作者:http://hi.baidu.com/sd8u8
『時代網路家族』
病毒名:Worm.Pabug.ck
大小:38,132 位元組
MD5:2391109c40ccb0f982b86af86cfbc900
加殼方式:FSG2.0
編寫語言:Delphi
傳播方式:通過移動介質或網頁惡意腳本傳播
經虛擬機中運行,與脫殼後OD分析結合,其行為如下:
檔案創建:
%systemroot%\system32\gfosdg.exe
%systemroot%\system32\gfosdg.dll
%systemroot%\system32\severe.exe
%systemroot%\system32\drivers\mpnxyl.exe
%systemroot%\system32\drivers\conime.exe
%systemroot%\system32\hx1.bat
%systemroot%\system32\noruns.reg
X:\OSO.exe
X:\autorun.inf
X指非系統盤符
%systemroot%是環境變數,對於裝在C糟的Windows XP系統,默認路徑為C:\WINDOWS資料夾,以下以此假設進行分析。
創建進程:
%systemroot%\system32\gfosdg.exe
%systemroot%\system32\severe.exe
%systemroot%\system32\drivers\conime.exe
使用net stop命令,結束可能存在的防毒軟體服務
調用sc.exe,
config 【對應服務】 start=disabled
禁用這些服務
被結束和禁用的服務包括:
srservice
sharedaccess(此即系統自帶防火牆——筆者注)
KVWSC
kvsrvxp
kavsvc
RsRavMon
RsCCenter
其中,在結束瑞星服務的過程中,由於瑞星會彈出提示,病毒作了相應處理:
用FindWindowA函式,捕捉標題為"瑞星提示"的視窗
用FindWindowExA函式,找到其中“是(&Y)”的按鈕
用SendMessageA函式向系統傳送信息,相當於按下此按鈕
禁止或結束以下進程運行,包括但不限於:
pfw.exe
kav.exe
KVOL.exe
kvfw.exe
adam.exe
qqav.exe
qqkav.exe
TBMon.exe
kav32.exe
kvwsc.exe
ccapp.exe
EGHOST.exe
kregex.exe
kavsvc.exe
VPTray.exe
RavMon.exe
kavpfw.exe
SHSTAT.exe
RavTask.exe
TrojDie.kxp
iparmor.exe
MAILMON.exe
mcagent.exe
KAVPLUS.exe
RavMonD.exe
rtvscan.exe
nvsvc32.exe
KVMonXP.exe
kvsrvxp.exe
CCenter.exe
KpopMon.exe
rfwmain.exe
KWATCHUI.exe
mcvsescn.exe
mskagent.exe
kvolself.exe
KVCenter.kxp
kavstart.exe
ravtimer.exe
RRfwMain.exe
FireTray.exe
updaterui.exe
KVSrvXp_1.exe
RavService.exe
創建noruns.reg,並導入註冊表,之後刪除此檔案。導入內容:
【HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer】
"NoDriveTypeAutoRun"=dword:b5
改變驅動器的autorun方式(在我的虛擬機里沒有實現)
修改註冊表,創建啟動項(後來在SREng日誌中可見的項目):
【HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run】
<mpnxyl><C:\WINDOWS\system32\gfosdg.exe> 【N/A】
<gfosdg><C:\WINDOWS\system32\severe.exe> 【N/A】
【HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon】
<shell><Explorer.exe C:\WINDOWS\system32\drivers\conime.exe> 【N/A】
為預防瑞星註冊表監控提示,故伎重施:
用FindWindowA函式捕捉標題為“瑞星註冊表監控提示”的視窗
用mouse_event控制滑鼠自動選擇允許修改。
訪問註冊表
【HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall】
CheckedValue鍵
破壞顯示隱藏檔案的功能(這一點在我的虛擬機中沒有實現,可能是被TINY或SSM默認阻止了)
然而,做了這么多工作除去防毒軟體之後,作者似乎覺得還不保險,他終於使出了“殺手鐧”:
在註冊表
【HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options】
創建以安全軟體程式名為名的子項
子項中創建子鍵
"Debugger"="C:\\WINDOWS\\system32\\drivers\\mpnxyl.exe"
