最近新机器狗病毒(即msskye木马)又开始盛行,那些黑客为了进一步增强病毒的破坏能力,在机器狗病毒中加入了很多功能,应该可以预见到,复合型机器狗将会在未来的一段时间内盛行。
File: mm.exe
Size: 12340 bytes
1.主病毒(mm.exe)运行后,释放如下文件:
C:\WINDOWS\system32\drivers\pcihdd2.sys
C:\WINDOWS\system32\lssass.exe
注册服务DeepFree Update 指向C:\WINDOWS\system32\drivers\pcihdd2.sys 并加载这个驱动 这个驱动即为机器狗的驱动
之后会替换userinit.exe文件
2.之后mm.exe启动C:\WINDOWS\system32\lssass.exe 至此mm.exe(即机器狗)退出 大权交给lssass.exe
3.lssass.exe运行后,释放如下文件
C:\WINDOWS\system32\drivers\ati32srv.sys
注册服务ATI2HDDSRV 指向ati32srv.sys 并加载这个驱动 该驱动可以恢复系统的SSDT表 使得杀毒软件的API hook完全失效...很多杀毒软件的“主动防御”和“自我保护”功能也因此失效
4.调用cmd.exe把KvTrust.dll,UrlGuard.dll,antispy.dll,safemon.dll,ieprot.dll重命名为tmp%d.temp的格式
5.结束很多安全软件进程
6.映像劫持几乎上面所有安全软件指向“ntsd -d”
7.启动IE进行下载工作,首先会读取http://xtx.×××.info/images/xin.txt比较
里面的VERSION信息 如果发现不是最新版本 则下载最新版本 具有自我更新功能
8.之后继续读取下面的下载信息 下载木马
目前下载的病毒地址为
http://2.×××.info/xm/aa1.exe~http://2.×××.info/xm/aa13.exe
http://444.××××××××.com/xm/aa14.exe~http://444.××××××××.com/xm/aa26.exe
病毒木马植入完毕后的sreng日志如下(本例中均假设系统装在C盘下)
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<WSockDrv32><C:\WINDOWS\dqyxis.exe> []
<upxdnd><C:\WINDOWS\upxdnd.exe> []
<LotusHlp><C:\WINDOWS\LotusHlp.exe> []
<PTSShell><C:\WINDOWS\PTSShell.exe> []
<SHAProc><C:\WINDOWS\SHAProc.exe> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<kfzmwcnyi><kfzmwcnyi.exe> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{2f32e793-9263-4aa5-862f-da2480554715}><C:\WINDOWS\system32\JAA-JAA-1032.dll> []
<{9a8234b5-a04c-4b0c-ad8c-f4fdb94c9543}><C:\WINDOWS\system32\RAA_RAA_1002.dll> []
<{4FA10261-B890-F432-A453-69F1023513F4}><C:\WINDOWS\Fonts\gjcsdyc.dll> []
<{94f833b0-726d-4d09-b715-6352f632ece7}><C:\WINDOWS\system32\QAB_QAB_1011.dll> []
<{0a1d93b9-0e5d-4239-94df-6e673bf85067}><C:\WINDOWS\system32\IIA-IIA-1030.dll> []
==================================
驱动程序
[ATI2HDDSRV / ATI2HDDSRV][Running/Manual Start]
<\??\C:\WINDOWS\system32\drivers\ati32srv.sys><N/A>
[DeepFree Update / DeepFree Update][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\drivers\pcihdd2.sys><N/A>
[msskye / msskye][Running/Auto Start]
<system32\drivers\msaclue.sys><N/A>
==================================
正在运行的进程
[PID: 1452][C:\WINDOWS\system32\userinit.exe] [N/A, ]
[C:\WINDOWS\system32\HDDGuard.dll] [N/A, ]
[PID: 1472][C:\windows\explorer.exe] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\JAA-JAA-1032.dll] [N/A, ]
[C:\WINDOWS\system32\RAA_RAA_1002.dll] [N/A, ]
[C:\WINDOWS\Fonts\gjcsdyc.dll] [N/A, ]
[C:\WINDOWS\system32\QAB_QAB_1011.dll] [N/A, ]
[C:\WINDOWS\system32\IIA-IIA-1030.dll] [N/A, ]
[C:\WINDOWS\wlqirtuk.dll] [N/A, ]
[C:\WINDOWS\dcadmqws.dll] [N/A, ]
[C:\WINDOWS\system32\upxdnd.dll] [N/A, ]
[C:\WINDOWS\system32\WSockDrv32.dll] [N/A, ]
[C:\WINDOWS\system32\LotusHlp.dll] [N/A, ]
[C:\WINDOWS\system32\PTSShell.dll] [N/A, ]
[C:\WINDOWS\system32\SHAProc.dll] [N/A, ]
[C:\WINDOWS\system32\HDDGuard.dll] [N/A, ]
...
