“网页收割者”病毒技术分析报告
“网页收割者”病毒技术分析报告
来源:赛迪网 作者:江民
9月20日,江民科技反病毒中心截获到一个假冒微软网站进行传播的病毒“网页收割者”(Virus.Autorun.dr),该病毒会感染网页文件,向其中插入恶意网址连接,并利用多个系统漏洞下载20多个恶性网游木马,盗取游戏玩家的账号和密码,给玩家带来极大的损失。
江民反病毒专家介绍,“网页收割者”病毒采用Delphi 工具编写,病毒运行后,会创建病毒进程crsss.exe,该进程指向的路径为:%WinDir%\System32\crsss.exe,文件大小为 62512字节。病毒会在注册表中添加以下自启动项,以使自己随Windows操作系统同时运行。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"crsss" = %WinDir%\system32\crsss.exe
该病毒还会搜索硬盘中扩展名为*.htm、*.html、*.asp、*.aspx、*.php、*.jsp 的网页脚本文件,向其中插入恶意网址http://mlcro-soft.cn/****.htm,该恶意网址伪装成微软网站,极具欺骗性。病毒还会在系统目录system32下生成下载网游木马列表文件c.txt ,病毒会将这些网游木马下载并且执行。用户一旦点击中毒网页,该恶意网页即可利用MS06-014、MS06-046、MS07-017 等多个系统漏洞下载并且执行20多个恶性网游木马,盗取游戏玩家的账号和密码,给玩家带来极大的损失。
江民反病毒专家介绍,“网页收割者”病毒还会通过U盘/MP3/移动硬盘等移动存储设备进行传播,在其中生成autorun.inf和niu.exe两个病毒文件,这样当用户在双击打开U盘的时候就会将病毒激活,从而感染到系统中。该病毒还会强行修改IE首页,将首页设置为http://mlcro-soft.cn/update.htm 带毒网站,这样用户一打开IE浏览器就会感染病毒。该病毒还会破坏操作系统的注册表相关键值,使系统无法显示隐藏文件。
针对此病毒,江民科技反病毒中心已经紧急升级了病毒库,只要升级到9月20日的病毒库,即可拦截此病毒的入侵。
江民反病毒专家建议广大用户,采取以下四点措施有效防范病毒入侵:
1.将KV系列杀毒软件的病毒库升级到9月20日,并开启杀毒软件所有的实时监功能,建议选择具有U盘病毒免疫功能的杀毒软件如:江民KV2008 杀毒软件。
2.及时打好系统补丁,建议用户通过Windows系统的Windows Update 功能更新操作系统补丁,尤其是一定要打上MS06-014漏洞,MS07-017漏洞,MS07-004漏洞等网页木马多用漏洞。
MS06-014 补丁下载网址:
http://www.microsoft.com/china/technet/security/bulletin/MS06-014.mspx
MS07-017 补丁下载网址:
http://www.microsoft.com/china/technet/security/bulletin/MS07-017.mspx
MS07-004 补丁下载网址:
http://www.microsoft.com/china/technet/security/bulletin/MS07-004.mspx
3.禁用系统的自动播放功能,防止病毒从U盘、MP3、移动硬盘等移动存储设备进入到计算机。
禁用Windows 系统的自动播放功能的方法:在运行中输入 gpedit.msc 后回车,打开组策略编辑器,依次点击:计算机配置->管理模板->系统->关闭自动播放->已启用->所有驱动器->确定。
4. 不要随意接收从QQ、MSN等即时聊天工具发送过来的可执行文件,不要登陆来历不明的网址连接。
Trojan-Spy.Win32.Delf.uv分析
安天实验室 CERT
一、病毒标签:
病毒名称: Trojan-Spy.Win32.Delf.uv
病毒类型: 木马类
文件 MD5: B9DEA4695BE56C4C5A95F97D7E356284
公开范围: 完全公开
危害等级: 3
文件长度: 11,667 字节
感染系统: Windows98以上版本
开发工具: Borland Delphi
加壳类型: Upack 0.3.9 beta2s
二、病毒描述:
近日,木马以一种新的形式现身网络,以“木马群”的形式协同操作。在以前木马都是单兵作战,一个木马单独进行侵入用户电脑。而现在木马的分工开始明确细化,有的木马单独进行反杀毒产品,关闭安全产品进程,禁用其服务;有的木马专门开启后门;有的木马专门做病毒隐藏工作,利用Rootkit技术进行木马文件隐藏,在通用的文件及进程查看工具下无法看到木马文件;而有的木马专门进行木马升级和下载其它木马;在这些木马的协同下,形成了现在的“木马群”。“木马群”达到了更加隐蔽,更加难以查杀;是对现在的反病毒产品的一个挑战。
对于该木马就是“木马群”中的一部分,其在“木马群”中的作用是下载大量其它病毒,关闭Windows自带的安全功能;充当了下载器与反安全产品的角色。
三、行为分析:
本地行为:
1、 文件运行后会释放以下文件:
%System32%\WinFormA.ini 18字节
%System32%\WinFormA5.dll 17,493字节
%System32%\WinFormA5.exe 11,667字节
删除: verclsid.exe 28,672 字节
verclsid.exe功能:安装了Windows安全更新908531(MS06-015)后出新增的一个程序。该程序会在WindowsShell或Windows资源管理器实例化任何外壳扩展之前对这些扩展进行验证。
2、修改AppInit_DLLs,添加启动项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
新: 字符串: "WinFormA5.dll"
旧: 字符串: ""
3、通过打开文件的钩子操作进行启动:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A12BC423-3713-224D-3F55-32B35C62B11A}\InprocServer32\@
键值: 字符串: "C:\WINDOWS\system32\WinFormA5.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A12BC423-3713-224D-3F55-32B35C62B11A}\InprocServer32\ThreadingModel
键值: 字符串: "Apartment"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{A12BC423-3713-224D-3F55-32B35C62B11A}
键值: 字符串: "WinFormA5.dll"
4、关闭Windows自动更新:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\AUOptions
键值: DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
键值: DWORD: 1 (0x1)
5、关闭Windows自带防火墙:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\EnableFirewall
