U盘病毒ah.exe以及其下载的病毒的分析
这是一个类似AV终结者的木马下载器,具有U盘传播,关闭杀毒软件和指定窗口并下载木马的功能
File: ah.exe
Size: 18432 bytes
Modified: 2007年10月12日, 21:12:04
MD5: B329E5D20A1636F2A7EB7051A8ED55A1
SHA1: 4AAE08CB65BFBCC0F5F086AEDB3042ED16332F2F
CRC32: 8300CEA6
AV命名:Trojan.DL.Win32.Autorun.yuz(瑞星)
技术细节:
1、释放病毒副本:
%systemroot%\system32\dream.exe
%systemroot%\system32\sbl.inf
%systemroot%\system32\plmmsbl.dll
各个分区释放autorun.inf和ah.exe
%systemroot%\system32\sbl.inf与autorun.inf内容相同
2.添加注册表启动项目
在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
下添加 {melove}{%systemroot%\system32\dream.exe}
和{dream}{%systemroot%\system32\dream.exe}的启动项目
3.启动一个svchost.exe 然后利用
3.调用cmd.exe 执行cmd.exe /c net stop sharedaccess的命令 关闭Windows自带的防火墙
4.结束如下进程
360safe.exe
360tray.exe
avp.exe
5.检测窗口,关闭带有如下字样的窗口
防火墙
任务管理器
木马清道夫
木马克星
超级巡警
NOD32核心
微点
安全卫士
木马杀客
NOD32 内核
杀毒
江民
金山
6.调用CreateProcess打开进程%systemroot%\system32\svchost.exe,把%systemroot%\system32\plmmsbl.dll注入到svchost.exe中,并调用urlmon.dll实现下载功能
下载http://*.8800.org/lxh.exe
到c盘并命名为a.exe(或者b.exe ,c.exe)
http://*.8800.org/lxh.exe会释放一个winsys16_071012.dll(文件名不固定,病毒几乎每天都在更新)到%systemroot%\system32\下面
并利用rundll32.exe加载
此病毒也是一个类似AV终结者的下载者病毒
添加启动项目
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\
下面添加
向瑞星的IE执行保护 发送允许的指令
向卡巴的安全警告 发送允许或者跳过的指令
并可关闭如下字样的窗口(包括但不限于)
卡巴斯基
瑞星
安全卫士
毒霸
360
江民
Windows任务管理器
雅虎助手
Kaspersky
jiangmin
rising
NOD32
Symantec AntiVirus
系统配置实用程序
注册表编辑器
启动管理
木马
mcafee
duba
金山反间谍
...
之后病毒又会接连下载几个木马程序
木马全部植入完毕以后
木马生成物主要如下
%systemroot%\system\AlxRes071012.exe
%systemroot%\system32\inf\scrsys071012.scr
%systemroot%\system32\inf\scrsys16_071012.dll
%systemroot%\system32\mywebhit.ini
%systemroot%\system32\wincheck071008.dll
%systemroot%\system32\wincheck071008.exe
%systemroot%\system32\winsys16_071012.dll
%systemroot%\system32\winsys32_071012.dll
%systemroot%\checkcj.ini
%systemroot%\mwinsys.ini
sreng日志如下
启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
{mscheck}{rundll32.exe %systemroot%\system32\wincheck071008.dll mymain} [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
{Userinit}{rundll32.exe %systemroot%\system32\winsys16_071012.dll start} [N/A]
{melove}{%systemroot%\system32\dream.exe} []
{dream}{%systemroot%\system32\dream.exe} []
==================================
Autorun.inf
[C:\]
[autorun]
OPEN=ah.exe
shellexecute=ah.exe
shell\Auto\command=ah.exe
shell=open
[D:\]
[autorun]
OPEN=ah.exe
shellexecute=ah.exe
shell\Auto\command=ah.exe
shell=open
解决方法:
down.45its.com下载sreng2.zip和IceSword120_cn.zip(以下简称冰刃)
1.打开Icesword
进程栏中 结束dream.exe和rundll32.exe
单击 左下角文件按钮
删除如下文件
%systemroot%\system\AlxRes071012.exe
%systemroot%\system32\inf\scrsys071012.scr
%systemroot%\system32\inf\scrsys16_071012.dll
%systemroot%\system32\mywebhit.ini
%systemroot%\system32\wincheck071008.dll
%systemroot%\system32\wincheck071008.exe
%systemroot%\system32\winsys16_071012.dll
%systemroot%\system32\winsys32_071012.dll
%systemroot%\checkcj.ini
%systemroot%\mwinsys.ini
%systemroot%\system32\dream.exe
%systemroot%\system32\sbl.inf
%systemroot%\system32\plmmsbl.dll
以及每个分区下面的
ah.exe 和autorun.inf
2.打开sreng
启动项目 注册表
删除如下项目
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
{mscheck}{rundll32.exe %systemroot%\system32\wincheck071008.dll mymain} [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
{Userinit}{rundll32.exe %systemroot%\system32\winsys16_071012.dll start} [N/A]
{melove}{%systemroot%\system32\dream.exe} []
{dream}{%systemroot%\system32\dream.exe} []
即可
