无意中被这个病毒看上了……
在手杀之余,稍微跟了一下,作了一点小研究。
这个病毒是盗取网络游戏帐号
盗取后发送到如下位置,(未必全)
http://www.999dl.com/dahua2/post.asp
http://www.qingcheng521.cn/dongdongxiaosegui521/post.asp
http://www.200716876.com/tx/post.asp
http://www.qingcheng521.cn/dongdongwangbadan123987/post.asp
http://www.money1314520.cn/8yue8hao/post.asp
下面的手杀办法适用于xp以上系统,ntfs分区的系统盘,对于fat32的话并不适用
以c:\windows为WINDOW_ROOT
以c:\windows\system32为SYSTEM_ROOT
由于需要使用到 安全 设置,因此要在我的电脑->工具->文件夹选项->查看->去掉“使用简单文件共享”的对钩。
对下述病毒文件做如下操作
右键选中->属性->安全->高级->去掉“从父项继承那些可以应用到子对象的权限项目,包括那些在此明确定义的项目”的对钩,在弹出的对话框中选择删除,而后确认权限项目中,没有任何人拥有访问权限。点击确定,对弹出的对话框选择“是”。
发现的病毒文件罗列如下
WINDOW_ROOT\mppds.exe
WINDOW_ROOT\wmsj.exe
SYSTEM_ROOT\dhcpri.dll
SYSTEM_ROOT\dhbini.dll
SYSTEM_ROOT\mydpri.dll
SYSTEM_ROOT\mydini.dll
SYSTEM_ROOT\xyhpri.dll
SYSTEM_ROOT\xyfini.dll
SYSTEM_ROOT\zxgpri.dll
SYSTEM_ROOT\zxgini.dll
SYSTEM_ROOT\RAVTLMON.DAT
SYSTEM_ROOT\RAVTLMON.exe
SYSTEM_ROOT\RAVWDMON.DAT
SYSTEM_ROOT\RAVWDMON.exe
SYSTEM_ROOT\RAVZTMON.DAT
SYSTEM_ROOT\RAVZTMON.exe
SYSTEM_ROOT\RemoteDbg.dll
SYSTEM_ROOT\d9dx.dll
SYSTEM_ROOT\d3d8xof.dll
C:\Program Files\Internet Explorer\PLUGINS\WinSys64.Sys
只要处理了这些文件,重启后,就可以保证病毒不能有所作为了
余下的是注册表的清理,记住,这些操作要在做完上述步骤后,重启电脑之后再进行
请在注册表中删除如下项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mppds
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RAVTLMON
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RAVWDMON
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RAVZTMON
HKEY_CLASSES_ROOT\CLSID\{32311A42-AC1B-158F-FD32-5674345F23A3}
HKEY_CLASSES_ROOT\CLSID\{40117B96-998D-4D80-8F89-5E9DBD9F3460}
HKEY_CLASSES_ROOT\CLSID\{4562452F-FA36-BA4F-892A-FF5FBBAC5314}
HKEY_CLASSES_ROOT\CLSID\{913AF41A-21B1-131B-1BFC-D2A90DF4A2B9}
HKEY_CLASSES_ROOT\CLSID\{7A65498A-7653-9801-1647-987114AB7F47}
HKEY_CLASSES_ROOT\CLSID\{DA1910DE-AA86-4ED0-874B-2924E38BAD99}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{32311A42-AC1B-158F-FD32-5674345F23A3}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{40117B96-998D-4D80-8F89-5E9DBD9F3460}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4562452F-FA36-BA4F-892A-FF5FBBAC5314}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{913AF41A-21B1-131B-1BFC-D2A90DF4A2B9}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7A65498A-7653-9801-1647-987114AB7F47}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DA1910DE-AA86-4ED0-874B-2924E38BAD99}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{32311A42-AC1B-158F-FD32-5674345F23A3}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{4562452F-FA36-BA4F-892A-FF5FBBAC5314}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{7A65498A-7653-9801-1647-987114AB7F47}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{913AF41A-21B1-131B-1BFC-D2A90DF4A2B9}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\DirectX
