一个下载者病毒vip.exe的分析
这是一个使用VB编写的下载者病毒,具有一定的反安全软件作用,并下载大量盗号木马。
File: vip.exe
Size: 10824 bytes
File Version: 1.00
Modified: 2007年11月16日, 0:39:10
MD5: A483E66E05F598876DE908135EE13C09
SHA1: 6E40B21B50C44F42FA3EE0E31A6F58CC07A3E0E8
CRC32: 17ADD3C3
编写语言:VB
技术细节:
1.该病毒为一个网站挂马所得,不释放任何副本以及修改注册表项目,这可能会成为以后一些木马下载者病毒的趋势,下载之后即立即“毁尸灭迹”
2.对抗安全软件
调用ntsd结束如下进程,对抗安全软件(瑞星防火墙)
rfwmain.exe
rfwsrv.exe
3.结束一些游戏的进程,为了之后的盗号木马做准备
调用ntsd结束如下游戏进程
wow.exe
my.exe
xy2.exe
soul.exe
patchupdate.exe
elementclient.exe
auncher.exe
mir.exe
4.连接网络
通过http://*/tj/post.asp?pcname=*&id=1提交被感染机器的名称
做感染统计
5.连接网络下载http://*/down.jpg 读取里面的木马下载列表,下载木马
http://*/down/my.exe
http://*/down/mh.exe
http://*/down/dh.exe
http://*/down/dh3.exe
http://*/down/wd.exe
http://*/down/wl.exe
http://*/down/qq.exe
http://*/down/wow.exe
到vip.exe当前文件夹
下载的木马会盗如下网络游戏的帐号和密码
QQ
魔兽世界
梦幻西游
大话西游OnlineII
魔域
征途
完美世界
热血江湖
传奇世界
...
木马和病毒普遍采用的是asp发信方式,下图为截获的木马发送的帐号密码信息:
木马和病毒植入完毕后的sreng日志如下:
启动项目
注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\ShellExecuteHooks]
{{8E32FA58-3453-FA2D-BC49-F340348ACCE8}}{%systemroot%\system32\rsmyhpm.dll} []
{{8D47B341-43DF-4563-753F-345FFA3157D8}}{%systemroot%\system32\kvmxhma.dll} []
{{AC87A354-ABC3-DEDE-FF33-3213FD7447CA}}{%systemroot%\system32\kvdxjma.dll} []
{{9D561258-45F3-A451-F908-A258458226D9}}{%systemroot%\system32\kvdxsima.dll} []
{{58907901-1416-3389-9981-372178569985}}{%systemroot%\system32\kawdezy.dll} []
{{4960356A-458E-DE24-BD50-268F589A56A4}}{%systemroot%\system32\avwldmn.dll} []
{{A12C8D43-AC10-4C17-9136-E3E2FC9B3D21}}{%\Program Files%\Internet Explorer\PLUGINS\Wn_Sys8x.Sys} []
==================================
正在运行的进程
[PID: 1736][%systemroot%\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[%systemroot%\system32\kvdxsima.dll] [N/A, ]
[%systemroot%\system32\rsmyhpm.dll] [N/A, ]
[%systemroot%\system32\kvmxhma.dll] [N/A, ]
[%systemroot%\system32\kvdxjma.dll] [N/A, ]
[%systemroot%\system32\kawdezy.dll] [N/A, ]
[%systemroot%\system32\avwldmn.dll] [N/A, ]
[%\Program Files%\Internet Explorer\PLUGINS\Wn_Sys8x.Sys] [N/A, ]
[%systemroot%\system32\videodevice.dll] [N/A, ]
[%systemroot%\system32\gdmsi32.dll] [N/A, ]
==================================
Winsock 提供者
MSAPI Tcpip [TCP/IP]
%systemroot%\system32\videodevice.dll(, N/A)
MSAPI Tcpip [UDP/IP]
%systemroot%\system32\videodevice.dll(, N/A)
{{A12C8D43-AC10-4C17-9136-E3E2FC9B3D21}}{%\Program Files%\Internet Explorer\PLUGINS\Wn_Sys8x.Sys} []
解决办法:
下载sreng ,Xdelbox(可到down.45its.com下载)
1.安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)
打开sreng
系统修复-高级修复-重置winsock
2.解压Xdelbox所有文件到一个文件夹
在 添加旁边的框中 分别输入
%systemroot%\system32\kvdxsima.dll
%systemroot%\system32\rsmyhpm.dll
%systemroot%\system32\kvmxhma.dll
%systemroot%\system32\kvdxjma.dll
%systemroot%\system32\kawdezy.dll
%systemroot%\system32\avwldmn.dll
%systemroot%\system32\gdmsi32.dll
%\Program Files%\Internet Explorer\PLUGINS\Wn_Sys8x.Sys
输入完一个以后 点击旁边的添加 按钮 被添加的文件 将出现在下面的大框中
然后一次性选中 (按住ctrl)下面大框中所有的文件
右键 单击 点击 重启立即删除
3.重启之后
再次进入安全模式
打开sreng
启动项目 注册表 删除如下项目
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\ShellExecuteHooks]
{{8E32FA58-3453-FA2D-BC49-F340348ACCE8}}{%systemroot%\system32\rsmyhpm.dll} []
{{8D47B341-43DF-4563-753F-345FFA3157D8}}{%systemroot%\system32\kvmxhma.dll} []
{{AC87A354-ABC3-DEDE-FF33-3213FD7447CA}}{%systemroot%\system32\kvdxjma.dll} []
{{9D561258-45F3-A451-F908-A258458226D9}}{%systemroot%\system32\kvdxsima.dll} []
{{58907901-1416-3389-9981-372178569985}}{%systemroot%\system32\kawdezy.dll} []
{{4960356A-458E-DE24-BD50-268F589A56A4}}{%systemroot%\system32\avwldmn.dll} []
{{A12C8D43-AC10-4C17-9136-E3E2FC9B3D21}}{%\Program Files%\Internet Explorer\PLUGINS\Wn_Sys8x.Sys} []
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
点击 菜单栏下方的 文件夹按钮(搜索右边的按钮)
在左边的资源管理器中单击系统盘
删除如下文件
%systemroot%\system32\videodevice.dll