[求助]碰上一病毒,发上来让大家看下;-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]碰上一病毒,发上来让大家看下;

发表于: 2009-1-18 18:32 9501

[求助]碰上一病毒,发上来让大家看下;

瀑泪

2009-1-18 18:32

9501

昨晚又遭遇机器狗了,这么老的病毒竟然还有很多人在玩; 去哪个网站中的毒现在都不清楚了, 浏览器是IE7, 每三方控件基本没装一个, 看来用的是IE的漏洞, 还能无声无息, 呵, 我一个补丁都没打,难道是上段时间的那个关于xml的漏洞? 我试了milw0rm上的exploit,虽然能中, 但浏览器会崩溃; 看来有人搞出了很完美的exploit,真正做到了无声无息, 呵, 扯远了....;

被替换了ctfmon.exe, 网络上流传的那些鉴别机器狗的方法早已废掉了(看文件版本呀什么的), 这个被替换了的cftmon.exe, 要看里面的数据才看得出来被修改过了;

这个机器狗最终在下载这些东西:

[file]
open=y
url1=http://www.wixks.com/new/new1.exe
url2=http://www.wixks.com/new/new2.exe
url3=http://www.wixks.com/new/new3.exe
url4=http://www.wixks.com/new/new4.exe
url5=http://www.wixks.com/new/new5.exe
url6=http://www.wixks.com/new/new6.exe
url7=http://www.wixks.com/new/new7.exe
url8=http://www.wixks.com/new/new8.exe
url9=http://www.wixks.com/new/new9.exe
url10=http://www.wixks.com/new/new10.exe
url11=http://www.wixks.com/new/new11.exe
url12=http://www.wixks.com/new/new12.exe
url13=http://www.wixks.com/new/new13.exe
url14=http://www.wixks.com/new/new14.exe
url15=http://www.wixks.com/new/new15.exe
url16=http://www.wixks.com/new/new16.exe
url17=http://www.wixks.com/new/new17.exe
url18=http://www.wixks.com/new/new18.exe
url19=http://www.wixks.com/new/new19.exe
url20=http://www.wixks.com/new/new20.exe
url21=http://www.wixks.com/new/new21.exe
url22=http://www.wixks.com/new/new22.exe
url23=http://www.wixks.com/new/new23.exe
url24=http://www.wixks.com/new/new24.exe
url25=http://www.wixks.com/new/new25.exe
url26=http://www.wixks.com/new/new26.exe
count=26

哇靠, 这人也太....

本贴的重点都还不是这些;

中毒后, D盘被建了上千个usp10.dll, 这个作者是专针对还原卡来的了(因为许多装还原的人只会还原系统盘C盘); usp10.dll执行后一个明显的变化就是不准你显示隐藏的文件,目的就是将它们这一群病毒藏起来,你在文件夹选项里把设置改回来, 它又会强制改回去;

这个usp10.dll, 7KB, 只会在exe的同目录下创建, 确保每一个exe的同目录下都有一个usp10.dll, 目的? 就是让你运行D盘上的exe文件时, 可以启动usp10.dll, 你不是喜欢还原C盘嘛, 就算你清除了机器狗, 它在D盘上还留一手呢;

启动exe, 就会加载usp10.dll, 问题: 它是如何做到的? 修改PE文件的导入表? 看来是这样,但是我用Depends查看这些exe需要加载的DLL时, 并没有usp10.dll, 并且, 把usp10.dll删除, 这些exe一样可以正常装载;

它是如何加载usp10.dll的?

