病毒名:Worm.Pabug.ck
大小:38,132 字節(jié)
MD5:2391109c40ccb0f982b86af86cfbc900
加殼方式:FSG2.0
編寫語言:Delphi
傳播方式:通過移動(dòng)介質(zhì)或網(wǎng)頁惡意腳本傳播
經(jīng)虛擬機(jī)中運(yùn)行,與脫殼后OD分析結(jié)合,其行為如下:
文件創(chuàng)建:
%systemroot%\system32\gfosdg.exe
%systemroot%\system32\gfosdg.dll
%systemroot%\system32\severe.exe
%systemroot%\system32\drivers\mpnxyl.exe
%systemroot%\system32\drivers\conime.exe
%systemroot%\system32\hx1.bat
%systemroot%\system32\noruns.reg
X:\OSO.exe
X:\autorun.inf
X指非系統(tǒng)盤符
%systemroot%是環(huán)境變量,對(duì)于裝在C盤的Windows XP系統(tǒng),默認(rèn)路徑為C:\WINDOWS文件夾,以下以此假設(shè)進(jìn)行分析。
創(chuàng)建進(jìn)程:
%systemroot%\system32\gfosdg.exe
%systemroot%\system32\severe.exe
%systemroot%\system32\drivers\conime.exe
使用net stop命令,結(jié)束可能存在的殺毒軟件服務(wù)
調(diào)用sc.exe,
config [對(duì)應(yīng)服務(wù)] start=disabled
禁用這些服務(wù)
被結(jié)束和禁用的服務(wù)包括:
srservice
sharedaccess(此即系統(tǒng)自帶防火墻——筆者注)
KVWSC
KVSrvXP
kavsvc
RsRavMon
RsCCenter
其中,在結(jié)束瑞星服務(wù)的過程中,由于瑞星會(huì)彈出提示,病毒作了相應(yīng)處理:
用FindWindowA函數(shù),捕捉標(biāo)題為"瑞星提示"的窗口
用FindWindowExA函數(shù),找到其中“是(&Y)”的按鈕
用SendMessageA函數(shù)向系統(tǒng)發(fā)送信息,相當(dāng)于按下此按鈕
禁止或結(jié)束以下進(jìn)程運(yùn)行,包括但不限于:
PFW.exe
Kav.exe
KVOL.exe
KVFW.exe
adam.exe
qqav.exe
qqkav.exe
TBMon.exe
kav32.exe
kvwsc.exe
CCAPP.exe
EGHOST.exe
KRegEx.exe
kavsvc.exe
VPTray.exe
RAVMON.exe
KavPFW.exe
SHSTAT.exe
RavTask.exe
TrojDie.kxp
Iparmor.exe
MAILMON.exe
MCAGENT.exe
KAVPLUS.exe
RavMonD.exe
Rtvscan.exe
Nvsvc32.exe
KVMonXP.exe
Kvsrvxp.exe
CCenter.exe
KpopMon.exe
RfwMain.exe
KWATCHUI.exe
MCVSESCN.exe
MSKAGENT.exe
kvolself.exe
KVCenter.kxp
kavstart.exe
RAVTIMER.exe
RRfwMain.exe
FireTray.exe
UpdaterUI.exe
KVSrvXp_1.exe
RavService.exe
創(chuàng)建noruns.reg,并導(dǎo)入注冊(cè)表,之后刪除此文件。導(dǎo)入內(nèi)容:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:b5
改變驅(qū)動(dòng)器的autorun方式(在我的虛擬機(jī)里沒有實(shí)現(xiàn))
修改注冊(cè)表,創(chuàng)建啟動(dòng)項(xiàng)(后來在SREng日志中可見的項(xiàng)目):
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
為預(yù)防瑞星注冊(cè)表監(jiān)控提示,故伎重施:
用FindWindowA函數(shù)捕捉標(biāo)題為“瑞星注冊(cè)表監(jiān)控提示”的窗口
用mouse_event控制鼠標(biāo)自動(dòng)選擇允許修改。
訪問注冊(cè)表
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall]
CheckedValue鍵
破壞顯示隱藏文件的功能(這一點(diǎn)在我的虛擬機(jī)中沒有實(shí)現(xiàn),可能是被TINY或SSM默認(rèn)阻止了)
