鸿 网 互 联 www.68idc.cn

爱情后门``推荐

来源:互联网 作者:佚名 时间:2018-02-10 16:38
分析BY-孤独更可靠`博客连接:[url]http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF[/url]有新变种,杀软、杀软无法清除的请把样本发送:[email]Lyhan_1988@163.com[/email]加密virusQ526170722======================转贴请带此声明===================
分析BY-孤独更可靠` 博客连接:[url]http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF[/url] 有新变种,杀软、杀软无法清除的请把样本发送: [email]Lyhan_1988@163.com[/email] 加密virus Q526170722 ======================转贴请带此声明====================   爱情后门。。。样本来至剑盟,跟踪了一下``   嗯,传播手段比较成熟,应该不在熊猫烧香之下。   文件名称:doc.doc.pif 文件大小:192000 byte 病毒命名: Email-Worm.Win32.LovGate.ae(卡吧斯基) 依赖平台:Windows(9X以上系统) 加壳方式:ASPack+JDPack 编写语言:Microsoft Visual C++ 6.0 病毒类型:后门、蠕虫 文件MD5:42ab20ee5f4757a44edff753bc508840 文件SHA1 :da39a3ee5e6b4b0d3255bfef95601890afd80709 危害等级:★ ★ ★ 传播方式:邮件、局域、网络。   行为分析:   1、释放病毒文件:   %Windir%\svchost.exe  57344 字节 %Windir%\SYSTRA.EXE  192000 字节 %Systemroot%\system32\hxdef.exe  192000 字节 %Systemroot%\system32\IEXPLORE.EXE  192000 字节 %Systemroot%\system32\kernel66.dll  192000 字节, RHS %Systemroot%\system32\msjdbc11.dll  53248 字节 %Systemroot%\system32\MSSIGN30.DLL  53248 字节 %Systemroot%\system32\NetMeeting.exe  61440 字节 %Systemroot%\system32\ODBC16.dll  53248 字节 %Systemroot%\system32\RAVMOND.exe  192000 字节 %Systemroot%\system32\spollsv.exe  61440 字节 %Systemroot%\system32\TkBellExe.exe  192000 字节 %Systemroot%\system32\Update_OB.exe  192000 字节   并且在每个盘(C-F)下生成:Autorun.inf和\COMMAND.EXE   Autorun.inf内容: [C:\]
[AUTORUN]
Open="C:\COMMAND.EXE" /StartExplorer   双击磁盘则激活病毒。   2、修改注册表:   HKEY_CLASSES_ROOT\txtfile\shell\open\command\ REG_SZ, "C:\winnt\notepad.exe %1 " 修改为REG_SZ, "Update_OB.exe %1   这点比较恶劣,可能导致所有文本文件(Txt、Log等)无法运行,而重定向执行病毒程序。   3、注册系统服务(_Reg):
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\_reg]
"Type"=dword:00000010
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):52,00,75,00,6e,00,64,00,6c,00,6c,00,33,00,32,00,2e,00,65,00,\
  78,00,65,00,20,00,6d,00,73,00,6a,00,64,00,62,00,63,00,31,00,31,00,2e,00,64,\
  00,6c,00,6c,00,20,00,6f,00,6e,00,64,00,6c,00,6c,00,5f,00,73,00,65,00,72,00,\
  76,00,65,00,72,00,00,00
"DisplayName"="_reg"
"ObjectName"="LocalSystem"   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\_reg\Security]
"Security"=hex:01,00,14,80,a0,00,00,00,ac,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,70,00,04,00,00,00,00,00,18,00,fd,01,02,00,01,01,00,00,00,00,00,\
  05,12,00,00,00,00,00,00,00,00,00,1c,00,ff,01,0f,00,01,02,00,00,00,00,00,05,\
  20,00,00,00,20,02,00,00,00,00,00,00,00,00,18,00,8d,01,02,00,01,01,00,00,00,\
  00,00,05,0b,00,00,00,20,02,00,00,00,00,1c,00,fd,01,02,00,01,02,00,00,00,00,\
  00,05,20,00,00,00,23,02,00,00,00,00,00,00,01,01,00,00,00,00,00,05,12,00,00,\
  00,01,01,00,00,00,00,00,05,12,00,00,00   指向的是%Systemroot%\system32\msjdbc11.dll,实现服务方式注入。   4、添加注册表启动项:   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下的:   %Systemroot%\system32\TkBellExe.exe %Systemroot%\system32\hxdef.exe %Systemroot%\system32\NetMeeting.exe %Systemroot%\system32\spollsv.exe %Systemroot%\system32\IEXPLORE.EXE %Systemroot%\system32\RUNDLL32.EXE MSSIGN30.DLL   HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows下的:   %Systemroot%\system32\RAVMOND.exe   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices下的:   %Windir%\SYSTRA.EXE %Windir%\svchost.exe   得以开机执行病毒体。 5、其中NetMeeting.exe常驻进程,利用系统默认开启的ipc$和admin$不停访问局域(192.168.0.*)   并以用户名为:   "admin"