附上一个exe(这个exe是冰刃)与usp10.dll

[课程]FART 脱壳王！加量不加价！FART作者讲授！

上传的附件：

ups10.rar （613.37kb，129次下载）

收藏・3

免费・0

支持

最新回复 (20)
第八个门雪币： 178 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 6 回帖 90 粉丝 0 关注私信	第八个门 1 2 楼这哪是机械狗…… 用ida随便看了看，就是把一串字符解密，然后用URLDownloadToFileA下载并执行。你说的情况估计是劫持了HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs 2009-1-18 20:46 0
FlyingSnow 雪币： 277 活跃值： (37) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 209 粉丝 0 关注私信	FlyingSnow 3 楼如果是改注册表的话，还原系统就不会中了。 USP10.dll是系统dll，大部分程序载入的时候都会加载的，病毒做的dll就相当于常见的lpk劫持 2009-1-18 22:35 0
瀑泪雪币： 3 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 122 粉丝 0 关注私信	瀑泪 4 楼呵, 我没说usp10.dll是机器狗呀; (机器狗我是中了,不然它怎么破我的还原卡) 其实我想问的就是, 那些exe是如何自动加载usp10.dll的?????? 它好像没有修改PE文件的导入表, 那是怎么做到当PE文件被执行时,自动加载同目录下的usp10.dll的呢? 2009-1-18 22:55 0
瀑泪雪币： 3 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 122 粉丝 0 关注私信	瀑泪 5 楼 USP10.dll是系统dll，大部分程序载入的时候都会加载的 ------> 这个我怎么没听说过? 有这回事的吗? 按这句话的意思就是, 只要PE文件被装载, 就查看同目录下有没有usp10.dll, 如果有, 就加载? 这也太荒谬了吧? 注意, 我所说的那个usp10.dll, 7KB, 在D盘创建了上千个, 凡是碰上exe, 都在同目录下创建一个usp10.dll , 然后? 运行exe, 这个dll就被装载了! 但是exe的导入表里并没有这个usp10.dll, 把usp10.dll删除, PE也可以正常装截并执行; 不知道病毒在什么地方做了手脚; 忘了说一下,已看过"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs", 没有被劫持...... 晕, 我太笨了, 我现在才想起实现这个目的的一个老方法, 晕, 读书真是白读了,想了这么久才想起; <windows核心编程>里面就提到过一个注入DLL的方法, 通过修改注册表, 就可以让绝大部分的程序在加载后自动加载某个DLL, 因为绝大部分的程序都需要user32.dll, 修注册表的哪里我不记得了,呵, 哪用修改PE文件的本身啊, 修改注册表就可以实现, 我太莱了刚查了一下那本书, 原来那本书里说的就是: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs ---->真是白读那本书了, 这个注册表项我没记住; 但是我的注册表里这里是空的; 倒是发现这里有: HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603 000 REG_SZ usp10.dll 001 ....... 002 ........ 我在虚拟机上查看这项注册表, 没有这个键值的, 看来病毒修改了这里?但我自己测试了一下, 没发现这样会有什么效果; 2009-1-18 23:05 0
FlyingSnow 雪币： 277 活跃值： (37) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 209 粉丝 0 关注私信	FlyingSnow 6 楼自己调试一下就知道了，很多程序都会载入这个dll，不是在输入表中的。 DLL知识库 usp10 - usp10.dll - DLL文件信息 DLL 文件： usp10 或者 usp10.dll DLL 名称： Uniscribe Unicode script processor 描述： usp10.dll是字符显示脚本应用程序接口相关文件。属于： Uniscribe 系统 DLL文件：是 windows会优先载入当前文件夹下的文件，然后才是system32 2009-1-18 23:39 0
瀑泪雪币： 3 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 122 粉丝 0 关注私信	瀑泪 7 楼 FlyingSnow, 你说的我都明白, 但是我测试后有个问题很困惑; 把病毒usp10.dll放到exe同目录下, 这个dll被加载了; 我自己写一个usp10.dll放到exe同目录下, 却不会被加装!!! 何解? 2009-1-19 00:03 0
xack 雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 14 粉丝 0 关注私信	xack 8 楼我也中这鸟病毒了，用 winpe恢复的 2009-1-19 01:14 0
