使用前，請(qǐng)先斷網(wǎng)，刪除系統(tǒng)目錄下的SysLoad3.exe以及1.exe,2.exe,...,7.exe，用IceSword刪除臨時(shí)目錄下的那幾個(gè)動(dòng)態(tài)庫(kù)。當(dāng)任務(wù)管理器里沒(méi)有iexplore.exe和notepad.exe的進(jìn)程時(shí)，就可以運(yùn)行這個(gè)恢復(fù)程序了。  


     特別注意：運(yùn)行過(guò)程中，不要去運(yùn)行其他程序，有可能你運(yùn)行的那個(gè)程序就是帶毒的??！ 

[b]二:以下是分析和手動(dòng)清除方法:

     昨天下午加班回來(lái)，發(fā)現(xiàn)本本的行為相當(dāng)詭異?？戳丝慈蝿?wù)管理器，有幾個(gè)Ie的進(jìn)程和幾個(gè)Notepad的進(jìn)程有些可疑。然后看了看注冊(cè)表，加了啟動(dòng)項(xiàng)：SysLoad3.exe，在Windows系統(tǒng)目錄下面。唉，我是不用殺毒軟件的，一般中了木馬都是隨便殺殺就完了，然而這個(gè)木馬很討厭，明顯影響使用。木馬程序做的這么土，也太匪夷所思了。用戶都知道有干擾了，還怎么木馬啊！不知道作者怎么想的~~

    既然這么討厭，不羅嗦，IDA伺候。我分析的是1.0.6版，程序邏輯比較簡(jiǎn)單，看看他都干啥了~~
    1. 一開(kāi)始是在注冊(cè)表中創(chuàng)建一個(gè)啟動(dòng)項(xiàng): System Boot Check，調(diào)整到Debug權(quán)限，然后創(chuàng)建一個(gè)iexplore.exe的進(jìn)程和一個(gè)Notepad.exe的進(jìn)程。

    2.自然是要把代碼注入到遠(yuǎn)程進(jìn)程去啦~~，作者注入的方式比較簡(jiǎn)單。設(shè)計(jì)的時(shí)候就把自己的加載地址改了，沒(méi)用0x400000，而是用了一個(gè)很不常見(jiàn)的地址（0x13150000)，估計(jì)是用notepad和iexplore都測(cè)試過(guò)，可以確認(rèn)該地址不會(huì)被占用。然后根據(jù)PE的信息取出需要的空間大小(0x7000)，從iexplore和notepad里分配該空間，最后把整個(gè)程序都copy過(guò)去，地址修正這些就全都免了。最后當(dāng)然是木馬最?lèi)?ài)的函數(shù)CreateRemoteThread拉~~

    3.嗯，干完活以后，sysload3.exe就沒(méi)事干了。接下來(lái)就是iexplore和notepad大顯身手~。

    4.首先是iexplore干活，這個(gè)時(shí)候notepad也有一個(gè)重要的任務(wù)。它要檢查看自己是本體還是被感染體。如果是被感染體，則需要把感染前的程序放出來(lái)干活，這樣才不至于被用戶發(fā)現(xiàn)。然后線程就等通知(Named Event: MySignal)。這個(gè)時(shí)候iexplore在干嗎呢？接著看。

    5.Iexplore(名字真長(zhǎng)，后面叫IE好了~)先創(chuàng)建一個(gè)命名Mutex:MyDownload,告訴后面來(lái)的兄弟：有我在，你們都休息吧~。然后創(chuàng)建MySignal Event，置為無(wú)信號(hào)狀態(tài)。接下來(lái)正式開(kāi)始干活：IE的任務(wù)就是把病毒文件最新的配置信息取下來(lái)，根據(jù)新的配置信息更新本地的病毒版本。先是從http://a.2007ip.com/css.css下載配置文件，保存在本地的名字就叫config.ini。
    配置文件的格式及注釋如下：
    
Code:
[config]
    Version=1.0.6
    NUM=7  ;這里指出下面有多少個(gè)任務(wù)(最多20個(gè)），每個(gè)任務(wù)都是把文件取下來(lái)，存在本地的名字就是同名的exe
    1=/Article/UploadFiles/200704/20070402104202734.gif
    2=/Article/UploadFiles/200704/20070402104203328.gif
    3=/Article/UploadFiles/200704/20070402104203803.gif
    4=/Article/UploadFiles/200704/20070402104203144.gif
    5=/Article/UploadFiles/200704/20070402104204500.gif
    6=/Article/UploadFiles/200704/20070402104204618.gif
    7=/Article/UploadFiles/200704/20070402104205415.gif
    UpdateMe=http://a.2007ip.com/5949645046.exe ;更新sysload3.exe本身
    tongji=http://if.iloveck.com/test/#htm        ;唉，統(tǒng)計(jì)，作者就覺(jué)得這東西這么NB？還要統(tǒng)計(jì)一下。。。。
    hos=/Article/UploadFiles/200704/20070402104206386.gif  ;


