论坛风格切换
 
  • 帖子
  • 日志
  • 用户
  • 版块
  • 群组
帖子
购买邀请后未收到邀请联系sdbeta@qq.com
  • 2128阅读
  • 0回复

[已解决]斩首行动:针对蝗虫军团主程序的查杀手记 [复制链接]

上一主题 下一主题
离线heiseyoumo
 
发帖
*
今日发帖
最后登录
1970-01-01
只看楼主 倒序阅读 使用道具 楼主  发表于: 2008-10-16 11:39:15
『摘』:可以学习下木马的一些特有行为与种种查杀对策!

经常用360的朋友应该了解,每次启动360的时候会弹出最新木马播报,而最近360经常弹出的信息是比较猖狂的木马是蝗虫军团集群,本人对这些很黄很暴力的木马的行为甚感兴趣,但是找了半天找不样本!剑盟中国有个样本,俺没邀请码进不去- -!还是卡饭厚道,不知道哪位兄弟传了个样本!则下来研究研究.....
病毒名称: Kaspersky:Trojan-GameThief.Win32.Magania.gen NOD32:Win32/PSW.OnLineGames.NQX Rising:Trojan.PSW.Win32.XYOnline.aid VT
扫描时间: 2008.10.12 12:17:33 (CET)
病毒大小:19.8 KB (20,336 字节)
MD5码:3cd64c3448ff5533960f37017dc54e54
病毒类型: 下载者
木马主要传播方式: 网络
测试平台: WinXP SP3 风云防火墙 虚拟机5.5.3
首发地址:http://www.hnqw.net/
EQ里的行为我就不贴出来了,太多,浪费版面,我整理一下大概的行为,主要想说的是查杀防范的要点,因为是在断网的情况下测试,所有它没有办法下载其他的病毒到虚拟机中,效果可能不是完美,所有,如果有不对的地方请大家指正!
运行程序,先创建文件:C:\WINDOWS\system32\Update.dat
修改注册表:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\RNG
修改SEED值 创建文件:C:\WINDOWS\system32\drivers\HBKernel.sys
创建文件:C:\Documents and Settings\当前用户名\Local Settings\Temp\1.tmp (可以运行的...)
创建文件:C:\WINDOWS\system32\HBmhly.dll
创建文件:C:\WINDOWS\system32\SelfDel.dll
创建文件:C:\WINDOWS\system32\explore.exe
修改注册表:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 写入explore.exe ,HBService启动项
修改注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows
修改 AppInit_DLLs值 创建注册表:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\HBKernel
创建注册表:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\HBKernel32
删除文件:C:\WINDOWS\system32\SelfDel.dll
删除文件:C:\WINDOWS\system32\Update.dat
病毒运行完后,因为没有办法下载其他病毒到计算机,它本身又没有映像劫持,所以很多安全工具还是快速查杀的如果有朋友不幸中招下载的其他病毒的话,肯定会有劫持的,最简单而且快速的处理方法在以前的一个分析报告中也说过了,这里不重复了!先说说我的查杀过程,我先结束掉EXPLORE.EXE进程,接着查找它的本体,到SYSTEM32目录下删除EXPLORE.EXE,删除HBmhly.dll的时候发现删除不了- -!赶快看下是不是注入到了其他进程!哇,它注入到了这些进程:LSASS.EXE SVCHOST.EXE EXPLORER.EXE SPOOLSV.EXE CIFMON.EXE WUAUCLT.EXE - -!!!(瀑布汗)到注册表进行删除,因为以前分析的病毒所以对RNG还是比较了解的,直接跑到那进行删除,删除APPINIT_DLLS值,一切都很正常滴进行着,现在就剩驱动,跟服务,启动项没有删除(等下说明为什么没有在注册表删除服务),这个病毒它对自身服务启动项进行了保护,所以services.msc(系统服务)是看不到服务的(我原来虚拟机有问题- -!),第三方工具可以看的(没有劫持的哦)!想要删除驱动,肯定是需要停止它的服务,所以在CMD下停止它的服务,这个病毒有两服务的哦- -!一停止,直接蓝屏- -!心想完了......启动后,发现以前的操作全白费了- -!但是,我发现,它的服务还是成功停止了(淫笑中...)这个关联到查杀的成败,那过程我就不细说了,我测试这病毒,虚拟机都重启,恢复不下10次......既然知道了这个服务的重要性,那么我们查杀起来就方便了,这里我整理了一套思路,给大家参考(借助工具Wsyscheck):结束进程--停止服务(蓝屏重启)--重启后结束进程--删除注册表里的两个服务--删除启动项--删除RNG值--删除AppInit_DLLs值--删除SYSTEM32下所创建的文件--重启--删除驱动程序文件--杀软收尾以上是我测试了几次查杀之后速度还可以的查杀流程,最后那里重启一定要注意以下,如果搞完前面后,你直接删除驱动是删除不了的,还会蓝屏,之前做的可能就白费了,别忘了我前面做的测试,DLL注入进程......删完SYSTEM32下的文件这步直接重启,重启后它就剩个驱动了,直接进入DRIVERS目录删除HBKernel.sys,系统就相当干净了!以上说的是手杀,不熟悉的朋友建议使用360最新的专杀大全进行查杀,也可以清理掉!这个病毒主要是帮助其他木马进行种植,所以可以说这个木马是老大,是领路人,把老大干掉了,剩下那些盗号病毒就好处理了!它的自我保护很强滴 查杀需要注意的跟查杀流程以不小心啰嗦了那么多,下面讲下在风云跟系统组策略配合下的效果!风云里需要加那些规则我这里就不多说了!不知道怎么改进规则的朋友建议到卡饭安全论坛学习下! 允许状态:成功创建Update.dat,HBKernel.sys,HBmhly.dll,explore.exe,1.tmp 注册表里拦截掉RNG修改,DLL文件没有动作了...只能说在系统放了一对垃圾,注册表它都没有创建启动项,老郁闷了- -!还没有启动软件限制策略黑名单呢- -!这样病毒没办法注入进程,没办法使用注册表进行操作!所以,只要把它所创建的文件全部删除就干净了- -! 阻止状态:成功创建1.tmp HBKernel.sys 注册表没有动静- -!(启动软件限制策略黑名单限制explore.exe)直接删除这两个文件完毕!不删除也没什么的,就是有垃圾碍眼- -! 上面说的都是查杀,那么怎么发觉这个病毒呢?很简单,它下载其他盗号木马的时候系统会很有卡机现象,开机大量弹出广告窗口,修改IE主页,安装插件等操作,还是比较容易发觉的!

样本下载:http://www.uushare.com/user/yuqian4872/file/875644