键值: DWORD: 0 (0)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\EnableFirewall
键值: DWORD: 0 (0)
6、WinFormA5.dll进行键盘记录
7、WinFormA5.dll插入EXPLORER.EXE和其它应用程序进程中
8、该病毒可盗取网络游戏“天龙八步”的帐号与密码
网络行为:
1、 以插入病毒DLL文件的EXPLORER.EXE进程连接网络,下载大量其它病毒文件,这些病毒文件中有病毒下载器,病毒下载器还可下载更多的其它病毒到本机运行:
连接网络:
688.1130688.com(210.51.170.64:80)
203.171.233.244
下载病毒文件并自动运行后,病毒文件如下:
%Documents and Settings%\当前用户\Local Settings\Temporary Internet Files\Content.IE5\0FULOB89\14[1].exe
%Documents and Settings%\当前用户\Local Settings\Temporary Internet Files\Content.IE5\0FULOB89\1[1].exe
%Documents and Settings%\当前用户\Local Settings\Temporary Internet Files\Content.IE5\0FULOB89\5[1].exe
%Documents and Settings%\当前用户\Local Settings\Temporary Internet Files\Content.IE5\0FULOB89\9[1].exe
%Documents and Settings%\当前用户\Local Settings\Temporary Internet Files\Content.IE5\2FY7KF27\11[1].exe
%Documents and Settings%\当前用户\Local Settings\Temporary Internet Files\Content.IE5\2FY7KF27\3[1].exe
%Documents and Settings%\当前用户\Local Settings\Temporary Internet Files\Content.IE5\2FY7KF27\7[1].exe
%Documents and Settings%\当前用户\Local Settings\Temporary Internet Files\Content.IE5\2NCVMH4H\12[1].exe
%Documents and Settings%\当前用户\Local Settings\Temporary Internet Files\Content.IE5\2NCVMH4H\4[1].exe
%Documents and Settings%\当前用户\Local Settings\Temporary Internet Files\Content.IE5\2NCVMH4H\8[1].exe
%Documents and Settings%\当前用户\Local Settings\Temporary Internet Files\Content.IE5\2NCVMH4H\8[2].exe
%Documents and Settings%\当前用户\Local Settings\Temporary Internet Files\Content.IE5\4FEI87ZS\10[1].exe
%Documents and Settings%\当前用户\Local Settings\Temporary Internet Files\Content.IE5\4FEI87ZS\2[1].exe
%Documents and Settings%\当前用户\Local Settings\Temporary Internet Files\Content.IE5\4FEI87ZS\6[1].exe
%Program Files%\Internet Explorer\RAVGJMON.DAT
%Program Files%\Internet Explorer\RAVGJMON.exe
%Program Files%\Internet Explorer\RAVWDMON.DAT
%Program Files%\Internet Explorer\RAVWDMON.exe
%System32%\1.exe
%System32%\dhdini.dll
%System32%\dhdins.exe
%System32%\dhdpri.dll
%System32%\jziini.dll
%System32%\jziins.exe
%System32%\jzipri.dll
%System32%\msdebug.dll
%System32%\mxacfg.dll
%System32%\mxaman.dll
%System32%\mxaset.exe
%System32%\qheini.dll
%System32%\qheins.exe
%System32%\qhepri.dll
%System32%\TIMHost.dll
%System32%\wlgini.dll
%System32%\wlhins.exe
%System32%\wlhpri.dll
%System32%\WMIApiSrv.dll
%System32%\ztmini.dll
%System32%\ztmins.exe
%System32%\ztmpri.dll
%Windir%\TIMHost.exe
%Windir%\winow.dll
%Windir%\winow.exe
注释:
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动系统所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% 当前用户TEMP缓存变量;路径为:
%Documents and Settings%\当前用户\Local Settings\Temp
%System32% 是一个可变路径;
病毒通过查询操作系统来决定当前System32文件夹的位置;
Windows2000/NT中默认的安装路径是 C:\Winnt\System32;
Windows95/98/Me中默认的安装路径是 C:\Windows\System;
WindowsXP中默认的安装路径是 C:\Windows\System32。
四、 清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐),请到安天网站下载:www.antiy.com 。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。推荐使用ATool(安天安全管理工具),ATool下载地址: www.antiy.com或http://www.antiy.com/download/index.htm 。
重新起动机器,进入安全模式,利用安天木马防线或ATool等工具进行如下操作:
(1) 使用安天木马防线或ATool中的“进程管理”关闭病毒进程
