProcess打开进程%systemroot%\system32\spoolsv.exe,把%systemroot%\system32\forget.dll注入到spoolsv.exe中,并调用
9 H% b+ U( L$ ~( H) \; }! k+ zurlmon.dll实现下载功能
& n- w0 ^* _) Z) b* j) R# C下载http://www.hackceo.com/ts.jif到c:\a.exe& H9 T- i7 V, s7 a- b4 z
http://www.hackceo.com/ts.jpg到c:\b.exe& c6 y2 q" j/ j' L! V$ m) n
http://www.hackceo.com/ts.rar到c:\c.exe+ D d2 _' h" v6 q- a+ R
但下载链接均已失效,无法判断是什么病毒...
4 t% h; K/ P4 C p0 X4 Q. Z( u3 R( h$ R# R8 @2 u$ ~! Y6 L
8.病毒体内有字样“mylovegirlsbl”3 _6 n2 P1 x7 o: V! z( [' h Q
n, o U7 e8 J
解决办法:4 Q' A. b* l# D! }( W
下载冰刃:
: S" [0 H& v0 }& w4 ehttp://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip d, N$ k, L- T: h' B/ T
sreng:0 p6 D7 K& A' |( k
http://download.kztechs.com/files/sreng2.zip/ ?2 a" o: k6 j2 q! u
5 c2 |# S# F/ |/ X/ k
1.解压缩冰刃" R) }, N* `! f' F) U6 `5 r" Q
把冰刃的Icesword.exe改名为1.com
' x$ O, Q& t' \7 k切换到进程一栏 找到%systemroot%\system32\snowfall.exe
8 \* n7 h, S& {- H' P; ]右键 结束进程1 F/ [8 o4 T* N1 S% n, @
$ M4 U# v" |5 S& ~7 e- J+ z3 y h* A
2.(还是在冰刃中)点击左下角的文件按钮3 V- ~+ z5 r$ w0 C# e6 t7 i
找到如下文件 删除之% D+ t/ Q, m/ s( k: }3 n2 Q" {
%systemroot%\system32\1.inf
/ s; w( v x2 ~% ?% a8 g. h%systemroot%\system32\forget.dll
7 Z8 T- ]" ?6 D6 B4 w U) G' y%systemroot%\system32\snowfall.exe
9 _: Y1 q1 E4 ~' C ~并删除各个分区下面的snow.exe和autorun.inf(不要忘记)1 u( c) ^& F$ d4 G
% B% A$ j1 U( ?3.把sreng.exe改名为2.com,运行8 a! N# H- L% \
启动项目 注册表
$ s/ L9 Y% r+ [4 F6 w; ~; _; t% g删除所有红色的IFEO映像劫持项目3 b4 d$ _6 ~1 N* [. i' \1 o
0 ~$ E5 j8 P8 P1 L7 G9 @8 j4 R9 t0 A4 U8 V
PS:从拿到第一个版本的sbl到现在这个版本,病毒作者逐渐添加了各种功能,从关闭窗口到现在流行的映像劫持,同时也发现了作者的一些内心情感变化,从先前的“lovesbl”的“表白”,到“dream”,再到现在的“forget”,是不是表明这段感情该结束了呢?希望随着这段感情的结束,作者对于病毒的更新也尽快结束吧! |
-
总评分: 威望 + 50
查看全部评分
|
狗仔卡
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
发表于 2007-10-28 21:43:43
