Backdoor.Finfish
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003/Vista
Backdoor.Finfish是一个木马,它在受感染的计算机上打开一个后门。
当木马被执行时,它可能创建以下文件:
%Temp%\tmp2.tmp
%UserProfile%\Application Data\Microsoft\Installer\[RANDOM CLSID]\02.dat
%UserProfile%\Application Data\Microsoft\Installer\[RANDOM CLSID]\02C.dat
%UserProfile%\Application Data\Microsoft\Installer\[RANDOM CLSID]\04.dat
%UserProfile%\Application Data\Microsoft\Installer\[RANDOM CLSID]\04C.dat
%UserProfile%\Application Data\Microsoft\Installer\[RANDOM CLSID]\05.dat
%UserProfile%\Application Data\Microsoft\Installer\[RANDOM CLSID]\05C.dat
%UserProfile%\Application Data\Microsoft\Installer\[RANDOM CLSID]\10.dat
%UserProfile%\Application Data\Microsoft\Installer\[RANDOM CLSID]\10C.dat
%UserProfile%\Application Data\Microsoft\Installer\[RANDOM CLSID]\11.dat
%UserProfile%\Application Data\Microsoft\Installer\[RANDOM CLSID]\11C.dat
%UserProfile%\Application Data\Microsoft\Installer\[RANDOM CLSID]\12.dat
%UserProfile%\Application Data\Microsoft\Installer\[RANDOM CLSID]\12C.dat
%UserProfile%\Application Data\Microsoft\Installer\[RANDOM CLSID]\14.dat
%UserProfile%\Application Data\Microsoft\Installer\[RANDOM CLSID]\14C.dat
%UserProfile%\Application Data\Microsoft\Installer\[RANDOM CLSID]\16.dat
%UserProfile%\Application Data\Microsoft\Installer\[RANDOM CLSID]\16C.dat
%UserProfile%\Application Data\Microsoft\Installer\[RANDOM CLSID]\17.dat
%UserProfile%\Application Data\Microsoft\Installer\[RANDOM CLSID]\17C.dat
%UserProfile%\Application Data\Microsoft\Installer\[RANDOM CLSID]\18.dat
%UserProfile%\Application Data\Microsoft\Installer\[RANDOM CLSID]\18C.dat
%UserProfile%\Application Data\Microsoft\Installer\[RANDOM CLSID]\19.dat
%UserProfile%\Application Data\Microsoft\Installer\[RANDOM CLSID]\19C.dat
%UserProfile%\Application Data\Microsoft\Installer\[RANDOM CLSID]\20.dat
%UserProfile%\Application Data\Microsoft\Installer\[RANDOM CLSID]\20C.dat
%UserProfile%\Application Data\Microsoft\Installer\[RANDOM CLSID]\21.dat
%UserProfile%\Application Data\Microsoft\Installer\[RANDOM CLSID]\21C.dat
%UserProfile%\Application Data\Microsoft\Installer\[RANDOM CLSID]\7F.dat
%UserProfile%\Application Data\Microsoft\Installer\[RANDOM CLSID]\7FC.dat
%UserProfile%\Application Data\Microsoft\Installer\[RANDOM CLSID]\80C.dat
%UserProfile%\Application Data\Microsoft\Installer\[RANDOM CLSID]\ico_ty23.ico
%UserProfile%\Application Data\Microsoft\Installer\[RANDOM CLSID]\mssounddx.sys
%UserProfile%\Application Data\Microsoft\Installer\[RANDOM CLSID]\shellex32.dll
然后,它也创建以下文件:
%Temp%\TMP[EIGHT RANDOM CHARACTERS]
接着,木马会创建以下注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSSOUNDDX
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mssounddx
然后,它尝试连接到以下远程控制命令服务器:
[http://]ff-demo.blogdns.org
[http://]tiger.gamma-international.de
该木马可能将窃取的受感染计算机上的信息发送到以上远程服务器。
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。
Backdoor/Generic.pjv
警惕程度 ★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003/Vista