xack 雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 14 粉丝 0 关注私信	xack 9 楼是不是替换掉正常 usp10.dll 的一些函数，当exe运行时如果需要调用函数，他会先调用本目录下dll中的函数。。。。 2009-1-19 01:20 0
瀑泪雪币： 3 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 122 粉丝 0 关注私信	瀑泪 10 楼我太莱了, 现在才知道; 很多程序加载时, 会加载usp10.dll, 因为它本身需要这个DLL里的函数(可能), 虽然PE文件的导入表里没有出现这个DLL; 系统会自动加载; system32目录里的usp10.dll, 是系统自身的DLL; 病毒就是劫持了这个DLL; 写一个同名的DLL文件放在exe程序的同一目录下, 当系统装载这个程序时, 而这个程序又需要用到这个DLL时, 系统就会先在本目录下查找这个DLL, 并加载之; 至于为什么PE导入表里没有这个DLL,而同样也会加载, 好像这个问题与注册表设置没什么关系? 而是windows程序装载器内部的事情? 前面我说过, 我自己写一个DLL, 不能被加载, 而那个病毒却可以被加载, 这个问题令我费解了很久, 现在终于有眉目: 这个DLL, 要与被劫持的DLL拥有相同的函数导出表! (相当于欺骗系统, 它就是要用到的那个DLL, 否则, 系统不予加载,可能是这样) 为了使函数功能正常, 在病毒DLL里, 把函数的调用最终转向正常的系统DLL里的函数调用即可; 只是简单的古老的DLL劫持, 我开始竟然想不明白, 唉; 终于释怀....... 2009-1-19 13:34 0
烁皓雪币： 270 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 155 粉丝 0 关注私信	烁皓 11 楼很多程序加载时, 会加载usp10.dll, 因为它本身需要这个DLL里的函数(可能), 虽然PE文件的导入表里没有出现这个DLL; 系统会自动加载; 应该是其他dll需要引用到usp10.dll吧。 2009-1-19 17:10 0
Lenus 雪币： 159 活跃值： (339) 能力值： ( LV8，RANK：130 ) 在线值：发帖 17 回帖 394 粉丝 22 关注私信	Lenus 3 12 楼注意 url26=http://www.wixks.com/new/new26.exe 会循环下载 2009-1-20 17:40 0
TT幻想雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	TT幻想 13 楼在这里学习了下公司里好几十台电脑了中这个病毒，一开始也找不到头绪，重装了系统还是会出现症状（new1.exe、new2.exe…… 粘贴复制失效等），后来看了这里说是因为usp10.dll这个文件的问题，我干脆用pe把电脑里所有的usp10.dll都删了（c盘删不删都一样反正要重装）： cmd -> del c:\usp10.dll /a/s/q/f del d:\usp10.dll /a/s/q/f del e:\usp10.dll /a/s/q/f …………………… 然后再装系统。之后这些电脑到现在没出现什么问题…… 2009-2-4 14:07 0
wyjwxx 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 22 粉丝 0 关注私信	wyjwxx 14 楼 LZ老是马后炮 2009-2-9 20:24 0
nba2005 雪币： 423 活跃值： (11) 能力值： ( LV9，RANK：230 ) 在线值：发帖 15 回帖 388 粉丝 1 关注私信	nba2005 5 15 楼虚心学习中。。。 2009-2-10 15:59 0
glery 雪币： 233 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 156 粉丝 0 关注私信	glery 2 16 楼昨天的新闻联播提到这个病毒啦 2009-2-11 10:17 0
neineit 雪币： 397 活跃值： (352) 能力值： ( LV9，RANK：410 ) 在线值：发帖 19 回帖 224 粉丝 2 关注私信	neineit 10 17 楼犇牛？？？？ 2009-2-11 11:14 0
parachaos 雪币： 233 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 66 粉丝 0 关注私信	parachaos 1 18 楼楼主别忘了，DLL除了静态加载还有动态的例如LoadLibrary 2009-2-11 15:35 0
phikaa 雪币： 201 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 139 粉丝 0 关注私信	phikaa 19 楼 :-)，顶一下楼主。 2009-2-15 12:56 0
iokou 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 17 粉丝 0 关注私信	iokou 20 楼嗯，明白了，哈哈 2009-2-17 08:08 0
roxiel 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 30 粉丝 0 关注私信	roxiel 21 楼因为它不只一个启动项，想注入的话，为什么非要EXE运行自己加载呢 2009-2-17 12:46 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

