簡介
犇牛是年初以來傳播手段最綜合的木馬,傳播手段與當年的“磁碟機”木馬和“熊貓燒香”病毒類似,能把木馬種子插入電腦中的所有html網頁檔案和rar壓縮檔案,具備了“全盤感染”的能力。
中了“犇牛”後,症狀非常容易判斷,特徵有二:
1.電腦特別慢;
2.非系統盤下每個資料夾目錄都多出來一個不正常的dll檔案,經常會跳出“虛擬記憶體不足”的提示。用戶重灌系統或者用ghost系統還原都不能解決,除非全盤格式化。這是由於犇牛劫持了.dll檔案,並刪除了.gho鏡像檔案所致。
犇牛會在中招的電腦上劃分勢力範圍,不讓其它木馬下載勢力染指,這個不多見,由此可見木馬行業內部競爭也日趨激烈。犇牛下載的木馬很多都出自知名盜號工作室(五家以上),主要是網遊盜號木馬。
現在犇牛的製作團隊正在跟安全廠商進行一場正面對抗。目前絕大部分防毒軟體都殺不乾淨或被強行關閉、卸載,這一點各安全廠商論壇上都有用戶的求助信息。下面就給出犇牛變種的分析報告。
犇牛變種分析報告
1、遍歷全盤中的Gho、GHO、gho檔案,找到就刪除。
2、遍歷全盤中的 jsp、php、aspx、asp、htm、html檔案,找到就向檔案尾部插入
進行網馬傳播。
3、通過 hxxp://down.skydows.cn/down.txt 這個下載列表,下載大量木馬。
4、直接下載hxxp://w.ssddffgg.cn/me.exe,拷貝為c:\__default.pif,運行並進行自我更新。
5、向hxxp://w.ssddffgg.cn/7/get.asp傳送本機信息,用來統計中招用戶信息。
6、釋放感染木馬到c:\windows\ini目錄下,並寫入desktop.ini用來偽裝成資源回收筒。達到隱藏檔案的目的。
7、遍歷進行,發現下面的進程則嘗試結束關閉:
rfwproxy.exe、rfwmain.exe、rfwsrv.exe、navapsvc.exe、navapw32.exe、
EGHOST.EXE、FileDsty.exe、RavTask.exe、RavMonD.exe、UlibCfg.exe、CCenter.exe、RavMon.exe、
RavLite.exe、rav.exe、kasmain.exe、kissvc.exe、kavstart.exe、kwatch.exe、kav32.exe、
360Safe.exe、avp.exe、vptray.exe、mmsk.exe、THGUARD.EXE、TrojanHunter.exe、TBSCAN.EXE、
webscanx.exe、iparmor.exe、pfw.exe、AST.exe、ast.exe、360tray.exe
8、遍歷當前激活面板,如果面板父視窗含有以下關鍵字,則傳送關閉訊息關閉面板控制項:
防毒、worm、卡巴斯基、超級巡警、江民、離線升級包、金山、Anti、anti、Virus、virus、
Firewall、檢測、Mcafee、病毒、查殺、狙劍、防火牆、主動防禦、微點、防禦、系統保護、綠鷹、
主動、殺馬、木馬、感染、清除器、上報、舉 報、舉報、瑞星、進 程、進程、低 安全、Process、
NOD32、攔截、監控、安全衛士、監視、專殺
9、寫Autorun.inf進行隨身碟傳播。
檔案寫入recycle.{645FF040-5081-101B-9F08-00AA002F954E}\ini.exe,且在該目錄下建了一個“safe../"的畸形資料夾,用來防止刪除recycle.{645FF040-5081-101B-9F08-00AA002F954E}目錄。
10、調用Windows系統函式WNetAddConnection2A來連線其它主機的Windows檔案共享和遠程訪問連線埠(445),一旦連線成功,使用以下密碼字典(含空口令)嘗試登錄administrator賬戶:
movie、woaini、baby、asdf、NULL、angel、asdfgh、1314520、5201314、caonima、88888、bbbbbb、
12345678、memory、abc123、qwerty、123456、111、password、new、enter、hack、xpuser、money、
yeah、time、123456movie、game、user、alex、guest、admin、test、administrator、root、nn、
123、xp、love、home
11、向c:\windows\ini目錄下寫入wsock32.dll,並將該dll複製到硬碟的每一個目錄下(系統的目錄除外)。
12、向c:\windows\tasks目錄下寫入“安裝.bat”,為插入壓縮檔作準備。
13、遍歷所有目錄下的tar、cab、tgz、zip、rar檔案,並調用"%ProgramFiles%"目錄下的\WinRAR\rar.exe,使用命令行參數將c:\windows\tasks\安裝.bat添加到這些壓縮檔中。
14、修改host表,禁止安全廠商網站:
# ****下面是惡意網站
127.0.0.0 360.qihoo.com
127.0.0.1 qihoo.com
127.0.0.1 www.qihoo.com
127.0.0.1 www.qihoo.cn
127.0.0.1 124.40.51.17
127.0.0.1 58.17.236.92',0
127.0.0.1 www.kaspersky.com
27.0.0.1 60.210.176.251
127.0.0.1 www.cnnod32.cn
127.0.0.1 www.lanniao.org
127.0.0.1 www.nod32club.com
127.0.0.1 www.dswlab.com
127.0.0.1 bbs.sucop.com
127.0.0.1 www.virustotal.com
127.0.0.1 tool.ikaka.com,0
127.0.0.1 www.jiangmin.com
203.208.37.99 www.duba.net
127.0.0.1 www.eset.com.cn
127.0.0.1 www.nod32.com
203.208.37.99 shadu.duba.net
203.208.37.99 union.kingsoft.com
127.0.0.1 www.kaspersky.com.cn
127.0.0.1 kaspersky.com.cn
127.0.0.1 virustotal.com,0
127.0.0.1 www.360.cn
127.0.0.1 www.360safe.cn
127.0.0.1 www.360safe.com
127.0.0.1 www.chinakv.com
127.0.0.1 www.rising.com.cn
127.0.0.1 rising.com.cn
127.0.0.1 dl.jiangmin.com
127.0.0.1 jiangmin.com,0
15、刪除金山通行證的記錄信息,達到破壞金山毒霸升級的目的。
c:\documents and settings\all users\application data\kingsoft\kis\log.dat
c:\documents and settings\all users\application data\kingsoft\kis\user.dat
16、破壞安全模式及帶網路的安全模式。
17、向%windir%\ini\目錄下的shit.vbs寫入如下內容:
On Error Resume NextSet rs=createObject("Wscript.shell")rs.run "%windir%\ini\ini.exe",0
並調用該VBS啟動ini.exe。
18、查找AfxControlBar42s視窗類,用來關閉IceSword。
