科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道类熊猫感染下载者Worm.Delf.yrj的分析

类熊猫感染下载者Worm.Delf.yrj的分析

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

今天接到一个样本是感染文件的,行为比较恶劣,类似熊猫:IO.pif。

作者:zdnet安全频道 来源:论坛整理 2008年6月13日

关键字: 熊猫烧香 下载者

  • 评论
  • 分享微博
  • 分享邮件

今天接到一个样本是感染文件的,行为比较恶劣,类似熊猫,测试结果如下:
File: IO.pif
Size: 18944 bytes
MD5: CB37B09FA8926D8E00E8DB306DFE5693
SHA1: 8AA9148DB8875DD4EB601F6B7551394D642FAF33
CRC32: 13DE07DC
生成如下文件
C:\Program Files\Common Files\Services\svchost.exe
C:\WINDOWS\system32\DirectX9.dll

删除C:\WINDOWS\system32\verclsid.exe

调用cmd利用net stop命令结束以下服务
norton antivirus auto protect service
mcshield
windows filewall/internet connection sharing(ics)
system restore service
windows security center

结束以下进程或.者关闭窗口
regedit.exe
msconfig.exe
taskmgr.exe
360tray.exe
360safe.exe
wopticlean.exe
eghost.exe
iparmor.exe
mailmon.exe
kavpfw.exe
roguecleaner.exe
噬菌体
木马克星