强行删除插入EXPLORER.EXE的WinFormA5.dll
(2) 强行删除病毒文件
%System32%\WinFormA.ini
%System32%\WinFormA5.dll
%System32%\WinFormA5.exe
(3) 恢复病毒修改的注册表项目
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
\AppInit_DLLs
新: 字符串: "WinFormA5.dll"
旧: 字符串: ""
(4) 删除病毒添加的注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A12BC423-3713-224D-3F55-32B35C62B11A}\InprocServer32\@
键值: 字符串: "C:\WINDOWS\system32\WinFormA5.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A12BC423-3713-224D-3F55-32B35C62B11A}\InprocServer32\ThreadingModel
键值: 字符串: "Apartment"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{A12BC423-3713-224D-3F55-32B35C62B11A}
键值: 字符串: "WinFormA5.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\AUOptions
键值: DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
键值: DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\EnableFirewall
键值: DWORD: 0 (0)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\EnableFirewall
键值: DWORD: 0 (0)
(5) 强行删除该病毒下载的文件:
%Documents and Settings%\当前用户\Local Settings\Temporary Internet Files\Content.IE5\0FULOB89\14[1].exe
%Documents and Settings%\当前用户\Local Settings\Temporary Internet Files\Content.IE5\0FULOB89\1[1].exe
%Documents and Settings%\当前用户\Local Settings\Temporary Internet Files\Content.IE5\0FULOB89\5[1].exe
%Documents and Settings%\当前用户\Local Settings\Temporary Internet Files\Content.IE5\0FULOB89\9[1].exe
%Documents and Settings%\当前用户\Local Settings\Temporary Internet Files\Content.IE5\2FY7KF27\11[1].exe
%Documents and Settings%\当前用户\Local Settings\Temporary Internet Files\Content.IE5\2FY7KF27\3[1].exe
%Documents and Settings%\当前用户\Local Settings\Temporary Internet Files\Content.IE5\2FY7KF27\7[1].exe
%Documents and Settings%\当前用户\Local Settings\Temporary Internet Files\Content.IE5\2NCVMH4H\12[1].exe
%Documents and Settings%\当前用户\Local Settings\Temporary Internet Files\Content.IE5\2NCVMH4H\4[1].exe
%Documents and Settings%\当前用户\Local Settings\Temporary Internet Files\Content.IE5\2NCVMH4H\8[1].exe
%Documents and Settings%\当前用户\Local Settings\Temporary Internet Files\Content.IE5\2NCVMH4H\8[2].exe
%Documents and Settings%\当前用户\Local Settings\Temporary Internet Files\Content.IE5\4FEI87ZS\10[1].exe
%Documents and Settings%\当前用户\Local Settings\Temporary Internet Files\Content.IE5\4FEI87ZS\2[1].exe
%Documents and Settings%\当前用户\Local Settings\Temporary Internet Files\Content.IE5\4FEI87ZS\6[1].exe
%Program Files%\Internet Explorer\RAVGJMON.DAT
%Program Files%\Internet Explorer\RAVGJMON.exe
%Program Files%\Internet Explorer\RAVWDMON.DAT
%Program Files%\Internet Explorer\RAVWDMON.exe
%System32%\1.exe
%System32%\dhdini.dll
%System32%\dhdins.exe
%System32%\dhdpri.dll
%System32%\jziini.dll
%System32%\jziins.exe
%System32%\jzipri.dll
%System32%\msdebug.dll
%System32%\mxacfg.dll
%System32%\mxaman.dll
%System32%\mxaset.exe
%System32%\qheini.dll
%System32%\qheins.exe
%System32%\qhepri.dll
%System32%\TIMHost.dll
%System32%\wlgini.dll
%System32%\wlhins.exe
%System32%\wlhpri.dll
%System32%\WMIApiSrv.dll
%System32%\ztmini.dll
%System32%\ztmins.exe
%System32%\ztmpri.dll
%Windir%\TIMHost.exe
%Windir%\winow.dll
%Windir%\winow.exe
(6) 由于该病毒为“木马群”中的一部分,对该病毒能够清除,但对其对应的“木马群”的整体的清除有一定的困难。、见议使用安天木马防线可彻底清除此“木马群”。
没有评论:
发表评论