Backdoor/Generic.pjv是一个木马,在受感染计算机上打开一个后门。
此样本传播的途径不详,初次运行后会释放驱动程序,并完成驱动的安装。驱动程序本身并不执行相关操作,它则是等待病毒程序在用户层发送IOCTL码,而执行相关操作。
驱动程序内分为四个部分:
IOCTL: 0x222400
完成对IRP_MJ_FLUSH_BUFFERS和IRP_MJ_SHUTDOWN 派遣函数的挂钩,经过后面分析得出挂钩两个历程是为了确保MBR的修改是成功的,防止以防修改错误启动失败。
IOCTL: 0x222404
完成对MBR的写入操作,对用户层传来的数据进行保存,第一步是保存原始MBR,此处的此病毒的做法是512字节整体覆盖,到执行到病毒MBR完成相关操作后,会把MBR的执行权丢给系统原始MBR,进行启动操作。
IOCTL: 0x222408
IOCTL: 0x22240C
文件删除的相关操作。
病毒用户层部分大致可以分为五个部分:
1.将驱动文件释放到磁盘中,资源文件保存的方法比较特别。
2.遍历系统当前的进程,看是否有杀软的进程。
3.加载驱动相关钩子的安装。
4.阻止杀毒软件的运行。
5.连网下载游戏木马病毒程序,主要的功能是为了完成游戏木马的下载,程序更新的方式使用修改MBR达到开机更新木马。
释放的文件:
%SystemRoot%System32Drivers44ff12c.sys
//杀软控制以及MBR写入的文件。
%SystemRoot%XXX.exe
//下载的病毒集合,以及随机文件名称。
病毒对系统对自身避免杀毒查杀上做了很多规避,利用修改MBR达到病毒无文件自启动,对系统的支持性和容错方面做了一些判断,程序第一次运行和重启以后运行的流程完全不一样。
但是达到一个完整的效果,就是下载游戏木马病毒。第一次的运行在对MBR写入后,在相应修改MBR位置所对应的区域也是自己存放原始MBR以及启动数据代码Hook相关的操作。
在写入MBR时,Hook IRP_MJ_FLUSH_BUFFERS和IRP_MJ_SHUTDOWN,确保MBR是三段完全写入的。防止自身被欺骗。但是在重启过以后,Hook的对象IRP_MJ_Read和IRP_MJ_WRITE, 保证自己有可执行用户层样本的权限。
预防和清除:
1. 病毒自身不会对MBR进行监视,一次操作以后自身删除,不再管MBR了。
2.在保证病毒体不被运行的情况下,可以修复MBR分区表,当MBR恢复以后程序自身不会被加载到。
3.样本未对BIOS进行修改,可以直接用相关工具直接修复。
Fdisk/MBR修复法
用启动盘启动电脑,在命令提示符下输入“Fdisk/mbr”命令,再按”Enter”键即可进行修复。
用Fdisk/mbr命令修复 MBR的方法只适用于主引导区记录被引导区型病毒破坏或主引导记录代码丢失,且主分区没有损坏的情况。因为此方法只是覆盖主引导区记录的代码,不能重建主分区表。
启动 DOS并输入“C:” ,按“Enter”键,如果可以读取C盘数据就能用Fdisk/MBR命令恢复MBR,且能保留原有数据;否则不能用Fdisk/MBR命令恢复MBR。
Trojan/Microjoin.t
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/2003/Vista
Trojan/Microjoin.t是一个木马,它主要用来盗取受感染计算机上用户的网游帐号密码。
Trojan/Microjoin.t 捆绑在游戏的外挂中,与其他外挂传播的方式不同,使用百度的收费推广,在推广捆绑的文件中使用带有签名的的文件来混淆下载用户的判断,运行后释放病毒与外挂文件到临时目录,运行后联网下载病毒至本地。捆绑过的合体文件,使用了不规则的PE文件格式,导致调试软件无法正常调试。
一.传播途径
利用百度有偿推广来进行盗号木马的传播,使用擦边的关键词让真正玩家搜索到。
用户下载的文件到本地保存后,是一个压缩包文件,解压后是8个文件。
Dnf双开工具.exe (是捆绑病毒的文件)
其他的文件均为按键精灵正常的组件,驱动签名正常有效,扰乱用户判断压缩包内文件为正常。
二.下载文件运行流程
Dnf双开工具 运行以后,在系统临时目录下释放并且下载一系列文件。
Tyhj.exe 是一个下载的模块,它完成的任务是下载病毒和上报当前机器的信息(MAC地址,主机名称,进程列表)。
Zs140.exe 运行后释放(Xscan扫描器, 1433抓鸡工具 ),自动后台运行Xscan和1433,机器非常卡.
8042687.exe 是一个伪装成瑞星杀毒软件的文件拷贝模块。
rundll87.exe scansock.exe sockhelp32.exe 为dnf游戏操作盗号截取等.
未说明的文件为单独的组件模块,本身功能单一,需要调用配合完成破坏计算机安全。
tyhj.exe 为宿主运行后释放出来的下载文件,先检测当前共享数据区的变量是否是第二次运行,第一次运行与第二次运行进入两个不同的流程进行操作。
程序使用32位汇编编写,当数据未初始化,初始化共享数据区,将资源里的dll,释放出来,Dll完成的功能继续调用cmd命令行加载进程自身再次运行。
若已经初始化则进入正常工作流程阶段,首先解密被加密的ShellCode,然后是下载相关的病毒再次继续运行。
检测到有DNF运行直接干掉进程,当用户再次启动dnf游戏 进入游戏输入密码时则被截取。(由rundll87.exe,scansock.exe,sockhelp32.exe完成)
http://cmd.viqxk.com:3737/txt/tuzi140.txt //下载程序的列表
http://cmd.viqxk.com:888/140.asp?mac=&time=nCnt=ProcessList //统计用户信息上传
http://www.sysmental.com/ip //连接说明的信息
预防和清除:
1.下载的dnf双开工具本身就是个捆绑器病毒,但是在运行时,释放到temp目录运行。
2.停止Temp目录内的所有执行文件的活动进程。
3.删除对应的可执行文件。病毒程序下载的多数文件可能已经无法再手动找到,下载江民杀毒对系统进行全面扫描即可清除。
钓鱼网站提示:
**.**8866866666.com/
www.**7888888888.com/
www.**7888888888.com/analytics.php
www.**7888888888.com/app/member/upupflash.php
**loadoadadd.**pornornrnn.
挂马网站提示:
http://ttrdey54.**222.org
http://sdfsdss12.**222.org
http://jhisihs.**666.org
http://gjtfd21s.**222.org
http://eswssd55f.**222.org
请勿打开类似上述网站,保持计算机的网络防火墙打开。
以上信息由上海市网络与信息安全应急管理事务中心提供