Worm/Kido
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003/Vista
Worm/Kido.aeb“刻毒虫”变种aeb是“刻毒虫”家族中的最新成员之一,该蠕虫是由“kido”主程序释放出来的DLL功能组件,经过加壳保护处理。“刻毒虫”变种aeb运行后,会移动自身到“%SystemRoot%\system32\”文件夹下,若不成功则进一步尝试移动到“C:\Program Files\Movie Maker\”、“%USERPROFILE%\Application Data\”、“%Temp%”等文件夹下,重新命名为“*.dll”(文件名为随机字符串,不过通常是“bqwzif.dll”)。
另外还会释放一个临时的恶意驱动程序。“刻毒虫”变种aeb运行时,会将恶意程序插入“svchost.exe -k netsvcs”中隐秘运行(没有该进程则会插入“explorer.exe”进程之中)。
关闭系统自动更新、后台智能传输、安全中心、WinDefend等服务,并通过删除相关注册表项使“安全中心”和“WinDefend”不可用。
“刻毒虫”变种aeb会通过网络向存在MS08-067漏洞的网上邻居进行传播。其会将病毒文件复制到目标计算机的“%SystemRoot%\system32\”文件夹下,重新命名为“X”。复制到“C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5”文件夹下,随机命名成“*.jpeg”、“*.png”、“*.gif”或“*.bmp”扩展名的文件,并通过创建计划任务的方式将其激活。“刻毒虫”变种aeb会利用自带的密码表对使用弱口令的网上邻居进行猜解,意图进一步的控制被感染系统。
监视系统中打开的窗口,并关闭带有指定字符串(大部分为安全厂商名称)的窗口。同时还会阻止用户连接指定的站点(通常是安全软件或微软的网站),干扰用户通过网络寻求病毒的解决方案。利用特定算法生成大量的随机域名,同时下载其它的恶意程序,用户可能因此而遭受信息泄露、远程控制、垃圾邮件等侵害。
“刻毒虫”变种aeb还可通过移动存储设备进行传播,当其发现有新的移动存储设备接入时,便会在其根目录下创建文件夹“RECYCLER\S-*-*-*-*-*-*-*”(*为随机字符串),并在其中生成自身副本“*.vmx”(文件名随机,不过通常是“jwgkvsq.vmx”),同时在根目录下创建“autorun.inf”,设置上述文件及文件夹属性为“系统、只读、隐藏”,以此实现利用系统自动播放功能进行传播的目的。
“刻毒虫”变种aeb会在被感染系统中新建一个随机名称的系统服务,并通过“svchost.exe”或“services.exe”实现开机自动运行。其还会修改文件和注册表的访问控制对象,致使用户无法删除自身产生的文件和注册表项。
Worm/Kido 样本在系统运行后,为了保证其传播的时候可以自动被加载,在系统“%SystemRoot%\system32\”目录,以及其他temp临时目录释放病毒自身,并释放bqwzif.dll文件。会将自身插入到EXPLORER.EXE进程下,实现对用户模式下的操作都可以截取到,并通过移动设备进行传播,在每个磁盘根目录下创建“RECYCLER\S-*-*-*-*-*-*-*”(*为随机字符串)文件夹,并在其中生成自身副本“jwgkvsq.vmx”,同时在跟目录下创建“autorun.inf”,当打开当前磁盘根目录的时候便会运行“jwgkvsq.vmx”达到磁盘传播的目的。
预防和清除:
1.由于Worm/Kido病毒是顽固性残留样本,所以在运行后会将自身传播到各大目录下,进行隐藏和备份,且文件名称随机性比较大,无规律可循。
2.手动检测方法就是确认中毒了,就是在磁盘的根目录里查找“RECYCLER\S-*-*-*-*-*-*-*”(*为随机字符串)目录下是否有“jwgkvsq.vmx”的文件名称。如果存在此文件说明已经中毒了。
Trojan/Jorik.ftfn
警惕程度 ★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003/Vista
Trojan/Jorik.ftfn 病毒为多进程联合下载者,在首次运行后检测得到自身运行属性,检查自身是否是Svchost.exe,或者为Winhelp32.exe,如果都不是则将自身复制到到C盘WINDOWSsystem32目录下更名为WinHelp32.exe,并将文件属性修改为系统隐藏属性。
启动 C:\WINDOWS\system32\WinHelp32.exe,释放批处理文件,删除自身。
WinHelp32.exe运行后会创建一个傀儡进程Svchost.exe,并将自身代码重构后写入到Svchost.exe进程中运行,Svchost.exe运行后会对病毒自身进行检测,校验通过以后再进行连接互联网,下载配置文件,解析后再进行下载到本地运行。
Trojan/Jorik.ftfn运行后检测得到自身运行属性,检查自身是否是Svchost.exe,或者为Winhelp32.exe,如果都不是则将自身复制到到C盘WINDOWS\system32\目录下更名为WinHelp32.exe,并将文件属性修改为系统隐藏属性。