使得這些程式在被雙擊運行時,均會轉為運行病毒檔案mpnxyl.exe
形如:
【HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe】
"Debugger"="C:\\WINDOWS\\system32\\drivers\\mpnxyl.exe"
autoruns的日誌中可以清楚地看到這些項目,以及遭到這種手法“蹂躪”的程式:
+ 360Safe.exe c:\windows\system32\drivers\mpnxyl.exe
+ adam.exe c:\windows\system32\drivers\mpnxyl.exe
+ avp.com c:\windows\system32\drivers\mpnxyl.exe
+ avp.exe c:\windows\system32\drivers\mpnxyl.exe
+ IceSword.exe c:\windows\system32\drivers\mpnxyl.exe
+ iparmo.exe c:\windows\system32\drivers\mpnxyl.exe
+ kabaload.exe c:\windows\system32\drivers\mpnxyl.exe
+ KRegEx.exe c:\windows\system32\drivers\mpnxyl.exe
+ KvDetect.exe c:\windows\system32\drivers\mpnxyl.exe
+ kvmonxp.kxp c:\windows\system32\drivers\mpnxyl.exe
+ KvXP.kxp c:\windows\system32\drivers\mpnxyl.exe
+ MagicSet.exe c:\windows\system32\drivers\mpnxyl.exe
+ mmsk.exe c:\windows\system32\drivers\mpnxyl.exe
+ msconfig.com c:\windows\system32\drivers\mpnxyl.exe
+ msconfig.exe c:\windows\system32\drivers\mpnxyl.exe
+ PFW.exe c:\windows\system32\drivers\mpnxyl.exe
+ PFWLiveUpdate.exe c:\windows\system32\drivers\mpnxyl.exe
+ QQDoctor.exe c:\windows\system32\drivers\mpnxyl.exe
+ Ras.exe c:\windows\system32\drivers\mpnxyl.exe
+ rav.exe c:\windows\system32\drivers\mpnxyl.exe
+ RavMon.exe c:\windows\system32\drivers\mpnxyl.exe
+ regedit.com c:\windows\system32\drivers\mpnxyl.exe
+ regedit.exe c:\windows\system32\drivers\mpnxyl.exe
+ runiep.exe c:\windows\system32\drivers\mpnxyl.exe
+ SREng.EXE c:\windows\system32\drivers\mpnxyl.exe
+ TrojDie.kxp c:\windows\system32\drivers\mpnxyl.exe
+ WoptiClean.exe c:\windows\system32\drivers\mpnxyl.exe
刪除卡卡助手的dll檔案KakaTool.dll(的確這么做了,虛擬機運行的結果和程式代碼里的內容相映證)
為了堵死中毒者的“後路”,又採取了另一種卑劣的手法
修改hosts檔案,禁止防毒軟體廠商的網站,卡卡社區“有幸”成為被禁止的其中一員:
這是後來用SREng看到的結果,在程式代碼里也有相應內容:
127.0.0.1 mmsk.cn
127.0.0.1 ikaka.com
127.0.0.1 safe.qq.com
127.0.0.1 360safe.com
127.0.0.1 www.mmsk.cn
127.0.0.1 www.ikaka.com
127.0.0.1 tool.ikaka.com
127.0.0.1 www.360safe.com
127.0.0.1 zs.kingsoft.com
127.0.0.1 forum.ikaka.com
127.0.0.1 up.rising.com.cn
127.0.0.1 scan.kingsoft.com
127.0.0.1 kvup.jiangmin.com
127.0.0.1 reg.rising.com.cn
127.0.0.1 update.rising.com.cn
127.0.0.1 update7.jiangmin.com
127.0.0.1 download.rising.com.cn
127.0.0.1 dnl-us1.kaspersky-labs.com
127.0.0.1 dnl-us2.kaspersky-labs.com
127.0.0.1 dnl-Us3.kaspersky-labs.com
