超强下载者病毒weiai.exe,system.exe,hbkernel32.sys分析

      获取这个样本真是非常意外。今日打开我的纳米盘,突然发现有个程序weiai.rar不是我自己传的,下载下来之后测试发现大有名堂。解压缩,卡巴马上就报病毒,说是灰鸽子,测试发现这是一个能够U盘传播的下载者病毒来的,更离奇的是我从管理里面删除了这个资源,但是只是从我的列表中消失了,其下载地址同样可以下载,纳米盘看来有点危险了。
    经过简单测试,这个病毒虽然年事已高(2005年9月26修改),但是其表现依然非常强劲,延续先前磁碟机的风格,干掉许多安全软件,驱动干掉SSM,模拟点击干掉icesword,上次写博时还说这个没有关闭autoruns,现在已经是其关注对象,可能sreng是新版的原因并没被破坏,Wsyscheck驱动加载被破坏。
点击放大图片

其表现为:
在各个根目录下释放
X:weiai.exe
X:autoiruns.inf
autoiruns.inf的内容:
[AutoRun] Open=weiai.exe Shell\Open=打开(&O) Shell\Open\Command=weiai.exe Shell\Open\Default=1 Shell\Explore=资源管理器(&X) Shell\Explore\Command=weiai.exe

访问8886663.com/www.txt获取下载病毒指令,www.txt的内容为
http://121.10.104.147:88/0.exe,http://121.10.104.147:88/1.exe,http://121.10.104.147:88/2.exe,http://121.10.104.147:88/3.exe,http://121.10.104.147:88/4.exe,http://121.10.104.147:88/5.exe,http://121.10.104.147:88/6.exe,http://121.10.104.147:88/7.exe,http://121.10.104.147:88/8.exe,http://121.10.104.147:88/9.exe,http://121.10.104.147:88/10.exe,http://121.10.104.147:88/11.exe
http://121.10.104.147:88/12.exe,http://121.10.104.147:88/13.exe,http://121.10.104.147:88/14.exe,http://121.10.104.147:88/15.exe,http://121.10.104.147:88/16.exe,http://121.10.104.147:88/17.exe,http://121.10.104.147:88/18.exe,http://121.10.104.147:88/19.exe,http://121.10.104.147:88/20.exe,http://121.10.104.147:88/21.exe,http://121.10.104.147:88/22.exe,http://121.10.104.147:88/23.exe
http://121.10.104.147:88/24.exe,http://121.10.104.147:88/25.exe,http://121.10.104.147:88/26.exe,http://121.10.104.147:88/27.exe,http://121.10.104.147:88/28.exe,http://121.10.104.147:88/29.exe,http://121.10.104.147:88/30.exe,http://121.10.104.147:88/31.exe,http://121.10.104.147:88/32.exe,http://121.10.104.147:88/33.exe,http://121.10.104.147:88/34.exe,http://121.10.104.147:88/35.exe
http://121.10.104.147:88/36.exe
http://www.net-ddos.com/youxi/weiai1.exe
或者
http://www.net-ddos.com/youxi/0.exe,1.exe,2.exe,3.exe,4.exe,5.exe,6.exe,7.exe,8.exe,9.exe
10.exe,11.exe,12.exe,13.exe,14.exe,15.exe,16.exe,17.exe,18.exe19.exe,20.exe,21.exe,22.exe,
23.exe,24.exe,25.exe,26.exe,27.exe,28.exe,29.exe,30.exe,31.exe,32.exe,33.exe,34.exe,35.exe,36.exe
http://121.10.104.147:88/weiai1.exe
之后运行下载的这些盗号的onlinegames病毒变种和玛格尼亚变种AF。
121.10.104.147为湛江市IP,www.net-ddos.com为惠州市IP121.14.156.59下的域名,此ip下还有其他几个域名6uuu.net.cn,qq-xing.com.cn  新闻中心_腾讯网,www.79sf.cn ,都是无法访问的木马下载服务器。

添加启动项
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HBService32        c:\windows\system32\system.exe
weiai        c:\windows\system32\weiai.exe    
HKLM\System\CurrentControlSet\Services            
8882fa1        c:\windows\system32\8882fa1.sys    
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls
AppInit_DLLs:svtepps.dll appmic.dll kandaof.dll cmbdaf.dll kandofn.dll hvexalt.dll catower.dll jolndyo.dll                