启动 C:\WINDOWS\system32\WinHelp32.exe,释放批处理文件,删除自身。
C:WINDOWS\system32\WinHelp32.exe 运行后检测名称如果是WinHelp32.exe,则打开服务管理器,创建一个服务到系统中,
键值: HKLM\SYSTEM\ControlSet001\Services\WinHelp32
类型:REG_SZ
键值: SYSTEM\CurrentControlSet\Services\WinHelp32
数据: Windows Help System for X32 windows desktop
ImagePath C:\WINDOWS\system32\WinHelp32.exe
服务启动函数为 401FC7,每次系统加载服务的时候, 都会调用StartServiceCtlDispatcherA启动服务控制分派线程。
SERVICE_TABLE_ENTRY ServiceTable[2]; //创建分派的结构体
{
ServiceTable[0].lpServiceName = "WinHelp32";
ServiceTable[0].lpServiceProc = 0x00401FC7;
ServiceTable[1].lpServiceName = NULL;
ServiceTable[1].lpServiceProc = NULL;
}
添加到服务后则对服务进行启动.
服务过程函数启动(0x00401FC7)
↓
从SCM设置一个服务的控制处理函数(0x00402107).
WinHelp32 为服务的名称,与前部份添加的服务名称相同,并设置状态立即启动.
在服务里读取C:\WINDOWS\system32\WinHelp32.exe(病毒自身),修改重定位表,创建Svchost.exe进程。
创建时候就把它挂起。然后得到它的装载基址,使用函数ZwUnmapViewOfSection来卸载这个这个基址内存空间的数据,。再用VirtualAllocEx来个Svchost.exe进程重新分配内存空间,大小为要注入程序的大小(就是自身的imagesize)。使用WriteProcessMemory重新写Svchost.exe进程的基址,就是刚才分配的内存空间的地址。再用WriteProcessMemory把自己的代码写入Svchost.exe的内存空间。用SetThreadContext设置下进程状态,最后使用ResumeThread继续运行Svchost.exe进程。(进程劫持类病毒一直使用的技术手段)
一个程序,不同的工作流程在在不同的加载点执行, 此方法是有效躲避杀毒软件的主动防御的监控,在多进程联合完成病毒操作。
Svchost.exe 进程创建后以最高权限运行在系统中,并检测当前是否已经注入到Svchost.exe进程中, 如果已经注入进来, 则访问网站
http://o*.***t1.com/ok.txt 读取下载配置文件。
配置文件是以微软.ini文件API进行操作.
[x1]url=http://o*.***t1.com/xm/1.exe
[x2]url=http://o*.***t1.com/xm/2.exe
[x3]url=http://o*.***t1.com/xm/3.exe
[x4]url=http://o*.***t1.com/xm/4.exe
为以上格式. 会依顺序以此下载,有远程控制, 游戏木马病毒, 广告劫持等相关病毒.
Trojan/Jorik.ftfn病毒样本具体操作在服务函数内完成,系统服务运行的权限是内核级别的权限,普通用户层无法调试.病毒在开发的时候使很多操作流程放在服务函数内,让监控软件无法得到正常的操作流程。
预防和清除:
1.Trojan/Jorik.ftfn 自身注入到系统中,将自身添加到服务中。
检查注册表中的,HKLM\SYSTEM\ControlSet001\Services\WinHelp32 如果此项存在,
删除WinHelp32 里的所有数据内容。
2.检查系统 C:\WINDOWS\system32\目录下,是否存在WinHelp32.exe。找到后删除即可。
3.以上操作需要在安全模式下运行,需要先停止病毒目录文件夹下的数据。
钓鱼网站提示:
**.**8866866666.com/
www.**7888888888.com/
www.**7888888888.com/analytics.php
www.**7888888888.com/app/member/upupflash.php
**loadoadadd.**pornornrnn.
挂马网站提示:
http://chengnong.**222.org
http://wwwxxx.**666.org
http://mishiyy.**222.org
http://hj688.**222.org
http://88899.**222.org
请勿打开类似上述网站,保持计算机的网络防火墙打开。
以上信息由上海市网络与信息安全应急管理事务中心提供