Board logo

标题: [转载]偶和一个猛病毒不得不说的故事 [打印本页]

作者: 17713942    时间: 2010-8-4 11:42     标题: [转载]偶和一个猛病毒不得不说的故事

俗话说,常在网上泡,哪有不“中毒”,晕,好象有点乌鸦嘴的味道了。很久没写过东西了,手生的很,好容易碰到一次猛病毒,花了我4小时的时间来分析(俺不碰底层的),写出简单过程给大家分享一下。
中毒原因:  
偶兄弟从国外拖来了一个比较新的dameware的溢出代码加工具,正巧nsfocus也发了公告,直接点了看结果。(有exp哦?假的假的,贪婪不是一种好美德)
解毒起因:
  同事baby重装系统,提醒偶也该装一次了,种毒无数,也清过n次。自然的去看了看连接端口和有无陌生启动和进程,不小心发现icesword显示有几个被改动过的进程(一般被改动过为红色)
解毒过程:
最新瑞星扫描系统c:\windows目录(偶是xp),杀到一个比较郁闷的名字:
.c:\windows\system32\lasse.exe  如不仔细观察,还真发现不了它,因为系统进程中有一个叫lsass.exe的,清除。(也许有的朋友奇怪,都装了RAV了, 怎么还中毒?因为我把文件监视关闭了,机器了多少还留了一些特殊爱好的黑软,杀之不爽。这一点咔吧就做的比较好,可以自己设置特定目录不过问)
习惯性的看了看天网,在应用程序网络状态栏中发现,有iexplore每几秒自动访问北京电信的一个ip,显示为OICQ服务器8000端口,qq虽然不怎么用,但也是偶家的宝啊。丢了杂对得起联系多年的兄弟们~ …… 我查-------------à
应用工具:
IceSword   
knlsc.exe    俺家幻影zzzevazzz大兄所做(广告时间,国内还是幻影新人最强啊
HomePage:http://www.ph4nt0m.org
Windows优化大师自带工具之WinProcess
CopyLock   一个可以让你替换,关闭系统正在使用的文件
Pslist,pskill
相必这些工具大家都该很清楚其用法吧,什么,没听过?!你, 你,你不是新来的吧。。。。
……………………………………………………………………………………………………
先用knlsc.exe查一下是否存在隐藏服务(很多木马程序以服务的形式启动,这样可以开机就执行,比插入IE,MSN等病毒更有长期控制效果)
果然:
c:\knlsc.exe  -f
>Yelfbaav    服务名叫Yelfbaav
Yelfbaav
[Driver] [Disabled][2005-09-04 03:27:23]
\??\C:\WINDOWS\system32\drivers\Yelfbaav.sys  以驱动形式加载,更有隐蔽性

knlsc是一个查找隐藏服务的小程序。可以显示被hxdef100和ntrootkit122等rootkit隐藏的服务。发现隐藏的服务后,可以使用本程序禁用它。(详细使用请参考说明)
c:\knlsc.exe  -cd  Yelfbaav  禁用此服务。  并del掉Yelfbaav.sys  
重新启动,knlsc –f果然发现没有隐藏服务存在。 以为此病毒不过如此,就此over(一般小木马这样就可以cut掉的)。打开天网一看,傻了。怎么IE浏览器还在不停的外连,晕死晕死。而且直接用天网防火墙结束端口的时候就自动启动。
拿出我们的骨灰装备IceSword好好分析一下,
启动组是一定没有陌生进程的,此程序一定是注射到IE浏览器中,果然在IceSword的SSDT组发现了几个可疑之处。
几个C:\DOCUME~1\swap\LOCALS~1\Temp\Yelfbaav.dl1(注射此处是d1和L)和一个312bus.sys.
找到其路径,删除了半天才发现dll是D1L,晕,满隐蔽的哦~!直接删除(temp目录下的东西一般是可直接删除的,但是和服务或者进程关联到一起的时候,禁止删除。后来一边急关IE,一边cmd下删除此d1l才把它干掉。)
可那个312bus.sys.又是什么呢,连具体路径都没有显示。没办法搜索一下c盘算了,果然在driver目录下找到它,DEL
这样该没问题了 吧…… 重新启动。。。。。。。

重复以上劳动,天网防火墙上那可恶的tcp连接依然存在。想了半天,利用天网的进程拦截,把IE彻底停止外连,这样可以专心的分析下去。不过进程中iexplore依然存在,刚启动的机器,IE都没打开呢,它就开了,……联系关闭几次,都立刻复活。
  换个思路,去和偶家诺诺(cnxhacker站长)砍了半天大山,想了想思路。拉来了Windows优化大师自带工具WinProcess继续分析,这个小东西就是猛啊,可以详细的显示进程列表和当前进程的详细信息:模块信息,内存信息,设备驱动程序等。
  果然,在眼花了半个小时左右,终于在模块信息中发现一些眉目