瀑泪

发帖

122

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (20)
第八个门雪币： 178 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 6 回帖 90 粉丝 0 关注私信	第八个门 1 2 楼这哪是机械狗…… 用ida随便看了看，就是把一串字符解密，然后用URLDownloadToFileA下载并执行。你说的情况估计是劫持了HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs 2009-1-18 20:46 0
FlyingSnow 雪币： 277 活跃值： (37) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 209 粉丝 0 关注私信	FlyingSnow 3 楼如果是改注册表的话，还原系统就不会中了。 USP10.dll是系统dll，大部分程序载入的时候都会加载的，病毒做的dll就相当于常见的lpk劫持 2009-1-18 22:35 0
瀑泪雪币： 3 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 122 粉丝 0 关注私信	瀑泪 4 楼呵, 我没说usp10.dll是机器狗呀; (机器狗我是中了,不然它怎么破我的还原卡) 其实我想问的就是, 那些exe是如何自动加载usp10.dll的?????? 它好像没有修改PE文件的导入表, 那是怎么做到当PE文件被执行时,自动加载同目录下的usp10.dll的呢? 2009-1-18 22:55 0
瀑泪雪币： 3 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 122 粉丝 0 关注私信	瀑泪 5 楼 USP10.dll是系统dll，大部分程序载入的时候都会加载的 ------> 这个我怎么没听说过? 有这回事的吗? 按这句话的意思就是, 只要PE文件被装载, 就查看同目录下有没有usp10.dll, 如果有, 就加载? 这也太荒谬了吧? 注意, 我所说的那个usp10.dll, 7KB, 在D盘创建了上千个, 凡是碰上exe, 都在同目录下创建一个usp10.dll , 然后? 运行exe, 这个dll就被装载了! 但是exe的导入表里并没有这个usp10.dll, 把usp10.dll删除, PE也可以正常装截并执行; 不知道病毒在什么地方做了手脚; 忘了说一下,已看过"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs", 没有被劫持...... 晕, 我太笨了, 我现在才想起实现这个目的的一个老方法, 晕, 读书真是白读了,想了这么久才想起; <windows核心编程>里面就提到过一个注入DLL的方法, 通过修改注册表, 就可以让绝大部分的程序在加载后自动加载某个DLL, 因为绝大部分的程序都需要user32.dll, 修注册表的哪里我不记得了,呵, 哪用修改PE文件的本身啊, 修改注册表就可以实现, 我太莱了刚查了一下那本书, 原来那本书里说的就是: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs ---->真是白读那本书了, 这个注册表项我没记住; 但是我的注册表里这里是空的; 倒是发现这里有: HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603 000 REG_SZ usp10.dll 001 ....... 002 ........ 我在虚拟机上查看这项注册表, 没有这个键值的, 看来病毒修改了这里?但我自己测试了一下, 没发现这样会有什么效果; 2009-1-18 23:05 0
FlyingSnow 雪币： 277 活跃值： (37) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 209 粉丝 0 关注私信	FlyingSnow 6 楼自己调试一下就知道了，很多程序都会载入这个dll，不是在输入表中的。 DLL知识库 usp10 - usp10.dll - DLL文件信息 DLL 文件： usp10 或者 usp10.dll DLL 名称： Uniscribe Unicode script processor 描述： usp10.dll是字符显示脚本应用程序接口相关文件。属于： Uniscribe 系统 DLL文件：是 windows会优先载入当前文件夹下的文件，然后才是system32 2009-1-18 23:39 0
瀑泪雪币： 3 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 122 粉丝 0 关注私信	瀑泪 7 楼 FlyingSnow, 你说的我都明白, 但是我测试后有个问题很困惑; 把病毒usp10.dll放到exe同目录下, 这个dll被加载了; 我自己写一个usp10.dll放到exe同目录下, 却不会被加装!!! 何解? 2009-1-19 00:03 0
xack 雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 14 粉丝 0 关注私信	xack 8 楼我也中这鸟病毒了，用 winpe恢复的 2009-1-19 01:14 0
