[讨论]类似MY123性质的驱动木马.搞到最后,居然搞不顶.太牛了。-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (5)
混世魔王雪币： 245 活跃值： (41) 能力值： ( LV7，RANK：110 ) 在线值：发帖 27 回帖 58 粉丝 0 关注私信	混世魔王 2 2007-1-17 16:41 2 楼 0 有个文件伪装成系统文件..郁闷.他驱动都日了.问题还存在. 怪不得,找不半天找不到原因。 DOWN 下来分析的朋友一定要注意. 建议从http://www.hk0909.com/ 主站抓包下载木马原程序.可能提取不完全。这个ps.exe 加的upack0.36 的壳.peid 好象查不出来。 slc.sys 是rootkit
wangshq397 雪币： 272 活跃值： (307) 能力值： ( LV9，RANK：330 ) 在线值：发帖 59 回帖 649 粉丝 0 关注私信	wangshq397 8 2007-1-18 09:04 3 楼 0 用启动盘启动起来，删除
ossurrond 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 167 粉丝 0 关注私信	ossurrond 2007-1-18 09:14 4 楼 0 去安全模式.用PowerMV和.Sengr
xyzreg 雪币： 126 活跃值： (61) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 46 粉丝 1 关注私信	xyzreg 1 2007-1-18 13:00 5 楼 0 稍微看了一下，呵呵，很垃圾的恶意程序，没啥特色，容易删除~ 简要分析如下： ps.exe是一个用upack压缩过的下载者，代码注入到explorer.exe下载3个文件到c:\o.exe,c:\p.exe,c:\q.exe并执行。 c:\o.exe 执行后释放%systemroot%\system32\ctfcon.exe、%systemroot%\system32\tsdb.dll、%systemroot%\system32\DriveInterface.dll，%systemroot%\system32\slc.sys，并调用regsvr32.exe注册tsdb.dll，然后加载驱动文件slc.sys，接着删除DriveInterface.dll，接着再创建ctfcon进程。slc.sys挂接了SDT中的NtOpenKey以及NtSetInformationFile。slc.sys只对explorer.exe进程隐藏文件。 c:\p.exe 执行后释放%systemroot%\system32\cmes.exe，并以-Service参数运行cmes.exe，然后p.exe运行记事本并远程线程代码注入实现自删除。cmes.exe执行后将其自身安装名为DCOM Process Service的服务实现自启动，另外还释放%systemroot%\system32\itc.dll(文件设置为隐藏属性，但未使用rootkit技术隐藏) ，cmes.exe还远程线程将itc.dll注入到winlogon.exe进程中。 c:\q.exe 复制自己到系统根目录下，并且修改注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\ 使其绕过XP SP2自带的防火墙，再创建名为 ServiceProvisioning的服务（DisplayName为Transaction Provisioning Service）使%systemroot%\system32\q.exe实现自启动。服务以及进程均没有隐藏。恶意程序的流程分析完毕。c:\p.exe以及c:\q.exe均未使用rootkit 技术，c:\o.exe释放的slc.sys驱动也是小儿科，删除很容易。简单说一下整个清理过程：终止进程ctfcon.exe、q.exe，删除那两个服务，执行regsvr32.exe /u C:\WINDOWS\system32\tsdb.dll，删除相关文件以及注册表项。删除itc.dll时可以先用IceSword卸载DLL再删除，不过防止winlogon崩溃，可以先重命名itc.dll重启后再删除（因为COW机制NT核心的平台下可以对正在运行的未以独占方式打开的文件进行重命名），或者使用IceSword 1.20的强制删除文件功能来直接删除文件。不过slc.sys在资源管理器中看不到，不过对于slc.sys还没到动用IceSword 1.20的地步，打开cmd，cd到系统根目录下，依次运行如下指令即可：ren slc.sys 123.sys ； del 123.sys 。呵呵~
混世魔王雪币： 245 活跃值： (41) 能力值： ( LV7，RANK：110 ) 在线值：发帖 27 回帖 58 粉丝 0 关注私信	混世魔王 2 2007-1-18 14:30 6 楼 0 谢谢 xyzreg 开始以为ctfcon.exe 是正常进程。所以没找到问题的原因。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (5)