這里非常出彩！作者苦心收集了一大堆流氓網(wǎng)站的名字，給我們種木馬的時(shí)候，順便給我
 們把這些網(wǎng)站也給屏蔽了。全都記錄在hosts文件里面，都解析成本地！雖然不清楚作者的本意是為了打擊競(jìng)爭(zhēng)對(duì)手(其他木馬，嘿嘿~）或者是真的為人民服務(wù)，無(wú)論如何，贊作者~~！！雖然木馬殺了，這個(gè)功能我還是會(huì)繼續(xù)使用的，估計(jì)作者還會(huì)更新~哈哈~~
     
    好，任務(wù)都完成了以后，IE同學(xué)休息休息~~

    6.Nopepad粉墨登場(chǎng)。
      這個(gè)壞家伙一上來(lái)就不干好事兒~，從Z盤(pán)到A盤(pán)挨個(gè)來(lái)，一個(gè)不落的去感染其他文件，包括EXE，ASP，ASPX，HTM，HTML，PHP，嗯，好像就這些。這是這個(gè)木馬非常讓我厭惡的地方。
       A.其EXE的感染的過(guò)程如下（大家不要看了去干壞事?。?br />       首先，依然是遍歷所有文件。找到一個(gè)EXE后，檢查它的最后4個(gè)字節(jié)是不是0x12345678。如果是，那么這個(gè)就是兄弟，下一位。
       找到一個(gè)沒(méi)給感染的后干嗎呢？自然就是感染他拉~~哈哈哈~~~。注意看哦，這里很關(guān)鍵：把sysload3.exe復(fù)制一份，叫做tempicon.exe，為啥是icon呢？不著急，馬上就能看到原因了。tempicon有了以后，把目標(biāo)程序的圖標(biāo)資源取出來(lái)，插入到tempicon里面去，這樣的話，tempicon看起來(lái)就長(zhǎng)得跟目標(biāo)一樣咯~。下一步呢，就是要把目標(biāo)程序保存下來(lái)，于是就有了tempload.exe，這個(gè)文件就是把tempicon復(fù)制一份，然后把目標(biāo)程序緊接著放在后面。最后加入8個(gè)自己的識(shí)別信息，前四個(gè)字節(jié)指出木馬本身的長(zhǎng)度，后四個(gè)字節(jié)就是前面說(shuō)的0x12345678;
      B.web相關(guān)的文件的處理大同小異，臨時(shí)文件是temphtml~，中間插入一個(gè)流氓javascript文件： 
      
      
      感染完整個(gè)硬盤(pán)后，就沒(méi)50秒掃描一次又沒(méi)有U盤(pán)，軟盤(pán)之類(lèi)的驅(qū)動(dòng)器掛上。掛上了就在根目錄下生成一個(gè)Autorun.inf，復(fù)制一份SysLoad3.exe過(guò)去，比較簡(jiǎn)單。

      哦，好像檢查了系統(tǒng)目錄所在的分區(qū)沒(méi)有去遍歷。
     
      嗯，打完收工！

       基本流程就是這樣了~。要恢復(fù)的話，只要寫(xiě)個(gè)小程序，遍歷一下硬盤(pán)里的exe，根據(jù)文件尾的標(biāo)示(倒數(shù)第8-4個(gè)字節(jié)指出Sysload_Stub的長(zhǎng)度，根據(jù)最后4個(gè)字節(jié)是否0x12345678判斷是否是染毒文件)就可以恢復(fù)鳥(niǎo)~~~~至于其他的那些gizo0.dll,lgsy0.dll,msxo0.dll,rav20.dll之類(lèi)的庫(kù)，用IceSword從Explorer進(jìn)程里卸載掉，然后就可以刪掉啦~！
       
      總的來(lái)看，木馬加入一個(gè)配置文件這個(gè)思路挺好的~新開(kāi)發(fā)一個(gè)木馬，就讓他們?nèi)ハ螺d~呵呵。然而多次看到作者在使用CreatFile的時(shí)候，判斷返回值總是用0，詭異~難道不是INVALID_HANDLE_VALUE???應(yīng)該可以排除作者不知道的可能性，在FindFirstFile的用法里，作者就是用得INVALID_HANDLE_VALUE比較的。我書(shū)讀得少，誰(shuí)知道的話請(qǐng)一定留言告訴我，謝謝~~。
     
      分析過(guò)程挺麻煩的，唉~還好作者送上木馬不忘附贈(zèng)一個(gè)joke：I will by one BMW this year!如果作者靠這個(gè)能by到BMW，那這樣一來(lái)我們的心情是不是可以愉悅很多哈~~嘿嘿~~
專(zhuān)殺工具

最新評(píng)論