从最后一个盘开始遍历磁盘分区
在每个磁盘根目录下生成io.pif 和autorun.inf

感染除系统分区外的exe文件,并跳过感染如下文件
qq.exe
msmsgs.exe
flashget.exe
thunder5.exe


连接网络下载木马下载器.到c盘下
命名为WINDOWSXXXXXX.exe
XXXXXX为随机数字

由于下载的都是些木马下载器,所以这些木马下载器又会下载其.他一些木马和病毒,下面是最后木马都植入完毕后壮观的sreng日志

启动项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<><C:\Program Files\Common Files\Services\svchost.exe>     []
       <upxdnd><C:\WINDOWS\upxdnd.exe>     []
       <MsIMMs32><C:\WINDOWS\MsIMMs32.exe>     []
       <RAV008C><C:\WINDOWS\system32\RAV008C.exe>     []
       <RAV00B2><C:\WINDOWS\system32\RAV00B2.exe>     []
       <runner1><C:\WINDOWS\retadpu20.exe 61A847B5BBF72810328B2B27128065E9C084320161C4661227A755E9C2933154389A>     [N/A]
       <A><C:\WINDOWS\system32\rundll32.exe 1.1 s>     [N/A]
       <RAV00A0><C:\WINDOWS\system32\RAV00A0.exe>     []
       <RAV009B><C:\WINDOWS\system32\RAV009B.exe>     []
       <RAV00AE><C:\WINDOWS\system32\RAV00AE.exe>     []
       <WinForm><C:\WINDOWS\WinForm.exe>     []
       <System><C:\WINDOWS\system32\kernelwind32.exe>     []
       <cmdbcs><C:\WINDOWS\cmdbcs.exe>     []
       <WinDCP32><C:\WINDOWS\WinDCP32.exe>     []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
       <Userinit><rundll32.exe C:\WINDOWS\system32\winsys16_070731.dll start>     [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
       <Userinit><C:\WINDOWS\system32\userinit.exe,c:\WINDOWS\WINDOWS200789.exe>     [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
       <AppInit_DLLs><wgdpri.dll>     []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
       <{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}><C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys>     []
       <{252D2432-37A2-324F-2A54-21BF5CF2F1A2}><C:\WINDOWS\system32\jhapri.dll>     []
       <{425AB2F3-234A-7469-2F43-E341713ABFA4}><C:\WINDOWS\system32\wgdpri.dll>     []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Explorer.exe]
       <IFEO[Explorer.exe]><C:\WINDOWS\system32\netdde32.exe>     []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Launcher.exe]
       <IFEO[Launcher.exe]><C:\WINDOWS\system\7.exe>     []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\my.exe]
       <IFEO[my.exe]><C:\WINDOWS\system\2.exe>     []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WoW.exe]
       <IFEO[WoW.exe]><C:\WINDOWS\system\7.exe>     []
服务
[2BB181CE / 2BB181CE][Stopped/Auto Start]
     <C:\WINDOWS\system32\AC254E44.EXE -a><Microsoft Corporation>
[3B4DE84B / 3B4DE84B][Stopped/Auto Start]
     <C:\WINDOWS\system32\88E97D63.EXE -d><Microsoft Corporation>
[3FC3578B / 3FC3578B][Stopped/Auto Start]
     <C:\WINDOWS\system32\AC254E44.EXE -k><Microsoft Corporation>
[8401A2CA / 8401A2CA][Stopped/Auto Start]
     <C:\WINDOWS\system32\6B07F274.EXE -g><Microsoft Corporation>
[Windows dcwd RunThem / dcwd][Running/Auto Start]
     <C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\PROGRA~1\yxry\ihbi.dll>< >
[E539E00C / E539E00C][Stopped/Auto Start]
     <C:\WINDOWS\system32\B96A05C.EXE -p><Microsoft Corporation>
[husjdd8s / husjdd8s][Stopped/Auto Start]
     <C:\WINDOWS\system32\husjdd8s.exe -j><Microsoft Corporation>
[Fax 2Client / ms_2fax][Running/Auto Start]
     <C:\WINDOWS\system32\60e41.exe><N/A>
[Remote Debug Service / RemoteDbg][Stopped/Auto Start]
     <C:\WINDOWS\system32\rundll32.exe RemoteDbg.dll,input><Microsoft Corporation>
[WebPrint / WebPrint][Stopped/Auto Start]
     <c:\windows\system32\webprint.exe><>
驱动
[2lqs / 2lqs5][Running/Boot Start]
     <\SystemRoot\System32\DRIVERS\2lqs5.sys><N/A>
[acpidisk / acpidisk][Running/Auto Start]
     <\??\C:\WINDOWS\system32\drivers\acpidisk.sys><N/A>
[msnc / msnc][Running/Auto Start]
     <system32\DRIVERS\msnc.sys><N/A>
[mszstb / mszstb][Running/Auto Start]
     <\??\C:\WINDOWS\system32\drivers\mszstb.sys><N/A>
[q4so0z1 / q4so0z1][Running/Auto Start]
     <\??\C:\WINDOWS\system32\drivers\q4so0z1.sys><N/A>
进程
[PID: 1780 / Administrator][C:\WINDOWS\Explorer.EXE]     [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
       [C:\WINDOWS\system32\wgdpri.dll]     [N/A, ]
       [C:\WINDOWS\KB908023.log]     [N/A, ]
       [C:\WINDOWS\netdde32.exe]     [N/A, ]
       [C:\WINDOWS\system32\netdde32.exe]     [N/A, ]
       [C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys]     [N/A, ]
       [C:\WINDOWS\system32\jhapri.dll]     [N/A, ]
       [C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Sys]     [N/A, ]
       [C:\WINDOWS\system32\8ejtzrrmip.dll]     [N/A, ]
       [C:\WINDOWS\system32\RAV008C.DAT]     [N/A, ]
       [C:\WINDOWS\system32\RAV00B2.DAT]     [N/A, ]
       [C:\WINDOWS\system32\RAV00A0.DAT]     [N/A, ]
       [C:\WINDOWS\system32\RAV009B.DAT]     [N/A, ]
       [C:\WINDOWS\system32\RAV00AE.DAT]     [N/A, ]
       [C:\WINDOWS\system32\upxdnd.dll]     [N/A, ]
       [C:\WINDOWS\system32\mszstb.dll]     [N/A, ]
       [C:\WINDOWS\system32\WinForm.dll]     [N/A, ]
       [C:\WINDOWS\system32\WinDCP32.dll]     [N/A, ]
       [C:\WINDOWS\system32\MsIMMs32.dll]     [N/A, ]
       [C:\WINDOWS\system32\cmdbcs.dll]     [N/A, ]
       [C:\WINDOWS\system32\107E7AF5.DLL]     [Microsoft Corporation, ]
       [C:\WINDOWS\system32\9CFB5320.DLL]     [Microsoft Corporation, ]
       [C:\WINDOWS\system32\47CC2193.DLL]     [Microsoft Corporation, ]
       [C:\WINDOWS\system32\F7F735F8.DLL]     [Microsoft Corporation, ]
       [c:\progra~1\yxry\lkel.dll]     [, 5, 0, 0, 4]
       [c:\progra~1\yxry\qpjq.dll]     [ , 5, 0, 0, 4]
       [C:\WINDOWS\system32\osiesd3.dll]     [Microsoft Corporation, ]
       [C:\WINDOWS\system32\b601.dll]     [TODO: <公司名>, 1.0.0.1]
       [C:\WINDOWS\system32\adlyhucztyvge.dll]     [, 1.0.0.0]
...

具体的清除木马的方法估计应该会写上千字吧,而且每次下载的木马不尽相同,所以这里就不详述了。
看了下里面有我分析过的一些病毒,如劫持explorer.exe的netdde32.exe,还有上篇分析的那个恶性类AV终结者病毒...
中了这样的病毒的最好的办.法就是重装系统,因为那样会更省时间
不过在重装系统以后需要注意以下问题
重装系统后,要做的几项工作如下
1.双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
点击     菜单栏下方的 文件夹按钮(搜索右边的按钮)
从左边的资源管理器 进入其他分区
删除autorun.inf和Io.pif
2.把杀毒软件装到系统盘里,升级至最新版本,全盘杀毒,清除其他分区受感染的exe文件
切记不要双击打开其他分区,不要打开其他分区的exe文件!!!

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章