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RemoteDbg
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteDbg
将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs的值设为空
这样清理就算告一段落了
这个病毒会感染所有的exe文件,但由于对病毒使用的dll等做了禁止访问处理,所以那些被感染的exe不会有什么作为。
对于恢复没被染毒的exe文件的话,卡巴就可以处理,其它杀毒软件应该也可以。
下面一点点分析。只跟了一小部分。
Virus.Win32.Hala.a的分析
分析是出自一个染毒的exe的跟踪结果。
先说出结论,这个病毒会释放一些dll、exe、dat文件,并插入系统进程,修改注册表,以达到对自身的保护。
同时,病毒会阻止杀毒软件(比如卡巴斯机)、visual stdio.net 2003等软件的启动。
病毒会感染硬盘上的exe文件,在原exe文件后附加24576字节的病毒数据
具体内容请见append_exe.txt
append_exe.txt
那么下面让我们进入这个病毒的执行空间内,看看其到底做了些什么
在定位多个API,比如CreateFile、WriteFile等等之后
首先向C:\windows\system32\下释放了一个d9dx.dll,20480字节(C:\windows\system32\这个路径使用API动态获取)
具体内容请见d9dx_dll.txt
d9dx_dll.txt
而后加载这个释放出的dll,并调用其某一个接口(暂定为4#)
进入4#后,
将尝试打开3个Mutex
ACPI#PNPDODO#1#Amd_DL5
__DL5XYEX__
__DL_CORE5_MUTEX__
均未找到后,向d9dx.dll相同位置写入一个d3d8xof.dll,3072个字节,并设置为只读、系统、隐藏属性
具体内容请见d3d8xof_dll.txt
d3d8xof_dll.txt
而后增加注册表项 “HKEY_CLASS_ROOT\CLSID\{DA1910DE-AA86-4ED0-874B-2924E38BAD99}\InprocServer32″
default c:\windows\system32\d3d8xof.dll(路径可能会变化)
ThreadingModel Apartment
“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad”
DirectX {DA1910DE-AA86-4ED0-874B-2924E38BAD99}
而后使用CreateToolhelp32Snapshot、Process32Find等API遍历系统进程,查找explorer.exe
之后使用CreateRemoteThread将d3d8xof.dll插入到explorer.exe中
后面的操作就交给d3d8xof.dll去处理了
在d3d8xof.dll的入口处,会判断[ebp+c](在我的vpc里是0006F6B4这个地方)是否为1,如果为1才做后续步骤,不然直接终止自己
不是很清楚这个ebp+c代表什么东西
我用ollydbg带的那个loaddll.exe加载后,这个地方的值就是0~~
而且后面的部分即使强行修改判断条件进入也没有任何效果,中间就直接退了,于是变通一下,重启系统,让explorer.exe加载。
发现这样的话,[ebp+c]就是1了,那么我们马上继续。
进入后续步骤的话,发现又调回了d9dx.dll,不过这次不是接口4,而是接口2
进入2#后
发现还是不了了之~~
于是郁闷了~~
继续想了一下d3d8xof.dll的加载还是有些晚的,那么由于之前手杀这个病毒得知还有一些*pri.dll在c:\windows\system32下(释放时机暂时未知)
于是尝试在explorer.exe中截获这些*pri.dll
发现第一个加载的事dhcpri.dll,不知道顺序有没有随机性
看了再说
依旧做了[ebp+c]为1的判断~~
里面用了一堆我没见过的API,什么TlsGetValue、TlsSetValue呀,等等的。
这个dll会捕获WM_KEYBOARD和WM_MOUSE
会把dll本身加入注册表
“HKEY_CLASS_ROOT\CLSID\{32311A42-AC1B-158F-FD32-5674345F23A3}\InprocServer32″
default c:\windows\system32\dhcpri.dll(路径可能会变化)
ThreadingModel Apartment
余下的主要就是添加上述手杀的文件和注册表内容了。没有继续跟下去。
至于盗号的,部分由于本人不沾网游,所以没有办法实际测试
目前已知的是dhcpri.dll是盗《大话西游2》的帐号,其会寻找xy2.exe
能通俗的讲一次么?
[回复]
通俗一点?请问您想知道哪部分的通俗呢?我调整了一下,现在应该可以明确地分开了手杀和分析两部分。
分析部分的话,基本上只是当时的跟踪笔记。
因为后来一直没有时间跟完,所以没有很细的整理。
[回复]
下面的手杀办法适用于xp以上系统,ntfs分区的系统盘,对于fat32的话并不适用
那C盘是FAT32格式中了怎么办么?麻烦解释下,快被这病毒折磨疯了,卡巴也杀了重起还会有。
[回复]
fat32的确实会比较麻烦,目前想不出来~~过几天我看看能不能写一个dos下的专杀出来吧,这样Fat32也可以处理了
[回复]