from: http://bbs.xcdx169.net/redirect.php?tid=56034&goto=lastpost&sid=NrNn1c
磁碟机变种简单分析(lsass.exe、smss.exe、dnsq.dll、NetApi000.sys)
这东西接近无敌了:
绕主防/Hips、Byshell技术、监控文件、破组策略/IFEO、U盘感染
进程守护、关杀软、屏蔽安全工具、感染文件(带加密)、破坏安全模式等等
哈哈。
测试为反汇编和一些实机运行跟踪。
因为壳的原因,可能分析的不准确。
1、检查互斥体"xcgucvnzn",判断病毒是否已加载在内存中。
如存在,则退出,防止多个病毒体被执行。
2、创建文件:
C:/037589.log 93696 字节
C:/lsass.exe.1771547.exe 93696 字节
C:/WINDOWS/system32/Com/lsass.exe 93696 字节
C:/WINDOWS/system32/Com/smss.exe 40960 字节
C:/WINDOWS/system32/Com/netcfg.000 16384 字节
C:/WINDOWS/system32/Com/netcfg.dll 16384 字节
C:/WINDOWS/system32/1878253.log 93696 字节(随机)
C:/WINDOWS/system32/dnsq.dll 32256 字节
3、删除组策略限制的注册表项:
HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsoft/Windows/Safer
4、删除:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
HLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/OptionalComponents/
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/Shell Folders/
5、破坏安全模式,删除:
SYSTEM/CurrentControlSet/Control/SafeBoot/Network/{4D36E967-E325-11CE-BFC1-08002BE10318}
SYSTEM/ControlSet001/Control/SafeBoot/Network/{4D36E967-E325-11CE-BFC1-08002BE10318}
SYSTEM/CurrentControlSet/Control/SafeBoot/Minimal/{4D36E967-E325-11CE-BFC1-08002BE10318}
SYSTEM/ControlSet001/Control/SafeBoot/Minimal/{4D36E967-E325-11CE-BFC1-08002BE10318}
6、防止病毒体被重定向,删除:
SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options
(禁止写入)
7、释放驱动C:/NetApi000.sys(/Device/NetApi000)恢复SSDT Hook。
最后删除自身。导致HIps和主动防御失效。
8、修改注册表,开启自动播放:
NoDriveTypeAutoRun DWORD: 145
9、删除服务项(如果有):
SYSTEM/CurrentControlSet/Services/KSysCall
SYSTEM/CurrentControlSet/Services/EQService
SYSTEM/CurrentControlSet/Services/HookSys
SYSTEM/CurrentControlSet/Services/McShield
SYSTEM/CurrentControlSet/Services/tmmbd
SYSTEM/CurrentControlSet/Services/PAVSRV
SYSTEM/CurrentControlSet/Services/SymEvent
SYSTEM/CurrentControlSet/Services/ekrn
SYSTEM/CurrentControlSet/Services/KAVBase
SYSTEM/CurrentControlSet/Services/klif
SYSTEM/CurrentControlSet/Services/AntiVirService
SYSTEM/CurrentControlSet/Services/MPSVCService
10、调用cacls.exe,设置/system32/com 和病毒文件的权限为Everyone:F。
11、/system32/com下启动smss.exe和lsass.exe,使用进程守护。
当一方被结束时,另一个则将其重新启动。
12、C:/windows/system32/dnsq.dll安装全局钩子,注入所有运行中的进程。
13、发送垃圾消息到如下窗口,导致程序无法正常响应,处于假死状态:
avast
mcagent
escan
firewall
AfxControlBar42s
tapplication
antivir
ThunderRT6Timer
thunderrt6formdc
SREng
thunderrt6main
eset
mcafee
afx:
360anti
360safe
avg
facelesswndproc
bitdefender
ewido
#32770
monitor
dr.web
诊
具
SREng 介绍
升级
微点
防
云
墙
kv
木
狙剑
金山
瑞星
..........