就是
C:\WINDOWS\system32\Yelfbaav.d1l   (又是D1L)
C:\WINDOWS\system32\Yelfbaav.dll  (这个当时还没发现呢)

看到Yelfbaav.d1l就是一阵欣喜,忙了一个多小时,也该ok了吧。一边关IE,一边删除,重复n次都没结果。那么,一定还有其他文件一起关联着,否则不会这么麻烦,又花去了1个小时的眼花时间和重新启动。终于找到了另外一个Yelfbaav.dll。
一边关IE,一边删dll真是太累了。
看看PID想一下
c:\pslist
iexplore   2060  8  2  129  4188  0:00:00.031  0:00:00.062   0:00:21.953
整个bat简单撒 del.bat//
c:\1\pskill  iexplore    (pskill可以直接杀掉进程名,不一定非要PID才行,因为IE每次派生PID都不同)
del  /s /Q C:\DOCUME~1\swap\LOCALS~1\Temp\Yelfbaav.dl1
del  /s /Q C:\WINDOWS\system32\Yelfbaav.d1l
del  /s /Q C:\WINDOWS\system32\Yelfbaav.dll  
……
我删,我删,我删删!!~



奇怪,
C:\WINDOWS\system32\Yelfbaav.d1l
拒绝访问。
…………没办法中,又苦苦想了好久,找来了CopyLock
前面提了,这是一个可以让你替换,关闭系统正在使用的文件。(什么,不会用?把要k的任意文件,rm,dll,xls,exe等都可以拖拽到此软件中就可以啦。)
顺利干掉Yelfbaav.d1l。重新启动, 一些ok。天网不报警了
,IE却依然还开着。
后来又拿knlsc看了一遍(看看还有什么残留的东西)
knlsc -law    : List Automatic Win32 services.
其中
>dmserver       服务名叫dmserver
Logical Disk Manager
[Win32] [Auto][2005-09-04 03:27:23]
%SystemRoot%\System32\svchost.exe -k netsvcs
%SystemRoot%\System32\Yelfbaav.d1l  这里加载
(就是从dm上判断,以前点击的那个dw的exp有问题)
在这里knlsc  -l >>c:\list.txt   也可以查看的满详细,不过文件太多
晕,是我犯迷糊哦,如果早点能发现此服务,停掉它不就一切ok了?!
knlsc  -cd  dmserver   禁止此服务  (注意,一定重启以后才有效)
  重启,……搞定!
………………………………………………………………………………………………
文章写的满罗嗦的,不知道大家看累了没有,其他我是想写一下分析过程中的一些思路和部分原理,免得大家认为装个杀毒的或者木马克星什么的就一些ok。
木马广告:
此木马写的相当不错,它集隐藏服务,端口(ip),进程于一身,而且加载驱动程序,伪造dll为d1l和dl1,弄的我好多次都没能删除掉,几乎赶上了rookit工具。一个sys驱动,俩个服务,一个隐藏,一个动态。三个dll加载互相关联派生,而且名字很有迷惑性,dll,d1l,dl1
感慨一下,现在的木马病毒啊 ,弓虽
至于ip被发现呢是因为俺装了防火墙。(邪不胜正?)
解决和预防方法:
一般来说,最基本的杀毒软件和网络防火墙一套,差不多已可保障大部分木马病毒无效(穿透防火墙例外),如普通用户种了上面描述的类似病毒,推荐还是重新做系统或者硬盘恢复。(系统还原和ghost,还原卡等技术就很不错),如想手工清除就按思路走一下
看进程----看端口---看服务------查开机启动----查隐藏服务(服务太多,估计够戗)----关联进程或者伪造进程(类似d1l和lssae这样的迷惑性很强的名字)---清除dll和sys
此过程中间夹n次重启,再碰到一些比较麻烦的感染exe或者CopyLock都杀不了程序,推荐把硬盘摘下来挂到别的机器上当从盘手工清除。

帖子785 精华2 积分1409 阅读权限50 在线时间368 小时 注册时间2005-2-27 最后登录2009-9-14 查看详细资料
报告 TOP
作者: xwaizn    时间: 2010-8-6 09:53

用瑞星?怪不得




欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com/) Powered by Discuz! 7.2