127.0.0.1 dnl-us4.kaspersky-labs.com
127.0.0.1 dnl-us5.kaspersky-labs.com
127.0.0.1 dnl-us6.kaspersky-labs.com
127.0.0.1 dnl-us7.kaspersky-labs.com
127.0.0.1 dnl-us8.kaspersky-labs.com
127.0.0.1 dnl-us9.kaspersky-labs.com
127.0.0.1 dnl-us10.kaspersky-labs.com
127.0.0.1 dnl-eu1.kaspersky-labs.com
127.0.0.1 dnl-eu2.kaspersky-labs.com
127.0.0.1 dnl-eu3.kaspersky-labs.com
127.0.0.1 dnl-eu4.kaspersky-labs.com
127.0.0.1 dnl-eu5.kaspersky-labs.com
127.0.0.1 dnl-eu6.kaspersky-labs.com
127.0.0.1 dnl-eu7.kaspersky-labs.com
127.0.0.1 dnl-eu8.kaspersky-labs.com
127.0.0.1 dnl-eu9.kaspersky-labs.com
127.0.0.1 dnl-eu10.kaspersky-labs.com
另外:
hx1.bat內容:
@echo off
set date=2004-1-22
ping ** localhost > nul
date %date%
del %0
改日期?不過在虛擬機里沒有實現
autorun.inf的內容:
【AutoRun】
open=OSO.exe
shellexecute=OSO.exe
shell\Auto\command=OSO.exe
如果你要從右鍵選單來判別,很不幸,右鍵選單完全看不出異常,無論你是雙擊還是右鍵,同樣會激活病毒!
TINY還記錄到,病毒關閉系統還原服務後再打開。這恐怕會導致丟失還原點的結果。
至此這個十分惡劣的病毒的行為分析告一段落,下面介紹清除方法(上面內容看得頭暈的會員們,直接看清除方法即可)
清除方法歸結為一句話:“夾縫中求生”
IceSword.exe、SREng.exe均被禁,但只需將檔案改名,照樣可以運行
autoruns.exe則不在被禁的行列
其他的被禁程式,一步步解禁
具體過程:
結束進程:
%systemroot%\system32\gfosdg.exe
%systemroot%\system32\severe.exe
%systemroot%\system32\drivers\conime.exe
沒有發現此病毒禁用任務管理器。也可以用其他工具如procexp等
用autoruns刪除以下項目(建議用autoruns,一是沒被禁,二是一目了然,注意先選Options-Hide Microsoft Entries):
+ 360Safe.exe c:\windows\system32\drivers\mpnxyl.exe
+ adam.exe c:\windows\system32\drivers\mpnxyl.exe
+ avp.com c:\windows\system32\drivers\mpnxyl.exe
+ avp.exe c:\windows\system32\drivers\mpnxyl.exe
+ IceSword.exe c:\windows\system32\drivers\mpnxyl.exe
+ iparmo.exe c:\windows\system32\drivers\mpnxyl.exe
+ kabaload.exe c:\windows\system32\drivers\mpnxyl.exe
+ KRegEx.exe c:\windows\system32\drivers\mpnxyl.exe
+ KvDetect.exe c:\windows\system32\drivers\mpnxyl.exe
+ KVMonXP.kxp c:\windows\system32\drivers\mpnxyl.exe
+ KvXP.kxp c:\windows\system32\drivers\mpnxyl.exe
+ MagicSet.exe c:\windows\system32\drivers\mpnxyl.exe
+ mmsk.exe c:\windows\system32\drivers\mpnxyl.exe
+ msconfig.com c:\windows\system32\drivers\mpnxyl.exe
+ msconfig.exe c:\windows\system32\drivers\mpnxyl.exe
+ PFW.exe c:\windows\system32\drivers\mpnxyl.exe
+ PFWLiveUpdate.exe c:\windows\system32\drivers\mpnxyl.exe
+ QQDoctor.exe c:\windows\system32\drivers\mpnxyl.exe
+ Ras.exe c:\windows\system32\drivers\mpnxyl.exe
+ Rav.exe c:\windows\system32\drivers\mpnxyl.exe
