扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
引言:写在最前面
MY123创造了很多流氓软件的第一,有望争夺流氓软件的“最流氓软件宝座”:
1、驱动保护(System Bus Extend驱动,安全模式下也加载)
2、随机文件名,DLL和SYS
3、多线程保护,网络自动升级
4、极强的自动恢复(即使在所有文件被删除的情况下,仍然可以通过内存恢复!)
6、有预谋定时爆发(2006/11/11)
一、MY123的前世今生
风雨送飘(飘雪piaoxue)归,飞雪(fiexue)迎春到。才别傲讯(allxun)网,又见一二三(MY123)。
从规模及爆发面积来看,全国各地可能有数百万甚至上千万用户被该流氓恶意修改了主页,这和之前爆发的大面积piaoxue.com,feixue.net,73ss.com,9505.com,81915.com,4199.com等恶意修改用户主页,十分相似。同以往的一些“老流氓”相比,这些新流氓的特征是爆发面积特别大,效果明显,目的明确单一(修改主页),手段新奇狠毒,叹为观止。
显然这是一场预谋已久的活动,并且短短几天内,这个驱动病毒至少已经有三个不同的版本,造成一些专杀工具失效。这个MY123已经具备所有病毒的特征,希望总有一天法律能将这种无良的作者绳之以法。
二、剖析流氓手段
这个驱动经过层层改进,家庭发扬得很光大,看看:
1、飘雪(piaoxue)
2、飞雪(feixue)
3、QQHelper
4、allxun.com傲讯
5、My123(7255)
最早的MY123只有一个驱动,已经有多个专杀工具可以杀。后来又出现版本2,即多一个同名的.dll位于system32目录下,现在的版本3,是一个非同名的.dll位于system32目录下。今天主要分析一下我手头拿到的这个版本3。
1、程序安装
首先是释放一个.dll到system32目录下,文件名的特征是随机的8位字母(也有版本是6位字母加2位数字),然后调用rundll32.exe wceiukte,DllUnregisterServer来注册COM组件,接下来调用Rundll32.exe wceiukte.dll,DllCanUnloadNow来运行程序,并且注册WH_CALLWNDPROC这个系统挂钩。
这个dll运行后,会生成一个.sys文件,放到drivers系统目录下。DLL通过一个算法得到SYS文件名,算法是:
DLL的文件名
ascii码+32143289052890852-32143289052890848-34320958+34320955就就是SYS文件名
也就是ascii + 1
即.dll的文件名为:wceiukte.dll那么.sys文件名就为:xdfjvluf.sys
2、注册和加载驱动
会在注册表的HKLM\SYSTEM\CurrentControlSet\Services\下写下同驱动名的一个值,把自己注册为System Bus Extend的驱动,使得它的优先级很高,即使在安全模式下加载,也使得很多想清除它的软件无效。然后通过services来加载驱动,驱动加载后,生成三个线程附加到system这个系统核心进程上,(以前的驱动是两个线程)获取最高权限。通过Process Explorer可以查看到这三个线程:
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。