释放文件
c:\windows\system32\drivers\8882fa1.sys
c:\windows\system32\drivers\cdaudio.sys
c:\windows\system32\drivers\OLD16.tmp
c:\windows\system32\4c70249.sys
c:\windows\system32\drivers\hbkernel32.sys
c:\windows\system32\appmic.dll
c:\windows\system32\catower.dll
c:\windows\system32\cgzytlxm.dll
c:\windows\system32\cgzytlxm.nls
c:\windows\system32\cmbdaf.dll
c:\windows\system32\cvnxzuci.dll
c:\windows\system32\cvnxzuci.nls
c:\windows\system32\cynrrnnw.dll
c:\windows\system32\cynrrnnw.nls
c:\windows\system32\E4814792.cfg
c:\windows\system32\E4814792.dll
c:\windows\system32\HBASKTAO.dll
c:\windows\system32\HBBO.dll
c:\windows\system32\HBDNF.dll
c:\windows\system32\HBKDXY.dll
c:\windows\system32\HBmhly.dll
c:\windows\system32\HBQQFFO.dll
c:\windows\system32\HBQQSG.dll
c:\windows\system32\HBSO2.dll
c:\windows\system32\HBSOUL.dll
c:\windows\system32\HBTL.dll
c:\windows\system32\HBWOW.dll
c:\windows\system32\HBXY2.dll
c:\windows\system32\HBZHUXIAN.dll
c:\windows\system32\hvexalt.dll
c:\windows\system32\ilvvfzmg.dll
c:\windows\system32\ilvvfzmg.nls
c:\windows\system32\isgcixdw.dll
c:\windows\system32\isgcixdw.nls
c:\windows\system32\jolndyo.dll
c:\windows\system32\kandaof.dll
c:\windows\system32\kandofn.dll
c:\windows\system32\ksuserfy.dll
c:\windows\system32\ksuserfy.nls
c:\windows\system32\mzpcpupe.dll
c:\windows\system32\mzpcpupe.nls
c:\windows\system32\OLD29.tmp
c:\windows\system32\saw110.dll
然后就是下载大量病毒文件在c:\docume~1\admini~1\locals~1\temp\
wowinitcode.dat,tempfile(33).exe..................

映像劫持下列软件
360hotfix.exe,360rpt.exe,360Safe.exe,360safebox.exe,360tray.exe,adam.exe,AgentSvr.exe,AntiArp.exe,
apitrap.dll,AppSvc32.exe,arvmon.exe,ASSTE.dll,AutoGuarder.exe,autoruns.exe,avgrssvc.exe,AvMonitor.exe,
avp.com,avp.exe,AVSTE.dll,CCenter.exe,ccSvcHst.exe,Cleanup.dll,cqw32.exe,divx.dll,divxdec.ax,DJSMAR00.dll,
DRMINST.dll,enc98.EXE,EncodeDivXExt.dll,EncryptPatchVer.dll,FileDsty.exe,findt2005.exe,front.exe,FTCleanerShell.exe,
fullsoft.dll,GBROWSER.DLL,HijackThis.exe,htmlmarq.ocx,htmlmm.ocx,IceSword.exe,install.exe,iparmo.exe,Iparmor.exe,
IsHelp.exe,ishscan.dll,isPwdSvc.exe,ISSTE.dll,javai.dll,jvm.dll,jvm_g.dll,kabaload.exe,KaScrScn.SCR,KASMain.exe,KASTask.exe,
KAV32.exe,KAVDX.exe,KAVPFW.exe,KAVSetup.exe,KAVStart.exe,killhidepid.exe,KISLnchr.exe,KMailMon.exe,KMFilter.exe,KPFW32.exe,
KPFW32X.exe,KPFWSvc.exe,KRegEx.exe,KRepair.COM,KsLoader.exe,KVCenter.kxp,KvDetect.exe,kvfw.exe,KvfwMcl.exe,KVMonXP.kxp,KVMonXP_1.kxp,
kvol.exe,kvolself.exe,KvReport.kxp,KVScan.kxp,KVSrvXP.exe,KVStub.kxp,kvupload.exe,kvwsc.exe,KvXP.kxp,KvXP_1.kxp,KWatch.exe,KWatch9x.exe,
KWatchX.exe,loaddll.exe,MagicSet.exe,main123w.dll,mcconsol.exe,mmqczj.exe,mmsk.exe,mngreg32.exe,msci_uno.dll,mscoree.dll,mscorsvr.dll,
mscorwks.dll,msjava.dll,mso.dll,NAVOPTRF.dll,NAVSetup.exe,NeVideoFX.dll,nod32krn.exe,nod32kui.exe,NPMLIC.dll,NSWSTE.dll,PFW.exe,
PFWLiveUpdate.exe,photohse.EXE,PMSTE.dll,ppw32hlp.dll,printhse.EXE,prwin8.EXE,ps80.EXE,psdmt.exe,qfinder.EXE,QHSET.exe,qpw.EXE,
QQDoctor.exe,Ras.exe,Rav.exe,RavCopy.exe,RavMon.exe,RavMonD.exe,RavStore.exe,RavStub.exe,ravt08.exe,RavTask.exe,RegClean.exe,
rfwcfg.exe,RfwMain.exe,rfwolusr.exe,rfwProxy.exe,rfwsrv.exe,RsAgent.exe,Rsaupd.exe,RSTray.exe,runiep.exe,safebank.exe,safeboxTray.exe,
safelive.exe,salwrap.dll,scan32.exe,setup.exe,setup32.dll,sevinst.exe,shcfg32.exe,smartassistant.exe,SmartUp.exe,SREng.exe,SREngPS.exe,
symlcnet.dll,symlcsvc.exe,syscheck.exe,Syscheck2.exe,SysSafe.exe,tcore_ebook.dll,TFDTCTT8.DLL,ToolsUp.exe,TrojanDetector.exe,Trojanwall.exe,
TrojDie.kxp,ua80.EXE,udtapi.dll,UIHost.exe,ums.dll,UmxAgent.exe,UmxAttachment.exe,UmxCfg.exe,UmxFwHlp.exe,UmxPol.exe,UpLive.exe,vb40032.dll,
vbe6.dll,WoptiClean.exe,wpwin8.EXE,xlmlEN.dll,xwsetup.EXE,zxsweep.exe,_INSTPGM.EXE,修复工具.exe,

