科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道netdde32.exe木马下载器的分析

netdde32.exe木马下载器的分析

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

这两天收到一些木马下载器的样本,测试了几个 发现了一个叫netdde32.exe比较特殊 他会通过IFEO劫持Explorer.exe,而且不会写入任何启动项目,这样更增加了单单通过sreng日志找可疑项目的难度!

作者:zdnet安全频道 来源:论坛整理 2008年6月23日

关键字: 下载器 木马 netdde32.exe

  • 评论
  • 分享微博
  • 分享邮件

这两天收到一些木马下载器的样本
测试了几个 发现了一个叫netdde32.exe比较特殊 他会通过IFEO劫持Explorer.exe
而且不会写入任何启动项目,(都劫持了explorer了 就不需要什么启动项目了吧,呵呵 explorer是天然的开机自启动项目哦)
这样更增加了单单通过sreng日志找可疑项目的难度!

病毒主要特征:
1.劫持Explorer 释放dll监控IFEO项目
2.下载木马
3.下载流氓软件

分析报告:
File: netdde32.exe
Size: 57252 bytes
MD5: AF990B41A94109499981E4E94A5AEC4B
SHA1: 1B3561194D663F2ECC305F8A08C02F6259C8F022
CRC32: 07A5F410

文件运行后
释放如下文件
C:\WINDOWS\KB9269O9.log
C:\WINDOWS\system32\netdde32.exe

试图向带有下列字符的窗口发送允许或者跳过的信息
注册表警告
金山毒霸 - 可疑文件扫描工具
mcafee personal firewall plus 警报
virusscan 按访问扫描消息
瑞星注册表监控提示


添加 IFEO劫持项目
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Explorer.exe\Debugger:

"C:\WINDOWS\system32\netdde32.exe"

无其他自启动项目

C:\WINDOWS\KB9269O9.log注入到Explorer进程中 监控HKLM\SOFTWARE\Microsoft\Windows

NT\CurrentVersion\Image File Execution Options\Explorer.exe\Debugger: "C:\WINDOWS\system32

\netdde32.exe" 如果一旦被删除 则立即恢复

控制IE连接网络218.93.16.65:80
下载http://up.xxxxd.cn/software/update.txt获取文件下载地址
通过http://up.xxxxd.cn/software/netdde32.exe更新自身
下载http://up.xxxxd.cn/software/QQIEHelper.dll
http://up.xxxxd.cn/software/d039.exe到系统文件夹

d039.exe是一个多个流氓软件的安装包 包括搜狗直通车 CNNIC中文上网等
http://up.xxxxd.cn/software/QQIEHelper.dll是IE插件 插入IE
使IE不断读取http://sm.xxxxd.cn/data/adurllist.ini这个文件里面的内容(一些网址)
用于弹出网页

机器启动后 由于explorer被劫持所以首先启动netdde32.exe 由他把KB9269O9.log注入到Explorer进程中 再由netdde32.exe启动Explorer 此后netdde32.exe的工作即告完成

所有木马植入完毕后
增加如下文件
C:\WINDOWS\system32\netdde32.exe
C:\WINDOWS\d039.exe
C:\WINDOWS\KB9269O9.log
C:\WINDOWS\netdde32.exe
C:\WINDOWS\QQIEHelper.dll
C:\Program Files\Common Files\CPUSH
被安装了 搜狗直通车和CNNIC中文上网插件

sreng日志如下
浏览器加载项
[CAdLogic Object]
     {11F09AFD-75AD-4E51-AB43-E09E9351CE16} <C:\Program Files\Common Files\CPUSH\cpush.dll, >
[腾讯QQ]
     {54EBD53A-9BC1-480B-966A-843A333CA162} <C:\WINDOWS\QQIEHelper.dll, N/A>
[CAdLogic Object]
     {11F09AFD-75AD-4E51-AB43-E09E9351CE16} <C:\Program Files\Common Files\CPUSH\cpush.dll, >
[腾讯QQ]
     {54EBD53A-9BC1-480B-966A-843A333CA162} <C:\WINDOWS\QQIEHelper.dll, N/A>
进程
[PID: 1540][C:\WINDOWS\Explorer.EXE]     [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-

2158)]
       [C:\WINDOWS\KB9269O9.log]     [N/A, ]

解决方法:
问题:木马劫持了Explorer 而且发现那个C:\WINDOWS\KB9269O9.log会时刻监视被劫持的IFEO项目
考虑出两种解决方法 一种是结束explorer 删除C:\WINDOWS\system32\netdde32.exe和C:\WINDOWS\KB9269O9.log
重启按ctrl+alt+del进入注册表 恢复IFEO

不过感觉那个IFEO的注册表键太长了 重启以后还得一通狂找,所以推荐下面的方法

还是用Process explorer 下载地址
http://dl.pconline.com.cn/html_2/1/59/id=6395&pn=0.html

1.双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件

(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
删除C:\WINDOWS\system32\netdde32.exe
2.打开Process explorer
双击Explorer进程
单击 Threads
找到KB9269O9.log
分别选中Threads中的各个KB9269O9.log 单击下面的suspend
直到选中每个KB9269O9.log时 原先那个suspend都变成了resume
不要关闭process explorer
3.恢复IFEO
这里我们使用autoruns这个软件 http://www.skycn.com/soft/17567.html
打开这个软件后 找到Image hijack (映像劫持)
删除
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Explorer.exe\Debugger:

"C:\WINDOWS\system32\netdde32.exe"
4.打开任务管理器
结束Explorer进程
单击任务管理器 上方菜单栏的文件-新建任务-浏览 找到C:\WINDOWS\KB9269O9.log 右键将其删除
至此 主程序netdde32.exe已经被干掉了

下面收拾其他的木马和流氓软件

重启计算机进入安全模式(开机后不断 按F8键     然后出来一个高级菜单 选择第一项 安全模式 进入系统)
打开sreng
在“系统修复”-“浏览器加载项”中删除
[CAdLogic Object]
     {11F09AFD-75AD-4E51-AB43-E09E9351CE16} <C:\Program Files\Common Files\CPUSH\cpush.dll, >
[腾讯QQ]
     {54EBD53A-9BC1-480B-966A-843A333CA162} <C:\WINDOWS\QQIEHelper.dll, N/A>
[CAdLogic Object]
     {11F09AFD-75AD-4E51-AB43-E09E9351CE16} <C:\Program Files\Common Files\CPUSH\cpush.dll, >
[腾讯QQ]
     {54EBD53A-9BC1-480B-966A-843A333CA162} <C:\WINDOWS\QQIEHelper.dll, N/A>
删除文件C:\Program Files\Common Files\CPUSH
C:\WINDOWS\QQIEHelper.dll

重启后下载卡卡安全助手或者金山的毒霸清理专家
清理剩余的CNNIC等流氓软件

通过这个例子可以看出如今的木马启动方式逐渐多样化,智能化。手动杀毒的过程有时就是一个与病毒作者斗智的过

程,所以我们在手动杀毒的过程中要多结合一些方法查找这些“隐藏的更深”的病毒。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章