查杀方法:
1.手动查杀:
下载sreng:http://www.antidu.cn/board/helpst/
删除如下文件:
C:\WINDOWS\Fonts\gjcsdss.dll
C:\WINDOWS\Fonts\gjcsdyc.dll
C:\WINDOWS\Fonts\gjcsdzc.exe
C:\WINDOWS\Fonts\gjcubxw.fon
C:\WINDOWS\system32\drivers\msaclue.sys
C:\WINDOWS\system32\drivers\usbKeyInit.sys
C:\WINDOWS\system32\3auhad.dll
C:\WINDOWS\system32\cuhad.dll
C:\WINDOWS\system32\duygnef.dll
C:\WINDOWS\system32\ejcvogxwow.dll
C:\WINDOWS\system32\gnolnait.dll
C:\WINDOWS\system32\HDDGuard.dll
C:\WINDOWS\system32\HHHCompress.dll
C:\WINDOWS\system32\hnibxqidj.dll
C:\WINDOWS\system32\IIA-IIA-1030.dll
C:\WINDOWS\system32\JAA-JAA-1032.dll
C:\WINDOWS\system32\knjcwnezyzj.dll
C:\WINDOWS\system32\knlExt.dll
C:\WINDOWS\system32\lnaixnauhqq.dll
C:\WINDOWS\system32\LotusHlp.dll
C:\WINDOWS\system32\lrngbtlzx.dll
C:\WINDOWS\system32\lssass.exe
C:\WINDOWS\system32\LYLOADER.EXE
C:\WINDOWS\system32\LYMANGR.DLL
C:\WINDOWS\system32\MSDEG32.DLL
C:\WINDOWS\system32\mshxxbb32.dll
C:\WINDOWS\system32\msqjmmm32.dll
C:\WINDOWS\system32\mstfhncn32.dll
C:\WINDOWS\system32\mswmkkk32.dll
C:\WINDOWS\system32\mswwwdj32.dll
C:\WINDOWS\system32\niluw.dll
C:\WINDOWS\system32\otpiexpqj.dll
C:\WINDOWS\system32\PTSShell.dll
C:\WINDOWS\system32\QAB_QAB_1011.dll
C:\WINDOWS\system32\RAA_RAA_1002.dll
C:\WINDOWS\system32\SHAProc.dll
C:\WINDOWS\system32\upxdnd.dll
C:\WINDOWS\system32\Wingin.exe
C:\WINDOWS\system32\WSockDrv32.dll
C:\WINDOWS\system32\xbwqogywm.dll
C:\WINDOWS\dcadmqws.dll
C:\WINDOWS\kfzmwcnyi.exe
C:\WINDOWS\litknpar.exe
C:\WINDOWS\LotusHlp.exe
C:\WINDOWS\PTSShell.exe
C:\WINDOWS\SHAProc.exe
C:\WINDOWS\upxdnd.exe
C:\WINDOWS\wlqirtuk.dll
C:\WINDOWS\WSockDrv32.exe
自动重启进入正常模式
重启后 千万不要联网
打开sreng 删除上面涉及到的启动项目 和IFEO项目
然后双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
复制C:\Windows\system32\dllcache\userinit.exe 到C:\Windows\system32覆盖已有文件 如果提示覆盖错误 在任务管理器里面结束userinit.exe即可
2.使用专杀处理(以瑞星近期出的机器狗专杀为例)
经测试该专杀可以杀灭目前大部分机器狗下载的木马 并可自动修复userinit.exe等系统文件
机器狗病毒pcihdd.sys专杀工具 http://www.antidu.cn/html/8/2007/12/antidu_20071225192727.html
机器狗免疫程序下载:http://www.antidu.cn/html/8/2007/11/antidu_20071130203704.html
瑞星机器狗专杀:http://www.antidu.cn/html/8/2008/3/antidu_20083182953.html
360机器狗专杀:http://www.antidu.cn/html/8/2008/3/antidu_20083183456.html
综上所述,复合型机器狗病毒具有机器狗的完全特征并加入了一些“新的功能”比如映像劫持杀毒软件,破坏杀毒软件的API hook等 今后可能会加入更多的破坏功能
目前此类病毒的主要传播途径是网页挂马
所以希望大家注意以下几点:
1.及时升级杀毒软件和防火墙(老生常谈)
2.一定要打全Windows系统补丁(非常重要)
3.各种软件也尽量使用最新版本,尤其迅雷,PPstream,realplayer,暴风影音,百度toolbar等等,现在大多以利用这些软件的漏洞挂马为主