"Admin"
"admin"
"admin123"
"Administrator"
"administrator"
"Guest"
"guest"
"a"
"a+"
"aaa"
"abc"
"abc123"
"abcd"     "temp"
"temp123"
"test"
"test123"
"123456"
"1234567"
"12345678"
"123456789"
"123abc"
"123asd"
"2003"
"2004"
"2600"
"321"
"54321"
"654321"
"666666"
"888888"
"88888888"   等穷举试探,如成功,则栲贝病毒至对方System目录下。   6、搜索局域共享目录夹,并尝试拷贝自身至目录下:   为了迷惑局域用户,病毒冒充其他文件,可能是:   "mmc.exe"
"xcopy.exe"
"winhlp32.exe"
"i386.exe"
"client.exe"
"findpass.exe"
"autoexec.bat"
"MSDN.ZIP.pif"
"Cain.pif"
"WindowsUpdate.pif"
"Support Tools.exe"
"Windows Media Player.zip.exe"
"Microsoft Office.exe"
"Documents and Settings.txt.exe"
"WinRAR.exe"   7、利用Net Stop命令,尝试关闭偌顿和瑞星的服务(无判断)   SSM日志:   Parent process:
  Path: C:\Documents and Settings\admin\桌面\新建文件夹\doc\doc.doc.pif
  PID: 1220
Child process:
  Path: C:\WINNT\system32\net.exe
  Information: Net Command (Microsoft Corporation)
  Command line:"C:\winnt\system32\net.exe" stop "Symantec AntiVirus Client"   8、遍历进程,尝试关闭下列进程和字符串:   "KV"
"KAV"
"Duba"
"NAV"
"kill"
"RavMon.exe"
"Rfw.exe"
"Gate"
"McAfee"
"Symantec"
"SkyNet"
"rising"   9、MSSIGN30.DLL枚举进程,插入:   "Explorer.exe"  "Taskmgr.exe"进程。 并收集计算机存储信息和密码等至C:\Netlog.txt, 发送hello_***@163.com。   10、%Systemroot%\system32\IEXPLORE.EXE尝试连接   202.43.216.198  202.165.103.38  202.43.216.198等(应该是YAHOO.COM Mail吧``) 并获得读取本地*.dbx文件获得好友邮箱列表。 在E、F盘下(其他盘未发现)生成: setup.ZIP
WORK.RAR
COMMAND.EXE
AUTORUN.INF
install.ZIP
bak.RAR
pass.RAR
bak.ZIP
letter.RAR
WORK.ZIP   压缩病毒文件并发送。   11、修改F盘下的EXE可执行程序扩展名为.ZMX,可能导致EXE无法运行。   (这点我就不明白了,我猜本意应该是要注册ZMX文件关联,指向病毒体,不过测试时并未实现,如果你知道的话,请告诉我。)   解决方法:   建议使用专杀,请自行搜索。如 爱情后门专杀   手工删除:   1、[url]http://gudugengkekao.ys168.com/[/url]下载:   图片点击可在新窗口打开查看sreng2.5.zip 780KB
  图片点击可在新窗口打开查看冰刃.rar 2,110KB
  直接放桌面,关闭网络连接和不需要的进程。未完成下面操作前,不要双击进入磁盘   2、打开冰刃,设置—禁止进线程创建—确定,打开进程,关闭所有IE进程和NetMeeting.exe   3、使用冰刃“文件”功能,删除第一点所有提到的文件。   特别要注意每个磁盘下的Autorun.inf和\COMMAND.EXE !(不要忘记删除)   PS:%Systemroot%、%Windir%是C:\Windows(XP)2K和ME系统是(C:\Winnt) 由于有些是冒充系统文件,请注意区别。   4、选择重启并监视,重启后打开SREng,删除:     [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
  run RAVMOND.exe   []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]   WinHelp C:\winnt\system32\TkBellExe.exe   []
  Hardware Profile C:\winnt\system32\hxdef.exe   []   Microsoft NetMeeting Associates, Inc. NetMeeting.exe   []   VFW Encoder/Decoder Settings RUNDLL32.EXE MSSIGN30.DLL  ondll_reg   [N/A]   Shell Extension C:\winnt\system32\spollsv.exe   []
  Program In Windows C:\winnt\system32\IEXPLORE.EXE   [] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
  SystemTra C:\winnt\SysTra.EXE   []
  COM++  System svchost.exe   [(Verified)Microsoft Windows 2000 Publisher]     [_reg / _reg][Stopped/Auto Start]
  Rundll32.exe msjdbc11.dll ondll_server Microsoft Corporation   并使用SREng修复功能,修复被修改的Txt文件关联!   5、附上批量修改文件关联方法:   Ren *.ZMX *.exe      
网友评论
<