×

关注微信公众号

免备案网站空间虚拟主机双线空间域名查询PS数码后期
photoshop互助课堂数百G视频教程下载英语培训机构初中英语如何学随时随地聆听大师开讲/课堂
软件安装教程 远程服务 超值!手绘教程抠图教程路径专辑photoshop cs3视频教程
查看: 6446|回复: 29

【反毒技术】关于Trojan.DL.Agent.wsl——一次真实的测毒经历

[复制链接]
发表于 2006-10-15 01:07:45 | 显示全部楼层 |阅读模式
晚上上Q,发现群里有一条讯息:

×× 21:33:52(名字隐去,是小我一届的师弟)
[url]www.9000music.com[url]这里有我的照片大家去看下你们也可以把照片放进去的

毫无疑问,师弟中毒了。

我从毒源,也就是这个网址入手,查看hxxp://www.9000music.com(为免误点,将tt改成xx,下同)的代码,发现两段script,和一个frame比较可疑。

如果直接打开这个网站,你会看到百度的界面,而网页标题是“页面加载中……”(连这段页面标题的html代码也是简单加密过

的)。表面上你会发现跟平常使用百度是一样的,还可以正常搜索,答案是它本来就是把百度页面嵌入其中的,你看到的是真正的百度的页面,可是在表象后面,script和另一个frame的运作就不为你所知了。

还原script,前面为定义一个function RrRrRr,操作对象为字符串,后面为对一串字符串执行这个函数。看看执行后的结果,?不是带毒链接?

于是目标转到frame,查看对应的jijy.htm的代码,结果它的script和主页上的script结构一样,前面定义的function是一样的,但是后面执行的对象内容不一样,把这两段script还原,恶意代码的真面目终于显露出来,起作用的是一段vbscript,利用的是MS06-014漏洞。(其实我对系统漏洞一点都不熟,但是近几天我对恶意代码感兴趣之后,找到的近来的毒网的恶意代码,大多数都是利用这一漏洞的,所以也就记下来了。)

代码如图1。(本人对网页代码实在才疏学浅,哪位发现其中还有其他恶意代码没发现的欢迎补充。)
下载hxxp://www.9000music.com/a/a.exe到本机并运行

于是我自己下载a.exe,在临时文件夹中时,瑞星报毒Trojan.DL.Agent.wsl。关闭瑞星监控(一般用户千万别模仿),把它下载下来,用winrar压缩保存。

[ 本帖最后由 大连蓝天 于 2006-11-7 07:56 编辑 ]
本帖的地址:http://bbs.jcwcn.com/forum.php?mod=viewthread&tid=31802
跟着教程做一遍,做完的图要到这里评论交作业,教程有看不懂的地方,可以在贴子下面评论

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?[立即注册]

x

评分

参与人数 3金币 +11 威望 +1 热心度 +12 收起 理由
fashion + 2 + 2
混在论坛 + 2 + 2 支持,又学一招.
祁连山 + 7 + 1 + 8 原创文章,强烈支持,加威望1,加入精华

查看全部评分

 楼主| 发表于 2006-10-15 01:25:10 | 显示全部楼层
酷素材
至此病毒怎么进入本机的过程很清楚了,但是病毒运行之后的效果呢?如何手工查杀呢?接下来的事情就是运行这个病毒样本,让它完全感染系统之后,观察它的行为,再手工把它“请”出去。

测试病毒,比较保险的做法应该在虚拟机里。于是打开我的虚拟机,经过辛苦地等待它启动完成(我的本本配置不行,如果不是为了测毒,装虚拟机太吃力了……)。然后从实机里把那个病毒样本传过去,运行之。运行失败了好几次(详述在后记中),总之,成功运行了之后,我的SSM的提示,我点得手酸。经过了冗长的过程(如果没有监控软件,在实机上运行,完成整个过程不过超过3秒),最后的效果是这样的:

创建的文件如图2
创建启动项目(SREng日志中可见):
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <xy><C:\WINDOWS\Download\svhost32.exe>  []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><KB481354M.LOG>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{9A0CFC58-5A6F-41ba-9FFE-4320F4F62F1A}><C:\WINDOWS\system32\Cnscheck010.dll>  []
    <{9A0CFC58-5A6F-41ba-9FFE-4320F4F621BA}><C:\WINDOWS\system32\Cnscheck001.dll>  []
    <{9A0CFC58-5A6F-41ba-9FFE-4320F4F62FB1}><C:\WINDOWS\system32\Cnscheck100.dll>  []
运行进程中可见
C:\WINDOWS\Download\svhost32.exe
进程模块中可见
    [C:\WINDOWS\KB481354M.LOG]  <N/A><N/A>
    [C:\WINDOWS\system32\Cnscheck100.dll]  <N/A><N/A>
    [C:\WINDOWS\system32\Cnscheck001.dll]  <N/A><N/A>
    [C:\WINDOWS\system32\Cnscheck010.dll]  <N/A><N/A>
    [C:\WINDOWS\system32\xydll.dll]  <N/A><N/A>
插入在此前和此后运行的应用程序进程(不包括系统关键进程),这也是我虚拟机里的SSM频繁提示导致我按得手酸的原因。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?[立即注册]

x
 楼主| 发表于 2006-10-15 01:29:13 | 显示全部楼层
看起来它创建的文件和项目很多,似乎很不好清除。其实不然,因为它没有注册表守护,这是它的缺陷。
在C:\WINDOWS\Download\svhost32.exe进程在运行之时,仍然可以直接删除病毒创建的上述项目,不得不说它在这方面还是“软柿子”。

处理方法:

用任务管理器结束进程C:\WINDOWS\Download\svhost32.exe
(这一步也可不要,因为即使不结束此进程也可以处理以下注册表,但是对于有注册表守护的木马则必须先结束进程)

用SREng,打开“启动项目”-“注册表”

删除以下项目:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <xy><C:\WINDOWS\Download\svhost32.exe>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{9A0CFC58-5A6F-41ba-9FFE-4320F4F62F1A}><C:\WINDOWS\system32\Cnscheck010.dll>  []
    <{9A0CFC58-5A6F-41ba-9FFE-4320F4F621BA}><C:\WINDOWS\system32\Cnscheck001.dll>  []
    <{9A0CFC58-5A6F-41ba-9FFE-4320F4F62FB1}><C:\WINDOWS\system32\Cnscheck100.dll>  []

双击以下项目:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><KB481354M.LOG>  []
将“值”一栏中的KB481354M.LOG删除,也就是将键值还原为空。
说明:系统默认这一项的键值为空,但是某些正常软件也会修改这个键值,比如我的虚拟机装的TPF2005,所以要按具体情况来处
理,不过一般是改为默认的空值。

然后,重启电脑

打开“我的电脑”,点“工具”-“文件夹选项”-“查看”
选择“显示所有文件和文件夹”
并把“隐藏受保护的操作系统文件(推荐)”一项前面的勾去掉
最后也把“隐藏已知文件类型的扩展名”前面的勾去掉

然后找到并删除文件(确切地说是病毒的“尸体”),如图3。

清空IE临时文件夹和temp文件夹。

说明:
楼上的图,My Document/Download/Programs文件夹里新添的东西,是IDM截住的,实机里面应该在临时文件夹里。

后来qqbeau帮我测了一下,两相对比,有新发现:
前面两个(一个dll,一个bmp)名称应该是随机的,xydll.dll这个文件名也不是一成不变的。
ShellExecuteHooks项目下,可能还会有其他的病毒文件占据,如果有,与Cnscheck010.dll等同样处理。当然,也要分辨清楚,同一项目有些键是正常软件创建的,要注意区别。

还可能会有个Rootkit:C:\WINDOWS\system32\drivers\npf.sys
处理方法:
在注册表展开
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
删除npf项目
重启后删除C:\WINDOWS\system32\drivers\npf.sys
当然,也可以用SREng在“启动项目”-“服务”-“驱动程序”中删除注册表项。

可能还会有其他的垃圾,这方面各人运行状况可能不同(因为它具有连网下载其他病毒文件的性质)。所以建议,找到一部分文件之后,按这些病毒文件的修改时间进行搜索,找到所有当天创建或修改的文件,其中与已知病毒文件创建时间相同的文件应同为病毒文件。
在此多谢qqbeau老乡帮忙#bbs.jcwcn.com@

说明:SREng,即System Repair Engineer,下载地址http://www.kztechs.com/sreng/sreng2.zip

[ 本帖最后由 轩辕小聪 于 2006-10-15 05:00 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?[立即注册]

x
 楼主| 发表于 2006-10-15 01:37:12 | 显示全部楼层
后记:

在成功运行之前,有两次失败运行。

第一次,直接双击,除了在进程中活动,向外连网,并没有创建有明显意义的注册表启动项和文件,在这种情况下只要重启,病毒不再运行,也就是说它压根没有真正进入系统。
原因:我虚拟机里面的TPF2005,我设置了文件保护,只有特定的组别的程序才可以写入Program file文件夹和WINDOWS文件夹,而我使用Track'n Reverse来监控病毒的运行,这样情况下病毒所在的Tracking组别,没有写入以上两个文件夹的权限,所以病毒没有成功创建文件,也没有通过启动已创建的程序来创建注册表启动项

第二次,干脆直接打开网页,但是,还是一片寂静……
原因:我的虚拟机系统,在6月装系统时,一口气到windows update网站把安全补丁打全,之后又开启自动更新。MS06-014漏洞已被修补,恶意代码没有得逞,病毒乖乖地在临时文件夹中待着呢。所以,除非“自杀式”的卸载掉相应补丁,要不然,我也只能通过还原网页代码这种手法来“人工下载”了。
总结以上的过程,见微知著,有些忠告要给大家:

1.系统补丁不可不打,并且要及时打。
如果打全了补丁,利用已修补漏洞的恶意代码就无法得逞。比如MS06-014漏洞是近来毒网中最经常利用的,这个补丁不可不打。

2.杀软、防火墙不可不装,并且要及时更新。
杀软一方面能查杀网页中的恶意代码,一方面更能查杀下载下来的病毒程序。
相对来说,后者更有保证,恶意代码加密并不难,我实机里的瑞星,汗,我把这段代码还原到最后给它查,它也没反应。但是一下载病毒,它马上报警。
防火墙可以阻止病毒连网。对于目前流行的木马下载器来说,如果杀软暂时不能查杀,防火墙的阻止是很重要的,否则你的系统会变成垃圾场的。

3.安全意识不可不加强。
以上说的两项,其实都是安全意识问题。
杀软、防火墙不是万能的,系统漏洞也会有未知的或未修补的,关键是用户自己要有安全意识,不明或不良的网站少去,来历不明的软件谨慎下载。QQ中不明的链接,最好先向发布者确认一下,一般情况下,中了毒的用户是看不到自己发出的带毒信息的。
发表于 2006-10-15 03:57:25 | 显示全部楼层
酷素材
学习了。。。收藏。
发表于 2006-10-15 07:23:07 | 显示全部楼层
酷素材
(^#@^ 厉害,这东西我不敢碰的。怕请不出去。
发表于 2006-10-16 14:51:01 | 显示全部楼层
唉.偶电脑上次全格了.现在没连网.好多工具都没.郁闷喽.........
发表于 2006-10-17 15:42:06 | 显示全部楼层
(^#@^ (^#@^ 分析的好呀!学习::::
发表于 2006-10-17 15:48:21 | 显示全部楼层
我的qq经常出啊,没想到是中毒,我还以为是谁恶意发的!(^#@$
发表于 2006-10-17 19:00:58 | 显示全部楼层
好帖呀(^#@^
发表于 2006-10-25 22:50:01 | 显示全部楼层
对楼主的分析和科学的态度表示敬佩.

解决这类型的问题除了楼主所指出的一些方法,我个人觉得还可以考虑一下微软所提出的"最小权限=最大安全".因为这些脚本病毒都有一个共同点就是要对注册表进行写操作,所以可以考虑在上网时用一个USER身份开启软件,USER身份对注册表是没有操作权限的.这样哪怕是碰到这类型的病毒或恶意代码也可以将它们对系统危害降到最低.
发表于 2006-11-13 16:29:52 | 显示全部楼层
厉害 编程高手啊#kt..jcwcn.com@
发表于 2006-11-24 22:16:52 | 显示全部楼层
(^#@$ 看不懂哈#kt..jcwcn.com@
发表于 2006-11-25 23:17:36 | 显示全部楼层
楼主好强哦....~~~~~~~~~
发表于 2006-12-15 16:56:52 | 显示全部楼层
(^#@$%^
您需要登录后才可以回帖 登录 | [立即注册]

本版积分规则

2345