然而,做了這么多工作除去殺毒軟件之后,作者似乎覺得還不保險(xiǎn),他終于使出了“殺手锏”:
在注冊(cè)表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
創(chuàng)建以安全軟件程序名為名的子項(xiàng)
子項(xiàng)中創(chuàng)建子鍵
"Debugger"="C:\\WINDOWS\\system32\\drivers\\mpnxyl.exe"
使得這些程序在被雙擊運(yùn)行時(shí),均會(huì)轉(zhuǎn)為運(yùn)行病毒文件mpnxyl.exe
形如:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe]
"Debugger"="C:\\WINDOWS\\system32\\drivers\\mpnxyl.exe"
autoruns的日志中可以清楚地看到這些項(xiàng)目,以及遭到這種手法“蹂躪”的程序:
+ 360Safe.exe c:\windows\system32\drivers\mpnxyl.exe
+ adam.exe c:\windows\system32\drivers\mpnxyl.exe
+ avp.com c:\windows\system32\drivers\mpnxyl.exe
+ avp.exe c:\windows\system32\drivers\mpnxyl.exe
+ IceSword.exe c:\windows\system32\drivers\mpnxyl.exe
+ iparmo.exe c:\windows\system32\drivers\mpnxyl.exe
+ kabaload.exe c:\windows\system32\drivers\mpnxyl.exe
+ KRegEx.exe c:\windows\system32\drivers\mpnxyl.exe
+ KvDetect.exe c:\windows\system32\drivers\mpnxyl.exe
+ KVMonXP.kxp c:\windows\system32\drivers\mpnxyl.exe
+ KvXP.kxp c:\windows\system32\drivers\mpnxyl.exe
+ MagicSet.exe c:\windows\system32\drivers\mpnxyl.exe
+ mmsk.exe c:\windows\system32\drivers\mpnxyl.exe
+ msconfig.com c:\windows\system32\drivers\mpnxyl.exe
+ msconfig.exe c:\windows\system32\drivers\mpnxyl.exe
+ PFW.exe c:\windows\system32\drivers\mpnxyl.exe
+ PFWLiveUpdate.exe c:\windows\system32\drivers\mpnxyl.exe
+ QQDoctor.exe c:\windows\system32\drivers\mpnxyl.exe
+ Ras.exe c:\windows\system32\drivers\mpnxyl.exe
+ Rav.exe c:\windows\system32\drivers\mpnxyl.exe
+ RavMon.exe c:\windows\system32\drivers\mpnxyl.exe
+ regedit.com c:\windows\system32\drivers\mpnxyl.exe
+ regedit.exe c:\windows\system32\drivers\mpnxyl.exe
+ runiep.exe c:\windows\system32\drivers\mpnxyl.exe
+ SREng.EXE c:\windows\system32\drivers\mpnxyl.exe
+ TrojDie.kxp c:\windows\system32\drivers\mpnxyl.exe
+ WoptiClean.exe c:\windows\system32\drivers\mpnxyl.exe
刪除卡卡助手的dll文件kakatool.dll(的確這么做了,虛擬機(jī)運(yùn)行的結(jié)果和程序代碼里的內(nèi)容相映證)
為了堵死中毒者的“后路”,又采取了另一種卑劣的手法
修改hosts文件,屏蔽殺毒軟件廠商的網(wǎng)站,卡卡社區(qū)“有幸”成為被屏蔽的其中一員:
這是后來用SREng看到的結(jié)果,在程序代碼里也有相應(yīng)內(nèi)容:
127.0.0.1 mmsk.cn
127.0.0.1 ikaka.com
127.0.0.1 safe.qq.com
127.0.0.1 360safe.com
127.0.0.1 www.mmsk.cn
127.0.0.1 www.ikaka.com
127.0.0.1 tool.ikaka.com
127.0.0.1 www.360safe.com