+ RavMon.exe c:\windows\system32\drivers\mpnxyl.exe
+ regedit.com c:\windows\system32\drivers\mpnxyl.exe
+ regedit.exe c:\windows\system32\drivers\mpnxyl.exe
+ runiep.exe c:\windows\system32\drivers\mpnxyl.exe
+ SREng.EXE c:\windows\system32\drivers\mpnxyl.exe
+ TrojDie.kxp c:\windows\system32\drivers\mpnxyl.exe
+ WoptiClean.exe c:\windows\system32\drivers\mpnxyl.exe
這樣包括IceSword、SREng、註冊表編輯器和系統配置實用程式在內的部分程式不再被禁止
刪除或修改啟動項:
以用SREng為例
在“啟動項目”-“註冊表”中刪除:
【HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run】
<mpnxyl><C:\WINDOWS\system32\gfosdg.exe> 【N/A】
<gfosdg><C:\WINDOWS\system32\severe.exe> 【N/A】
雙擊以下項目,把“值”中Explorer.exe後面的內容刪除
【HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon】
<shell><Explorer.exe C:\WINDOWS\system32\drivers\conime.exe> 【N/A】
刪除檔案:
由於非系統盤即便右鍵打開也會有危險,應該採用其他方法,推薦用IceSword或WINRAR來做
刪除:
%systemroot%\system32\gfosdg.exe
%systemroot%\system32\gfosdg.dll
%systemroot%\system32\severe.exe
%systemroot%\system32\drivers\mpnxyl.exe
%systemroot%\system32\drivers\conime.exe
%systemroot%\system32\hx1.bat
%systemroot%\system32\noruns.reg
X:\OSO.exe
X:\autorun.inf
系統修復與清理:
在註冊表展開
【HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL】
建議將原CheckedValue鍵刪除,再新建正常的鍵值:
"CheckedValue"=dword:00000001
【HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer】
NoDriveTypeAutoRun鍵的值,是否要改,要改為什麼,視乎各人所需,一般默認為91(十六進制的)
此鍵的含義,請搜尋網上資料,在此不再贅述
HOSTS檔案的清理
可以用記事本打開%systemroot%\system32\drivers\etc\hosts,清除被病毒加入的內容
也可以用SREng在“系統修復”-“HOSTS檔案”中點“重置”,然後點“保存”
最後修復一下服務被破壞的防毒軟體。
小結:
從拿到樣本到方法寫完,歷時整整五小時。之所以要說得如此詳細,是因為這個病毒相當的典型,尤其是它對付安全軟體的幾種方法。右鍵選單沒變化,也是比較“隱蔽”而且給清除帶來麻煩的一個特徵。對付這個病毒,也要在“知己知彼”的基礎上,靈活運用方法和工具。
相關詞條
-
OSO.exe
system32\\n tversion\\ tVersion\\
-
Trojan-PSW.Win32.QQPass.uv
;在非系統盤根目錄下(不包括移動設備)複製自身檔案名稱為 OSO.exe...%\verclsid.dat % 非系統盤根目錄 %\ oso.exe % 非...%\verclsid.dat % 非系統盤根目錄 %\ oso.exe % 非系統盤...
病毒描述 行為分析 清除方案 附:被劫持軟體列表 -
Win32.Troj.QQPass.aa
:Autorun.inf 和病毒複製體:OSO.exe ,並修改相關註冊表項以使...
名詞解釋 病毒行為 -
Win32.PSWTroj.QQPass
OSO.exe作成autorun啟動...
簡介 病毒行為: -
Win32.Troj.QQPass.nw
磁碟根目錄下生成如下病毒檔案,當用戶雙擊盤符時會激活病毒OSO.exe...
病毒介紹 病毒行為 -
Win32.Troj.QQPass.doD
生成如下病毒檔案,當用戶雙擊盤符時會激活病毒OSO.exe...
病毒別名: 病毒行為: -
Win32.Troj.QQPass.sd
生成如下病毒檔案,當用戶雙擊盤符時會激活病毒OSO.exe...
病毒別名: 病毒行為: -
詭秘下載器變種XOK
優盤、移動硬碟的根目錄下生成名為OSO.exe和Autorun.inf...
概述 預防 -
usbcleanr
Backdoor.Win32.Bifrose.ago,OSO.exe變種一個,Svervices.exe...
UsbCleanr 下載及用途 新版介紹