xack 雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 14 粉丝 0 关注私信	xack 9 楼是不是替换掉正常 usp10.dll 的一些函数，当exe运行时如果需要调用函数，他会先调用本目录下dll中的函数。。。。 2009-1-19 01:20 0
瀑泪雪币： 3 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 122 粉丝 0 关注私信	瀑泪 10 楼我太莱了, 现在才知道; 很多程序加载时, 会加载usp10.dll, 因为它本身需要这个DLL里的函数(可能), 虽然PE文件的导入表里没有出现这个DLL; 系统会自动加载; system32目录里的usp10.dll, 是系统自身的DLL; 病毒就是劫持了这个DLL; 写一个同名的DLL文件放在exe程序的同一目录下, 当系统装载这个程序时, 而这个程序又需要用到这个DLL时, 系统就会先在本目录下查找这个DLL, 并加载之; 至于为什么PE导入表里没有这个DLL,而同样也会加载, 好像这个问题与注册表设置没什么关系? 而是windows程序装载器内部的事情? 前面我说过, 我自己写一个DLL, 不能被加载, 而那个病毒却可以被加载, 这个问题令我费解了很久, 现在终于有眉目: 这个DLL, 要与被劫持的DLL拥有相同的函数导出表! (相当于欺骗系统, 它就是要用到的那个DLL, 否则, 系统不予加载,可能是这样) 为了使函数功能正常, 在病毒DLL里, 把函数的调用最终转向正常的系统DLL里的函数调用即可; 只是简单的古老的DLL劫持, 我开始竟然想不明白, 唉; 终于释怀....... 2009-1-19 13:34 0
烁皓雪币： 270 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 155 粉丝 0 关注私信	烁皓 11 楼很多程序加载时, 会加载usp10.dll, 因为它本身需要这个DLL里的函数(可能), 虽然PE文件的导入表里没有出现这个DLL; 系统会自动加载; 应该是其他dll需要引用到usp10.dll吧。 2009-1-19 17:10 0
Lenus 雪币： 159 活跃值： (339) 能力值： ( LV8，RANK：130 ) 在线值：发帖 17 回帖 394 粉丝 22 关注私信	Lenus 3 12 楼注意 url26=http://www.wixks.com/new/new26.exe 会循环下载 2009-1-20 17:40 0
TT幻想雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	TT幻想 13 楼在这里学习了下公司里好几十台电脑了中这个病毒，一开始也找不到头绪，重装了系统还是会出现症状（new1.exe、new2.exe…… 粘贴复制失效等），后来看了这里说是因为usp10.dll这个文件的问题，我干脆用pe把电脑里所有的usp10.dll都删了（c盘删不删都一样反正要重装）： cmd -> del c:\usp10.dll /a/s/q/f del d:\usp10.dll /a/s/q/f del e:\usp10.dll /a/s/q/f …………………… 然后再装系统。之后这些电脑到现在没出现什么问题…… 2009-2-4 14:07 0
wyjwxx 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 22 粉丝 0 关注私信	wyjwxx 14 楼 LZ老是马后炮 2009-2-9 20:24 0
nba2005 雪币： 423 活跃值： (11) 能力值： ( LV9，RANK：230 ) 在线值：发帖 15 回帖 388 粉丝 1 关注私信	nba2005 5 15 楼虚心学习中。。。 2009-2-10 15:59 0
glery 雪币： 233 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 156 粉丝 0 关注私信	glery 2 16 楼昨天的新闻联播提到这个病毒啦 2009-2-11 10:17 0
neineit 雪币： 397 活跃值： (352) 能力值： ( LV9，RANK：410 ) 在线值：发帖 19 回帖 224 粉丝 2 关注私信	neineit 10 17 楼犇牛？？？？ 2009-2-11 11:14 0
parachaos 雪币： 233 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 66 粉丝 0 关注私信	parachaos 1 18 楼楼主别忘了，DLL除了静态加载还有动态的例如LoadLibrary 2009-2-11 15:35 0
phikaa 雪币： 201 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 139 粉丝 0 关注私信	phikaa 19 楼 :-)，顶一下楼主。 2009-2-15 12:56 0
iokou 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 17 粉丝 0 关注私信	iokou 20 楼嗯，明白了，哈哈 2009-2-17 08:08 0
roxiel 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 30 粉丝 0 关注私信	roxiel 21 楼因为它不只一个启动项，想注入的话，为什么非要EXE运行自己加载呢 2009-2-17 12:46 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复