14、尝试关闭包含kissvc、guard、watch、scan、twister字符串的进程。
15、独占方式访问:boot.ini和hosts。防止dos级删除病毒和用hosts屏蔽恶意网站。
16、查找网页格式文件,加入一段框架:
[url=htxp://js.k0102.com/01.asp] http://%6A%73%2E%6B%30%31%30%32%2E%63%6F%6D/%30%31%2E%61%73%70[/url]
解密得:[url=hxxp://js.k0102.com/01.asp] http://js.k0102.com/01.asp[/url]
该地址会检测referer,返回的来源地址如果有效,则执行:hxxp://js.k0102.com/a11.htm
感谢刺猬大大的指点。
17、ping.exe -f -n 1 www.baidu.com 。如果网路通畅,调用IE访问:
hxxp://jj.gxgxy.net/html/dg2.html
hxxp://jj.gxgxy.net/html/qb2.html
每隔一段时间执行一次。垃圾广告啊。
18、在可用磁盘生成:pagefile.exe和Autorun.inf,并每隔几秒检测一次。
19、修改注册表:
SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/SuperHidden
把REG_SZ, "checkbox"值填充垃圾数据,破坏“显示系统文件”功能。
20、每隔一段时间会检测自己破坏过的显示文件、安全模式、Ifeo、病毒文件等项。
如被修改则重新破坏。
21、忽略系统盘感染可执行文件,还加密..感染过的程序图标变16位的(模糊)。
支持Rar压缩包内可执行程序的感染 - -!
22、“高科技”:
使用了byshell的技术,当系统关机时调用SeShutdownPrivilege函数时
这时候dnsq.dll会将C盘下的某某.log拷贝到:
C:/Documents and Settings/All Users/「开始」菜单/程序/启动/
名字格式差不多是:~.exe.某某.exe
最后计算机重启后,等病毒完全释放,立刻就删除这个:~.exe.某某.exe
哈哈,真是天衣无缝啊。
其实这种垃圾技术,只要冷启动就可以对付了。
23、尝试删除dnsq.dll的时候,它会立刻重启计算机。由第22点,关机前写入病毒。
造成一个死循环。
24、监控lsass.exe、smss.exe、dnsq.dll文件,假设不存在,由dnsq.dll重新拷贝回去。
因为dnsq.dll安装的是全局钩子(在所有进程中),所以非常麻烦。理论上不可能删除成功
25、当拷贝失败后,病毒会调用rd /s /q命令删除原来的文件,再重新写入。
那么所谓的免疫文件夹就失效了,其中包括歧义文件夹。
26、连接 http://**.k0***.com/go.asp 计算感染人数并跳转 http://**.k0***.com/goto.htm 下载木马。
绕主防/Hips、Byshell技术、监控文件、破组策略/IFEO、U盘感染
进程守护、关杀软、屏蔽安全工具、感染文件(带加密)、破坏安全模式等等
哈哈。
测试为反汇编和一些实机运行跟踪。
因为壳的原因,可能分析的不准确。
1、检查互斥体"xcgucvnzn",判断病毒是否已加载在内存中。
如存在,则退出,防止多个病毒体被执行。
2、创建文件:
C:/037589.log 93696 字节
C:/lsass.exe.1771547.exe 93696 字节
C:/WINDOWS/system32/Com/lsass.exe 93696 字节
C:/WINDOWS/system32/Com/smss.exe 40960 字节
C:/WINDOWS/system32/Com/netcfg.000 16384 字节
C:/WINDOWS/system32/Com/netcfg.dll 16384 字节
C:/WINDOWS/system32/1878253.log 93696 字节(随机)
C:/WINDOWS/system32/dnsq.dll 32256 字节
3、删除组策略限制的注册表项:
HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsoft/Windows/Safer
4、删除:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
HLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/OptionalComponents/
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/Shell Folders/
5、破坏安全模式,删除:
SYSTEM/CurrentControlSet/Control/SafeBoot/Network/{4D36E967-E325-11CE-BFC1-08002BE10318}
SYSTEM/ControlSet001/Control/SafeBoot/Network/{4D36E967-E325-11CE-BFC1-08002BE10318}
SYSTEM/CurrentControlSet/Control/SafeBoot/Minimal/{4D36E967-E325-11CE-BFC1-08002BE10318}
SYSTEM/ControlSet001/Control/SafeBoot/Minimal/{4D36E967-E325-11CE-BFC1-08002BE10318}
6、防止病毒体被重定向,删除:
SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options
