写在前面:引用:
1,部分参考来自阿虎的百度空间可以点击访问
2,样本来自某挂马网站,通过常见的系统漏洞和应用软件漏洞下载到电脑(注意及时更新系统补丁和常用应用软件到最新版本,比如迅雷 realplayer 暴风2 超星阅读 ppstream等)
3,由于此病毒下载了大量的盗号木马会对你的帐号安全产生巨大的影响,建议及时更新你的杀毒软件以免感染,对于感染了此病毒的朋友可以通过扫描sreng日志或者导出清理专家的日志到论坛救援区求助
1,提升自己的战斗力 获得对其他进程的debug权限,OpenProcessToken获得进程访问令牌的句柄,LookupPrivilegeValue 查询进程的权限,然后调用AdjustTokenPrivileges修改访问权限为SeDebugPrivilege权限 查找explorer所在的路径然后判断创建一个互斥变量{50632D5C-B71B-4ba0-B012-3DC6F15C011B}
2,获取系统目录将自身的一个拷贝复制到系统目录下并重命名为msosiocp.dll,然后通过枚举进程找到资源管理器(explorer)进程,然后以调用openprocess(PROCESS_CREATE_THREAD,PROCESS_VM_OPERATION,PROCESS_VM_READ,PROCESS_VM_WRITE)打开explorer进程通过函数在exolorer分配
内存调用把msosiocp.dll写入到explorer进程中,以挂起方式建立远端线程,以便以后操作
3,创建一个线程,释放101.dll
文件 然后拷贝到C:\
windows\system32\Setup\en_1072.bin修改注册表添加CLSID\{AE27505C-C46F-4eb2-9A17-5D1E1F46BC09}\InprocServer32,All
FilesystemObjects\shellex\ContextMenuHandlers\winsync32 实现
开机自启动,根据调用URLDownloadToFileA函数根据
http://xxoo.258dm.com/okok.txt下载病毒文件到%temp%路径下
引用:
009AFC44 80000000 |hKey = HKEY_CLASSES_ROOT
009AFC48 009AFDA0 |Subkey = "CLSID\{AE27505C-C46F-4eb2-9A17-5D1E1F46BC09}\InprocServer32"
009AFC4C 00000000 |Reserved = 0
009AFC50 00000000 |Class = NULL
009AFC54 00000000 |Options = REG_OPTION_NON_VOLATILE
009AFC58 000F003F |Access = KEY_ALL_ACCESS
009AFC5C 00000000 |pSecurity = NULL
009AFC60 009AFC78 |pHandle = 009AFC78
009AFC64 009AFC74 \pDisposition = 009AFC74
009AFC50 80000000 |hKey = HKEY_CLASSES_ROOT
009AFC54 009AFDA0 |Subkey = "AllFilesystemObjects\shellex\ContextMenuHandlers\winsync32"
009AFC58 00000000 |Reserved = 0
009AFC5C 00000000 |Class = NULL
009AFC60 00000000 |Options = REG_OPTION_NON_VOLATILE
009AFC64 000F003F |Access = KEY_ALL_ACCESS
009AFC68 00000000 |pSecurity = NULL
009AFC6C 009AFC84 |pHandle = 009AFC84
009AFC70 009AFC80 \pDisposition = 009AFC80
[ver]
ver=1
1=http://13.14.25.8/aO.exe
2=http://13.14.25.8/a1.exe
3=http://13.14.25.8/a2.exe
4=http://13.14.25.8/a3.exe
5=http://13.14.25.8/a4.exe
6=http://13.14.25.8/a5.exe
7=http://13.14.25.8/a6.exe
8=http://13.14.25.8/a7.exe
9=http://13.14.25.8/a8.exe
10=http://13.14.25.8/a9.exe
11=http://13.14.25.8/a10.exe
12=http://13.14.25.8/a11.exe
13=http://13.14.25.8/a12.exe
14=http://13.14.25.8/a13.exe
15=http://13.14.25.8/a14.exe
16=http://13.14.25.8/a15.exe
17=http://13.14.25.8/a16.exe
18=http://13.14.25.8/a17.exe
19=http://13.14.25.8/a18.exe
20=http://13.14.25.8/a19.exe
21=http://13.14.25.8/a20.exe
22=http://13.14.25.8/a21.exe
23=http://13.14.25.8/a22.exe
24=http://13.14.25.8/a23.exe
25=http://13.14.25.8/a24.exe
26=http://13.14.25.8/a25.exe
27=http://13.14.25.8/a26.exe
28=http://13.14.25.8/a27.exe
29=http://13.14.25.8/a28.exe
30=http://13.14.25.8/a29.exe
31=http://13.14.25.8/a30.exe
32=http://13.14.25.8/avp.exe
4,打开一个\\.\klif 设备 如果发现就通过close关闭其句柄 ,释放替换系统驱动beep.sys C:\WINDOWS\system32\drivers\beep.sys(系统会有替换
提示), C:\WINDOWS\system32\ dllcache \beep.sys,然后会通过SC进行添加服务,启动服务,启动完毕会将服务删除。如果没有发现就释放一个文件到%temp%文件夹并创建一个名为winsync32的服务,尝试启动后删除之
引用:
0006F544 100031A8 |FileName = "\\.\KLIF"
0006F548 00000000 |Access = 0
0006F54C 00000003 |ShareMode = FILE_SHARE_READ|FILE_SHARE_WRITE
0006F550 00000000 |pSecurity = NULL
0006F554 00000003 |Mode = OPEN_EXISTING
0006F558 00000000 |Attributes = 0
0006F55C 00000000 \hTemplateFile = NULL
0006F404 0008CAA8 |hManager = 0008CAA8
0006F408 100031B8 |ServiceName = "winsync32"
0006F40C 100031B8 |DisplayName = "winsync32"
0006F410 000F01FF |DesiredAccess = SERVICE_ALL_ACCESS
0006F414 00000001 |ServiceType = SERVICE_KERNEL_DRIVER
0006F418 00000002 |StartType = SERVICE_AUTO_START
0006F41C 00000000 |ErrorControl = SERVICE_ERROR_IGNORE
0006F420 0006F464 |BinaryPathName = "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp23.tmp"
0006F424 00000000 |LoadOrderGroup = NULL
0006F428 00000000 |pTagId = NULL
0006F42C 00000000 |pDependencies = NULL
0006F430 00000000 |ServiceStartName = NULL
0006F434 00000000 \Password = NULL
[
本帖最后由 一把锈剑 于 2008-3-26 14:53 编辑 ]