混世魔王雪币： 245 活跃值： (41) 能力值： ( LV7，RANK：110 ) 在线值：发帖 27 回帖 58 粉丝 0 关注私信	混世魔王 2 2007-1-17 16:41 2 楼 0 有个文件伪装成系统文件..郁闷.他驱动都日了.问题还存在. 怪不得,找不半天找不到原因。 DOWN 下来分析的朋友一定要注意. 建议从http://www.hk0909.com/ 主站抓包下载木马原程序.可能提取不完全。这个ps.exe 加的upack0.36 的壳.peid 好象查不出来。 slc.sys 是rootkit
wangshq397 雪币： 272 活跃值： (307) 能力值： ( LV9，RANK：330 ) 在线值：发帖 59 回帖 649 粉丝 0 关注私信	wangshq397 8 2007-1-18 09:04 3 楼 0 用启动盘启动起来，删除
ossurrond 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 167 粉丝 0 关注私信	ossurrond 2007-1-18 09:14 4 楼 0 去安全模式.用PowerMV和.Sengr
xyzreg 雪币： 126 活跃值： (61) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 46 粉丝 1 关注私信	xyzreg 1 2007-1-18 13:00 5 楼 0 稍微看了一下，呵呵，很垃圾的恶意程序，没啥特色，容易删除~ 简要分析如下： ps.exe是一个用upack压缩过的下载者，代码注入到explorer.exe下载3个文件到c:\o.exe,c:\p.exe,c:\q.exe并执行。 c:\o.exe 执行后释放%systemroot%\system32\ctfcon.exe、%systemroot%\system32\tsdb.dll、%systemroot%\system32\DriveInterface.dll，%systemroot%\system32\slc.sys，并调用regsvr32.exe注册tsdb.dll，然后加载驱动文件slc.sys，接着删除DriveInterface.dll，接着再创建ctfcon进程。slc.sys挂接了SDT中的NtOpenKey以及NtSetInformationFile。slc.sys只对explorer.exe进程隐藏文件。 c:\p.exe 执行后释放%systemroot%\system32\cmes.exe，并以-Service参数运行cmes.exe，然后p.exe运行记事本并远程线程代码注入实现自删除。cmes.exe执行后将其自身安装名为DCOM Process Service的服务实现自启动，另外还释放%systemroot%\system32\itc.dll(文件设置为隐藏属性，但未使用rootkit技术隐藏) ，cmes.exe还远程线程将itc.dll注入到winlogon.exe进程中。 c:\q.exe 复制自己到系统根目录下，并且修改注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\ 使其绕过XP SP2自带的防火墙，再创建名为 ServiceProvisioning的服务（DisplayName为Transaction Provisioning Service）使%systemroot%\system32\q.exe实现自启动。服务以及进程均没有隐藏。恶意程序的流程分析完毕。c:\p.exe以及c:\q.exe均未使用rootkit 技术，c:\o.exe释放的slc.sys驱动也是小儿科，删除很容易。简单说一下整个清理过程：终止进程ctfcon.exe、q.exe，删除那两个服务，执行regsvr32.exe /u C:\WINDOWS\system32\tsdb.dll，删除相关文件以及注册表项。删除itc.dll时可以先用IceSword卸载DLL再删除，不过防止winlogon崩溃，可以先重命名itc.dll重启后再删除（因为COW机制NT核心的平台下可以对正在运行的未以独占方式打开的文件进行重命名），或者使用IceSword 1.20的强制删除文件功能来直接删除文件。不过slc.sys在资源管理器中看不到，不过对于slc.sys还没到动用IceSword 1.20的地步，打开cmd，cd到系统根目录下，依次运行如下指令即可：ren slc.sys 123.sys ； del 123.sys 。呵呵~
混世魔王雪币： 245 活跃值： (41) 能力值： ( LV7，RANK：110 ) 在线值：发帖 27 回帖 58 粉丝 0 关注私信	混世魔王 2 2007-1-18 14:30 6 楼 0 谢谢 xyzreg 开始以为ctfcon.exe 是正常进程。所以没找到问题的原因。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复