yanpkx 发表于 2007-9-6 09:28:00

网络流行病毒(木马)之手动查杀

<p>测试病毒:1.QQ巨盗 “Trojan.PWS.Qqpass.425” (关键病毒程序:tfidma.exe&nbsp; severe.exe&nbsp; OSO.exe)<br/>&nbsp; <br/>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 2.武汉男生,又名熊猫烧香病毒&nbsp; ”Worm.WhBoy.h“ (关键病毒程序:setup.exe spoclsv.exe)</p><p>测试环境:Vmware Workstation虚拟机平台Windows xp sp2操作系统</p><p>内容:一、病毒的原理。</p><p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 1.当前网络流行病毒传播共性。</p><p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; (1)利用可移动设备在不同计算机之间的移动使用</p><p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; (2)通过在网页中插入病毒代码使访问者受感染</p><p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; (3)感染的计算机通过弱口令连接宿主机所处网络的其它计算机,连接成功后,从后台传输病毒文件使其感染</p><p><br/>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 2.感染病毒后计算机操作系统的表现形式。</p><p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; (1)系统进程列表中出现一个或多个不明进程,且部分进程无法结束。</p><p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; (2)进程管理器无法正常使用(表现为一闪就消失)</p><p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; (3)杀毒软件不能正常工作或被强行关闭。</p><p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; (4)磁盘中的部分文件无法正常启动,甚至图标也被更改,文件明显变大。</p><p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; (5)磁盘不能正常双击打开,单击右键第一个选项变成"Auto"、"DOS"或其它名称。</p><p><br/>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 3.通过系统中的记事本程序来模拟病毒的表现形式。</p><p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 4.针对两种病毒程序进行详细讲解。</p><p><br/>病毒1-QQ巨盗</p><p>病毒名称: QQ巨盗 “Trojan.PWS.Qqpass.425” (tfidma.exe&nbsp; severe.exe)</p><p>中毒症状:禁止常见杀毒软件的运行(如瑞星、卡巴斯基等),禁止运行注册表,修改系统时间到2004年,结束进程后继续运行。而且当它存在</p><p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 于进程中的时候,它将关闭瑞星等各类杀毒软件,还使得一些正常的系统优化软件不能正常运行,如冰刃等。如果你不断的用任务</p><p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 管理器关闭它,它将每一秒启动一次自己,让你的系统资源耗尽,最后死机。</p><p>病毒特征:A. 该病毒收集特定网站的用户ID及Password。</p><p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; B. 该病毒将收集信息反馈给病毒作者,以用于非法行为。</p><p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; C. 该病毒会修改注册表来停止Window安全服务。</p><p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; D. 该病毒将终止特定的进程。</p><p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; E. 该病毒修改Hosts文件以用于禁止访问网络安全站点。 </p><p>发作症状:</p><p>1、该病毒被执行后,将自动生成并保存于下文件夹中: </p><p>- %system%\tfidma.exe (96,897 Bytes) <br/>- %system%\severe.exe (96,897 Bytes) <br/>- %system%\tfidma.dll (38,400 Bytes)<br/>- %system%\hx1.bat&nbsp;&nbsp;&nbsp; (修改系统时间为2004年)</p><p>- %drivers%\adamrf.exe (96,897 Bytes) <br/>- %drivers%\conime.exe (96,897 Bytes) </p><p>- OSO.exe – 被杀毒软件诊断为“Trojan.PWS.Qqpass.425 ”病毒。<br/>- autorun.inf – 自动执行文件(引导执行OSO程序)</p><p><br/>* 默认系统文件夹(%System%) <br/>- Windows 9X/ME: C:\Windows\SYSTEM\ <br/>- Windows NT/2000: C:\Winnt\System32\ <br/>- Windows XP: C:\Windows\System32\ </p><p>2、该病毒将修改以下注册表项:</p><p>- </p><p>“CheckedValue = 0 “&nbsp; (强行修改查看属性为隐藏,无法从“文件夹选项“中来修改。)