一个下载者病毒vip.exe的分析 这是一个使用VB编写的下载者病毒,具有一定的反安全软件作用,并下载大量盗号木马。
File: vip.exe Size: 10824 bytes File Version: 1.00 Modified: 2007年11月16日, 0:39:10 MD5: A483E66E05F598876DE908135EE13C09 SHA1: 6E40B21B50C44F42FA3EE0E31A6F58CC07A3E0E8 CRC32: 17ADD3C3 编写语言:VB
技术细节: 1.该病毒为一个网站挂马所得,不释放任何副本以及修改注册表项目,这可能会成为以后一些木马下载者病毒的趋势,下载之后即立即“毁尸灭迹”
2.对抗安全软件 调用ntsd结束如下进程,对抗安全软件(瑞星防火墙) rfwmain.exe rfwsrv.exe
3.结束一些游戏的进程,为了之后的盗号木马做准备 调用ntsd结束如下游戏进程 wow.exe my.exe xy2.exe soul.exe patchupdate.exe elementclient.exe auncher.exe mir.exe
4.连接网络 通过http://*/tj/post.asp?pcname=*&id=1提交被感染机器的名称 做感染统计
5.连接网络下载http://*/down.jpg 读取里面的木马下载列表,下载木马 http://*/down/my.exe http://*/down/mh.exe http://*/down/dh.exe http://*/down/dh3.exe http://*/down/wd.exe http://*/down/wl.exe http://*/down/qq.exe http://*/down/wow.exe 到vip.exe当前文件夹
下载的木马会盗如下网络游戏的帐号和密码 QQ 魔兽世界 梦幻西游 大话西游OnlineII 魔域 征途 完美世界 热血江湖 传奇世界 ...
木马和病毒普遍采用的是asp发信方式,下图为截获的木马发送的帐号密码信息:
木马和病毒植入完毕后的sreng日志如下: 启动项目 注册表 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Explorer\ShellExecuteHooks] {{8E32FA58-3453-FA2D-BC49-F340348ACCE8}}{%systemroot%\system32\rsmyhpm.dll} [] {{8D47B341-43DF-4563-753F-345FFA3157D8}}{%systemroot%\system32\kvmxhma.dll} [] {{AC87A354-ABC3-DEDE-FF33-3213FD7447CA}}{%systemroot%\system32\kvdxjma.dll} [] {{9D561258-45F3-A451-F908-A258458226D9}}{%systemroot%\system32\kvdxsima.dll} [] {{58907901-1416-3389-9981-372178569985}}{%systemroot%\system32\kawdezy.dll} [] {{4960356A-458E-DE24-BD50-268F589A56A4}}{%systemroot%\system32\avwldmn.dll} [] {{A12C8D43-AC10-4C17-9136-E3E2FC9B3D21}}{%\Program Files%\Internet Explorer\PLUGINS\Wn_Sys8x.Sys} [] ================================== 正在运行的进程 [PID: 1736][%systemroot%\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)] [%systemroot%\system32\kvdxsima.dll] [N/A, ] [%systemroot%\system32\rsmyhpm.dll] [N/A, ] [%systemroot%\system32\kvmxhma.dll] [N/A, ] [%systemroot%\system32\kvdxjma.dll] [N/A, ] [%systemroot%\system32\kawdezy.dll] [N/A, ] [%systemroot%\system32\avwldmn.dll] [N/A, ] [%\Program Files%\Internet Explorer\PLUGINS\Wn_Sys8x.Sys] [N/A, ] [%systemroot%\system32\videodevice.dll] [N/A, ] [%systemroot%\system32\gdmsi32.dll] [N/A, ] ================================== Winsock 提供者 MSAPI Tcpip [TCP/IP] %systemroot%\system32\videodevice.dll(, N/A) MSAPI Tcpip [UDP/IP] %systemroot%\system32\videodevice.dll(, N/A) {{A12C8D43-AC10-4C17-9136-E3E2FC9B3D21}}{%\Program Files%\Internet Explorer\PLUGINS\Wn_Sys8x.Sys} []
解决办法: 下载sreng ,Xdelbox(可到down.45it.com下载)
1.安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统) 打开sreng 系统修复-高级修复-重置winsock
2.解压Xdelbox所有文件到一个文件夹 在 添加旁边的框中 分别输入 %systemroot%\system32\kvdxsima.dll %systemroot%\system32\rsmyhpm.dll %systemroot%\system32\kvmxhma.dll %systemroot%\system32\kvdxjma.dll %systemroot%\system32\kawdezy.dll %systemroot%\system32\avwldmn.dll %systemroot%\system32\gdmsi32.dll %\Program Files%\Internet Explorer\PLUGINS\Wn_Sys8x.Sys 输入完一个以后 点击旁边的添加 按钮 被添加的文件 将出现在下面的大框中 然后一次性选中 (按住ctrl)下面大框中所有的文件 右键 单击 点击 重启立即删除
3.重启之后 再次进入安全模式 打开sreng 启动项目 注册表 删除如下项目 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Explorer\ShellExecuteHooks] {{8E32FA58-3453-FA2D-BC49-F340348ACCE8}}{%systemroot%\system32\rsmyhpm.dll} [] {{8D47B341-43DF-4563-753F-345FFA3157D8}}{%systemroot%\system32\kvmxhma.dll} [] {{AC87A354-ABC3-DEDE-FF33-3213FD7447CA}}{%systemroot%\system32\kvdxjma.dll} [] {{9D561258-45F3-A451-F908-A258458226D9}}{%systemroot%\system32\kvdxsima.dll} [] {{58907901-1416-3389-9981-372178569985}}{%systemroot%\system32\kawdezy.dll} [] {{4960356A-458E-DE24-BD50-268F589A56A4}}{%systemroot%\system32\avwldmn.dll} [] {{A12C8D43-AC10-4C17-9136-E3E2FC9B3D21}}{%\Program Files%\Internet Explorer\PLUGINS\Wn_Sys8x.Sys} []
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定 点击 菜单栏下方的 文件夹按钮(搜索右边的按钮) 在左边的资源管理器中单击系统盘 删除如下文件 %systemroot%\system32\videodevice.dll
|