解决方案:

1,由于这个病毒杀autoiruns,我特意修改了他的标题,可以躲过病毒的干扰。
[url=attachments/month_0810/daokers.rar]autoruns下载[/url]

动手前最好先掐掉网络。

打开程序后,点击“映像劫持”,选择一个项目,右键,选择“跳转到”
点击放大图片

之后新建名为system.exe的项,debugger的值可以设为ntsd -d。
点击放大图片

回到autoruns,点击“appinit”,选择一项,右键“跳转到”。
点击放大图片

选择“权限”,将其完全控制和读取设置为拒绝。
把HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run的权限同样设置为拒绝。
(切记删除前导出键值备份)

2,现在开始删除病毒体文件。
可见这里有2个病毒驱动,第一个驱动是随机的,可能不一样。
点击放大图片

现在复制我上面列出的“释放文件”名单,个案情况可能有出入,采用XDelBox删除。

3,重启后,病毒已经不工作了。打开autoruns修故系统,删除“映像劫持”下的所有内容,释放下面2个键值的权限
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
删除run中的启动项和windows中AppInit_DLLs值的内容,清空c:\docume~1\admini~1\locals~1\temp\
目录。

4,打开sreng,系统修复,windows shell,全选,修复。

5,升级杀软,全盘扫描。


病毒样本下载
纳米下载地址




以下说明属本文之一部分:
转载请保持完整并注明:转自 金刀客[www.daokers.com]


[本日志由 金刀客 于 2009-12-30 11:23 AM 编辑]
相关日志:
在线RSS阅读器订阅:
feedsky
抓虾 pageflakes Rojo google reader
my yahoo newsgator bloglines 有道
鲜果 飞豆 哪吒 Netvibes
Netvibes Netvibes

手机订阅:


本站订阅地址:
RSS2:点击复制
Atom:点击复制
        本站所有原创文章均遵循 [创作共用协议]
        本站原创文章可以转载,但须保持完整性并注明出处。
        COPYRIGHT 2008-2010  §  HTTP://WWW.DAOKERS.COM  §    ALL RIGHTS
评论: 1 | 引用: 0 | 查看次数: -
回复回复jorison[2009-11-06 04:09 PM | del]
金刀,你对于Wsyscheck驱动加载失败有没有什么解决方案?
我曾经碰到过好些恶意程序能够破坏其他安全软件的驱动加载。如果他们使用了高级rootkit技术,而安全软件的驱动无法加载,那么我们无疑是瞎了眼的。晕啊,奈何我只是会用工具的人,不是写工具的人
回复来自 admin 的评论 admin 于 2009-11-06 07:46 PM 回复
这个我也没什么好招,我的办法是找一个生僻点的软件来检查
发表评论
昵 称:
密 码: 游客发言不需要密码.
验证码: 验证码提示:单击自动获取验证码
内 容:
最多可输入,当前共,还可输入
选 项:
虽然发表评论不用注册,但是为了保护您的发言权,建议您注册帐号.