W32.Extrat
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003/Vista
W32.Extrat是一个蠕虫,它通过可移动驱动器和P2P共享网络传播,并在受感染计算机上打开一个后门。
该蠕虫关联到以下远程访问工具:
Xtreme RAT
Spy-Net RAT
该蠕虫执行时,会创建下列文件:
%Windir%\installdir\server.exe
接着,它创建下列的注册表项,使得系统启动时,蠕虫也开始执行:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\"Policies" = "%Windir%\installdir\server.exe"
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。
Backdoor.Makadocs
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003/Vista
Backdoor.Makadocs是一个木马,它在受感染计算机上打开一个后门,并试图窃取受感染计算机上的信息。
该木马会链接到Google文档,并利用它作为代理,获取下面的远程命令与控制服务器的命令 :
83.222.226.158
akamaihub.com
msupdatecdn.com
stocksengine.net
该木马可能在受感染的计算机上执行下列命令:
打开一个控制台
下载并执行文件
删除自身
关闭自身进程
接着,它会下载并执行以下文件:
%CurrentFolder%\scvhost.exe
接着,木马会把下列信息发送到远程位置:
后门程序状态
后门程序的版本号
当前文件夹的路径
域
域管理员的用户名
主机名
本地管理员的用户名
操作系统类型
用户名
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。
TrojanDropper.Agent.bxlb
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/2003/Vista
TrojanDropper.Agent.bxlb 是网上银行钓鱼程序的释放文件,它的主要功能是为网银劫持环境做准备,程序启动后会将自身复制到C:Program Files目录下重命名为zhudong.exe文件,并且从资源中加载释放网银劫持程序,C:Program Fileszhuanye.exe。将程序添加到开机注册表启动项中,创建Notepad.exe进程,Notepad.exe为傀儡进程,创建的时候暂停加载,得到进程的内存的地址,释放后重新申请内存地址,把zhuanye.exe全部映射到Notepad.exe进程中,修改程序执行点运行。
病毒行为流程分析:
一、
TrojanDropper.Agent.bxlb 病毒程序被加密壳保护,加密壳具备反调试器,反脱壳,反dump等手法,再后面描述中不对加壳引擎进行讨论。
TrojanDropper.Agent.bxlb 运行后首先检测系统环境,得到系统目录的路径,访问系统文件夹下NOTEPAD.EXE(记事本)文件,并且隐藏打开。将自身复制到C:Program Files目录下存放,重命名为zhudong.exe ,并且从自身资源中释放文件到C:Program Fileszhuanye.exe。
添加开机注册表项HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun,每次系统重新启动后会自动加载
zhudong.exe。
二、
创建notepad.exe进程,创建时候就把它挂起。然后得到它的装载基址,使用函数ZwUnmapViewOfSection来卸载这个这个基址内存空间的数据,。再用VirtualAllocEx来个notepad.exe进程重新分配内存空间,大小为要注入程序的大小(就是自身的imagesize)。使用WriteProcessMemory重新写notepad.exe进程的基址,就是刚才分配的内存空间的地址。再用WriteProcessMemory把自己的代码写入notepad.exe的内存空间。用SetThreadContext设置下进程状态,最后使用ResumeThread继续运行notepad.exe进程。(进程劫持类病毒一直使用的技术手段)
Notepad.exe 进程内写入的病毒程序为C:Program Fileszhuanye.exe,它的大小为100M,垃圾数据比较多,在将此病毒脱壳处理后的大小为517 KB,释放的大小为100M,是为了躲避杀毒软件的云鉴定查杀的功能。
其自身隐藏在NotePad.exe中,它的父进程为zhudong.exe,再对NotePad.exe的进程地址空间修改数据后,父进程退出,这时候杀毒软件查杀到了Notepad.exe进程中的数据为病毒时,要上报样本,而父进程已经退出,只能取Notepad.exe来上报,此方法为了躲避杀毒软件得到病毒样本。
三、
当Notepad.exe 进程被篡改后,且运行起来了,为了避免防火墙对进程进行拦截,病毒的作者在baidu里申请了自己的空间,并将真实的配置文件网址存放在自己空间中。再取得到空间的地址后,进行相关配置文件的下载。并且安装系统钩子函数,监视网页相关的进程。对访问网银购买物品的客户,到付款页面的时候,构造自己购买游戏充值卡的页面,当付款页面到达的时候会直接弹出窗口让用户付款,如果客户不在意两个金额而直接付款钱就直接被扣了。监视的页面主要是支付网关的操作。
下图中有此劫持购买的程序所对哪些支付网关有监控,购买跳出页面的则是ztgame的充值卡。并修改相关的网页数据达到欺骗的用户付款的目的。
释放文件
TrojanDropper.Agent.bxlb 运行
释放
C:Program Fileszhudong.exe (TrojanDropper.Agent.bxlb自身文件)
C:Program Fileszhuanye.exe(释放出来的劫持网银购买的)
访问网络
Zhuanye.exe映射到Notepad.exe中,访问 hi.baidu.com/22222ewq/item/a9d17f3ab4b5817081f1a7f4(取得自己的网址cnaaa6.com)
qweasdzxc.ri218t.cnaaa6.com/dlog.txt (取得IP配置文件)
iframe.ip138.com/city.asp (得到当前主机的外网ip)
预防和清除:
1、删除C:Program Fileszhuanye.exe,C:Program Fileszhudong.exe
2、删除HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun下键值zhudong
钓鱼网站提示:
**.**8866866666.com/
www.**7888888888.com/
www.**7888888888.com/analytics.php
**loadoadadd.**pornornrnn.cf
**loadoadadd.**pornornrnn.
挂马网站提示:
http://www.**ihunihuniuninii.com
http://aime.**m
http://dzqzcd.**666.org
http://www.**.10086.cn
http://www.**anpunpupuu.cn
请勿打开类似上述网站,保持计算机的网络防火墙打开。
以上信息由上海市网络与信息安全应急管理事务中心提供