Infostealer.Ldpinch
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003/Vista
Infostealer.Ldpinch是一个木马,试图从受感染的计算机上窃取信息,并把信息发送到远程服务器上。
当木马被执行时,它可能复制自身为以下文件:
%Windir%\[ORIGINAL TROJAN FILE NAME]
接着,木马会创建以下注册表项,使得Windows系统启动时,木马也开始执行:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"putil" = "%Windir%\[ORIGINAL TROJAN FILE NAME]"
然后,它记录以下信息到一个日志文件,然后自动把日志文件发送到远程攻击者指定的邮件地址:
1. 以下程序的密码:
ICQ99b-2003a/Lite/ICQ2003Pro
Miranda-icq
Trillian ICQ&AIM
&RQ
2. 系统信息
3. 用户的电子邮件帐户
4. 用户的按键记录
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。
Trojan.Ascesso.B
警惕程度 ★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003/Vista
Trojan.Ascesso.B是一个木马,它发送垃圾邮件,并从远程地址下载其他恶意文件。
当木马执行时,它删除以下文件:
%System%\drivers\usbhc.sys
接下来,木马创建如下服务:
Display Name: usbhc
ImagePath: %System%\drivers\usbhc.sys
Startup type: Automatic
木马创建以下注册表子项,用来注册上述服务:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbhc
木马还会创建以下注册表项:
HKEY_LOCAL_MACHINE\SECURITY\RXACT\"Log" = "[BINARY DATA]"
然后,它修改以下注册表项,防止可能发生的窗口关闭:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\"CleanShutdown" = "0"
接下来,木马从一个随机域名的地址下载一些文件到以下位置,并执行他们:
%Windir%\system32\kb[RANDOM CHARACTERS].exe
然后,该木马,把从受感染计算机上窃取的信息,发送到远程命令和控制服务器(C&C)。
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。
Win32/PatchFile.kr
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/2003/Vista
此样本为Dll(动态链接库)文件, 劫持系统文件sfc_os.dll来达到自身加载的目的,sfc_os.dll会由Winlogin.exe或Svchost.exe 加载。
执行过程中会检测在哪个进程中执行,如果执行的权限较高则进入释放驱动到系统目录下,驱动的功能有劫持国内主流杀软的进程创建,读取改写磁盘MBR,以便开机后有优先权限早于杀毒软件加载,来禁止杀软运行。
检测当前系统中不存在杀毒软件了,会进行其他病毒的下载,探测固定的域名看是否可以上网,网络畅通就进入下载流程。
病毒行为流程分析:
一.病毒运行后首先获取操作系统版本号,取得系统版本,如果是xp系统,则对系统目录下 "sfc_os.dll"进行劫持。并将自身复制到系统目录下覆盖"sfc_os.dll",此Dll(动态链接库)由Winlogin.exe 或Svchost.exe进程加载, 病毒在劫持运行之初就已有系统操作用户层高权限。
二.创建两个主要工作线程,
第一个工作线程:主要来检测当前系统中安装了哪些杀毒软件,如果当前系统中存在的进程与病毒所针对的杀软名称相同,则对进程名称进行记录。然后检测病毒所加载的进程权限,低权限则进行提权操作(使操作系统文件不会失败)。
第二个工作线程: 释放本身的资源文件到系统目录下 名称为XXXX.sys(XXX为随机名称), 开始驱动加载并运行的操作。获取当前系统内核的加载文件, 加载到当前进程的内存中, 然后获得
MmGetSystemRoutineAddress , KeInsertQueueApc, PsTerminateSystemThread.并每个函数取八个字节保存,传入驱动中检测函数是否被Hook.
创建两个子工作线程,
第一个工作线程的任务就是监视当前系统中所有的进程,遇到列表中的进程时,将进程PID(识别号)传入内核驱动,由驱动结束该进程并阻止继续创建。
第二个工作线程的任务是读取当前系统的MBR,获取当前的主次分区表结构,对MBR进行劫持,以达到每次开机系统驱动加载的顺序总优先于杀毒软件驱动加载,以达到阻止杀软(进程列表下图)启动的目的。
线程执行完毕后跳转到主函数模块流程继续执行下载文件操作,下载病毒至本地系统临时文件夹中,并运行。
流程为: 检测当前网络是否通畅,检测baidu.com(这个域名不会出问题),通畅后连接
http://xcode.66jiji.com/down/11.exe 下载至本地运行。
进程中加载的sfc_os.dll(劫持Dll)模块流程完成。
以上为病毒阻止运行的杀软进程列表。
释放的文件:
%SystemRoot%System32DriversXXXXX.sys (根据当前随机值决定)
//杀软控制以及MBR写入的文件.
%Temp%temp.tmp //为Dll执行最后下载病毒文件。
预防和清除:
1. 病毒sfc_os.dll每次被加载后都检测MBR是否被修复,如果被修复重复刷入.
2.在保证病毒体不被运行的情况下,可以修复MBR分区表,当MBR恢复以后程序自身不会被加载到。
3.对加载的系统驱动进行卸载,再恢复MBR之前Winlogin.exe或Svchost.exe必须卸载sfc_os.dll模块。
4.样本对BIOS未做修改,可直接使用重建系统引导区来进行修复。
修复后安装江民杀毒进行系统全面的杀毒,以防遗漏。
钓鱼网站提示:
**.**8866866666.com/
www.**7888888888.com/
www.**7888888888.com/analytics.php
www.**7888888888.com/app/member/upupflash.php
**loadoadadd.**pornornrnn.
挂马网站提示:
http://ttrdey54.**222.org
http://sdfsdss12.**222.org
http://jhisihs.**666.org
http://hj688.**222.org
http://88899.**222.org
请勿打开类似上述网站,保持计算机的网络防火墙打开。
以上信息由上海市网络与信息安全应急管理事务中心提供