(禁止写入)
7、释放驱动C:/NetApi000.sys(/Device/NetApi000)恢复SSDT Hook。
最后删除自身。导致HIps和主动防御失效。
8、修改注册表,开启自动播放:
NoDriveTypeAutoRun DWORD: 145
9、删除服务项(如果有):
SYSTEM/CurrentControlSet/Services/KSysCall
SYSTEM/CurrentControlSet/Services/EQService
SYSTEM/CurrentControlSet/Services/HookSys
SYSTEM/CurrentControlSet/Services/McShield
SYSTEM/CurrentControlSet/Services/tmmbd
SYSTEM/CurrentControlSet/Services/PAVSRV
SYSTEM/CurrentControlSet/Services/SymEvent
SYSTEM/CurrentControlSet/Services/ekrn
SYSTEM/CurrentControlSet/Services/KAVBase
SYSTEM/CurrentControlSet/Services/klif
SYSTEM/CurrentControlSet/Services/AntiVirService
SYSTEM/CurrentControlSet/Services/MPSVCService
10、调用cacls.exe,设置/system32/com 和病毒文件的权限为Everyone:F。
11、/system32/com下启动smss.exe和lsass.exe,使用进程守护。
当一方被结束时,另一个则将其重新启动。
12、C:/windows/system32/dnsq.dll安装全局钩子,注入所有运行中的进程。
13、发送垃圾消息到如下窗口,导致程序无法正常响应,处于假死状态:
avast
mcagent
escan
firewall
AfxControlBar42s
tapplication
antivir
ThunderRT6Timer
thunderrt6formdc
SREng
thunderrt6main
eset
mcafee
afx:
360anti
360safe
avg
facelesswndproc
bitdefender
ewido
#32770
monitor
dr.web
诊
具
SREng 介绍
升级
微点
防
云
墙
kv
木
狙剑
金山
瑞星
..........
14、尝试关闭包含kissvc、guard、watch、scan、twister字符串的进程。
15、独占方式访问:boot.ini和hosts。防止dos级删除病毒和用hosts屏蔽恶意网站。
16、查找网页格式文件,加入一段框架:
[url=htxp://js.k0102.com/01.asp] http://%6A%73%2E%6B%30%31%30%32%2E%63%6F%6D/%30%31%2E%61%73%70[/url]
解密得:[url=hxxp://js.k0102.com/01.asp] http://js.k0102.com/01.asp[/url]
该地址会检测referer,返回的来源地址如果有效,则执行:hxxp://js.k0102.com/a11.htm
感谢刺猬大大的指点。
17、ping.exe -f -n 1 www.baidu.com 。如果网路通畅,调用IE访问:
hxxp://jj.gxgxy.net/html/dg2.html
hxxp://jj.gxgxy.net/html/qb2.html
每隔一段时间执行一次。垃圾广告啊。
18、在可用磁盘生成:pagefile.exe和Autorun.inf,并每隔几秒检测一次。
19、修改注册表:
SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/SuperHidden
把REG_SZ, "checkbox"值填充垃圾数据,破坏“显示系统文件”功能。
20、每隔一段时间会检测自己破坏过的显示文件、安全模式、Ifeo、病毒文件等项。
如被修改则重新破坏。
21、忽略系统盘感染可执行文件,还加密..感染过的程序图标变16位的(模糊)。
支持Rar压缩包内可执行程序的感染 - -!
22、“高科技”:
使用了byshell的技术,当系统关机时调用SeShutdownPrivilege函数时
这时候dnsq.dll会将C盘下的某某.log拷贝到:
C:/Documents and Settings/All Users/「开始」菜单/程序/启动/
名字格式差不多是:~.exe.某某.exe
最后计算机重启后,等病毒完全释放,立刻就删除这个:~.exe.某某.exe
哈哈,真是天衣无缝啊。
其实这种垃圾技术,只要冷启动就可以对付了。
23、尝试删除dnsq.dll的时候,它会立刻重启计算机。由第22点,关机前写入病毒。
造成一个死循环。
24、监控lsass.exe、smss.exe、dnsq.dll文件,假设不存在,由dnsq.dll重新拷贝回去。
因为dnsq.dll安装的是全局钩子(在所有进程中),所以非常麻烦。理论上不可能删除成功
25、当拷贝失败后,病毒会调用rd /s /q命令删除原来的文件,再重新写入。
那么所谓的免疫文件夹就失效了,其中包括歧义文件夹。
26、连接 http://**.k0***.com/go.asp 计算感染人数并跳转 http://**.k0***.com/goto.htm 下载木马。
1737
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