127.0.0.1 zs.kingsoft.com
127.0.0.1 forum.ikaka.com
127.0.0.1 up.rising.com.cn
127.0.0.1 scan.kingsoft.com
127.0.0.1 kvup.jiangmin.com
127.0.0.1 reg.rising.com.cn
127.0.0.1 update.rising.com.cn
127.0.0.1 update7.jiangmin.com
127.0.0.1 download.rising.com.cn
127.0.0.1 dnl-us1.kaspersky-labs.com
127.0.0.1 dnl-us2.kaspersky-labs.com
127.0.0.1 dnl-us3.kaspersky-labs.com
127.0.0.1 dnl-us4.kaspersky-labs.com
127.0.0.1 dnl-us5.kaspersky-labs.com
127.0.0.1 dnl-us6.kaspersky-labs.com
127.0.0.1 dnl-us7.kaspersky-labs.com
127.0.0.1 dnl-us8.kaspersky-labs.com
127.0.0.1 dnl-us9.kaspersky-labs.com
127.0.0.1 dnl-us10.kaspersky-labs.com
127.0.0.1 dnl-eu1.kaspersky-labs.com
127.0.0.1 dnl-eu2.kaspersky-labs.com
127.0.0.1 dnl-eu3.kaspersky-labs.com
127.0.0.1 dnl-eu4.kaspersky-labs.com
127.0.0.1 dnl-eu5.kaspersky-labs.com
127.0.0.1 dnl-eu6.kaspersky-labs.com
127.0.0.1 dnl-eu7.kaspersky-labs.com
127.0.0.1 dnl-eu8.kaspersky-labs.com
127.0.0.1 dnl-eu9.kaspersky-labs.com
127.0.0.1 dnl-eu10.kaspersky-labs.com
另外:
hx1.bat內(nèi)容:
@echo off
set date=2004-1-22
ping ** localhost > nul
date %date%
del %0
改日期?不過在虛擬機(jī)里沒有實(shí)現(xiàn)
autorun.inf的內(nèi)容:
[AutoRun]
open=OSO.exe
shellexecute=OSO.exe
shell\Auto\command=OSO.exe
如果你要從右鍵菜單來判別,很不幸,右鍵菜單完全看不出異常,無論你是雙擊還是右鍵,同樣會(huì)激活病毒!
TINY還記錄到,病毒關(guān)閉系統(tǒng)還原服務(wù)后再打開。這恐怕會(huì)導(dǎo)致丟失還原點(diǎn)的結(jié)果。
至此這個(gè)十分惡劣的病毒的行為分析告一段落,下面介紹清除方法(如果上面內(nèi)容看得頭暈的話,請(qǐng)直接看清除方法即可)
IceSword.exe、SREng.exe均被禁,但只需將文件改名,照樣可以運(yùn)行
autoruns.exe則不在被禁的行列
其他的被禁程序,一步步解禁
具體過程:
結(jié)束進(jìn)程:
%systemroot%\system32\gfosdg.exe
%systemroot%\system32\severe.exe
%systemroot%\system32\drivers\conime.exe
沒有發(fā)現(xiàn)此病毒禁用任務(wù)管理器。也可以用其他工具如procexp等
用autoruns刪除以下項(xiàng)目(建議用autoruns,一是沒被禁,二是一目了然,注意先選Options-Hide Microsoft Entries):
+ 360Safe.exe c:\windows\system32\drivers\mpnxyl.exe
+ adam.exe c:\windows\system32\drivers\mpnxyl.exe
+ avp.com c:\windows\system32\drivers\mpnxyl.exe
+ avp.exe c:\windows\system32\drivers\mpnxyl.exe
+ IceSword.exe c:\windows\system32\drivers\mpnxyl.exe
+ iparmo.exe c:\windows\system32\drivers\mpnxyl.exe
+ kabaload.exe c:\windows\system32\drivers\mpnxyl.exe
+ KRegEx.exe c:\windows\system32\drivers\mpnxyl.exe
+ KvDetect.exe c:\windows\system32\drivers\mpnxyl.exe
+ KVMonXP.kxp c:\windows\system32\drivers\mpnxyl.exe
+ KvXP.kxp c:\windows\system32\drivers\mpnxyl.exe
+ MagicSet.exe c:\windows\system32\drivers\mpnxyl.exe
+ mmsk.exe c:\windows\system32\drivers\mpnxyl.exe
+ msconfig.com c:\windows\system32\drivers\mpnxyl.exe
+ msconfig.exe c:\windows\system32\drivers\mpnxyl.exe
+ PFW.exe c:\windows\system32\drivers\mpnxyl.exe
+ PFWLiveUpdate.exe c:\windows\system32\drivers\mpnxyl.exe
+ QQDoctor.exe c:\windows\system32\drivers\mpnxyl.exe
+ Ras.exe c:\windows\system32\drivers\mpnxyl.exe
+ Rav.exe c:\windows\system32\drivers\mpnxyl.exe
+ RavMon.exe c:\windows\system32\drivers\mpnxyl.exe
+ regedit.com c:\windows\system32\drivers\mpnxyl.exe
+ regedit.exe c:\windows\system32\drivers\mpnxyl.exe
+ runiep.exe c:\windows\system32\drivers\mpnxyl.exe
+ SREng.EXE c:\windows\system32\drivers\mpnxyl.exe
+ TrojDie.kxp c:\windows\system32\drivers\mpnxyl.exe
+ WoptiClean.exe c:\windows\system32\drivers\mpnxyl.exe
這樣包括IceSword、SREng、注冊(cè)表編輯器和系統(tǒng)配置實(shí)用程序在內(nèi)的部分程序不再被禁止
刪除或修改啟動(dòng)項(xiàng):
以用SREng為例
在“啟動(dòng)項(xiàng)目”-“注冊(cè)表”中刪除:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
雙擊以下項(xiàng)目,把“值”中Explorer.exe后面的內(nèi)容刪除
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
刪除文件:
由于非系統(tǒng)盤即便右鍵打開也會(huì)有危險(xiǎn),應(yīng)該采用其他方法,推薦用IceSword或WINRAR來做
刪除:
%systemroot%\system32\gfosdg.exe
%systemroot%\system32\gfosdg.dll
%systemroot%\system32\severe.exe
%systemroot%\system32\drivers\mpnxyl.exe
%systemroot%\system32\drivers\conime.exe
%systemroot%\system32\hx1.bat
%systemroot%\system32\noruns.reg
X:\OSO.exe
X:\autorun.inf
系統(tǒng)修復(fù)與清理:
在注冊(cè)表展開
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
建議將原CheckedValue鍵刪除,再新建正常的鍵值:
"CheckedValue"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
NoDriveTypeAutoRun鍵的值,是否要改,要改為什么,視乎各人所需,一般默認(rèn)為91(十六進(jìn)制的)
此鍵的含義,請(qǐng)搜索網(wǎng)上資料,在此不再贅述
HOSTS文件的清理
可以用記事本打開%systemroot%\system32\drivers\etc\hosts,清除被病毒加入的內(nèi)容
也可以用SREng在“系統(tǒng)修復(fù)”-“HOSTS文件”中點(diǎn)“重置”,然后點(diǎn)“保存”
最后修復(fù)一下服務(wù)被破壞的殺毒軟件。
小結(jié):
從拿到樣本到方法寫完,歷時(shí)整整五小時(shí)。之所以要說得如此詳細(xì),是因?yàn)檫@個(gè)病毒相當(dāng)?shù)牡湫停绕涫撬鼘?duì)付安全軟件的幾種方法。右鍵菜單沒變化,也是比較“隱蔽”而且給清除帶來麻煩的一個(gè)特征。對(duì)付這個(gè)病毒,也要在“知己知彼”的基礎(chǔ)上,靈活運(yùn)用方法和工具。