</p><p><br/>- </p><p>“NoDriveTypeAutoRun = b5”&nbsp; (这个键决定了是否执行CDROM或硬盘的AutoRun功能)</p><p><br/>- </p><p>“Shell = Explorer.exe %system%\drivers\conime.exe” </p><p>修改注册表用于结束安全软件进程: </p><p>- <br/>“MagicSet.exe\Debugger = %drivers%\adamrf.exe” <br/>“Rav.exe\Debugger = %drivers%\adamrf.exe” <br/>“avp.com\Debugger = %drivers%\adamrf.exe” <br/>“avp.exe\Debugger = %drivers%\adamrf.exe” <br/>“KRegEx.exe\Debugger = %drivers%\adamrf.exe” <br/>“KvDetect.exe\Debugger = %drivers%\adamrf.exe” <br/>“KvXP.kxp\Debugger = %drivers%\adamrf.exe” <br/>“TrojDie.kxp\Debugger = %drivers%\adamrf.exe” <br/>“KVMonXP.kxp\Debugger = %drivers%\adamrf.exe” <br/>“IceSword.exe\Debugger = %drivers%\adamrf.exe” <br/>“mmsk.exe\Debugger = %drivers%\adamrf.exe” <br/>“WoptiClean.exe\Debugger = %drivers%\adamrf.exe” <br/>“kabaload.exe\Debugger = %drivers%\adamrf.exe” <br/>“360Safe.exe\Debugger = %drivers%\adamrf.exe” <br/>“runiep.exe\Debugger = %drivers%\adamrf.exe” <br/>“iparmo.exe\Debugger = %drivers%\adamrf.exe” <br/>“adam.exe\Debugger = %drivers%\adamrf.exe” <br/>“RavMon.exe\Debugger = %drivers%\adamrf.exe” <br/>“QQDoctor.exe\Debugger = %drivers%\adamrf.exe” <br/>“SREng.EXE\Debugger = %drivers%\adamrf.exe” <br/>“Ras.exe\Debugger = %drivers%\adamrf.exe” <br/>“msconfig.exe\Debugger = %drivers%\adamrf.exe” <br/>“regedit.exe\Debugger = %drivers%\adamrf.exe” <br/>“regedit.com\Debugger = %drivers%\adamrf.exe” <br/>“msconfig.com\Debugger = %drivers%\adamrf.exe” <br/>“PFW.exe\Debugger = %drivers%\adamrf.exe” <br/>“PFWLiveUpdate.exe\Debugger = %drivers%\adamrf.exe” <br/>“EGHOST.exe\Debugger = %drivers%\adamrf.exe” <br/>“NOD32.exe\Debugger = %drivers%\adamrf.exe “ </p><p><br/>3、感染该病毒后,将自动停止某些安全软件:</p><p>- srservice <br/>- net.exe <br/>- sc.exe <br/>- KVWSC <br/>- KVSrvXP <br/>- kavsvc <br/>- RsRavMon <br/>- RsCCenter <br/>- RsRavMon <br/>- sc.exe <br/>- net.exe <br/>- sc1.exe <br/>- net1.exe <br/>- PFW.exe <br/>- Kav.exe <br/>- KVOL.exe <br/>- KVFW.exe <br/>- adam.exe <br/>- qqav.exe <br/>- qqkav.exe <br/>- TBMon.exe <br/>- kav32.exe <br/>- kvwsc.exe <br/>- CCAPP.exe <br/>- KRegEx.exe <br/>- kavsvc.exe <br/>- VPTray.exe <br/>- RAVMON.exe <br/>- EGHOST.exe <br/>- KavPFW.exe <br/>- SHSTAT.exe <br/>- RavTask.exe <br/>- TrojDie.kxp <br/>- Iparmor.exe <br/>- MAILMON.exe <br/>- MCAGENT.exe <br/>- KAVPLUS.exe <br/>- RavMonD.exe <br/>- Rtvscan.exe <br/>- Nvsvc32.exe <br/>- KVMonXP.exe <br/>- Kvsrvxp.exe <br/>- CCenter.exe <br/>- KpopMon.exe <br/>- RfwMain.exe <br/>- KWATCHUI.exe <br/>- MCVSESCN.exe <br/>- MSKAGENT.exe <br/>- kvolself.exe <br/>- KVCenter.kxp <br/>- kavstart.exe <br/>- RAVTIMER.exe <br/>- RRfwMain.exe <br/>- FireTray.exe <br/>- UpdaterUI.exe <br/>- KVSrvXp_1.exe </p><p>4、修改Hosts文件禁止访问安全类网站:</p><p>127.0.0.1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; localhost<br/>127.0.0.1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; mmsk.cn<br/>127.0.0.1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; ikaka.com<br/>127.0.0.1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; safe.qq.com<br/>127.0.0.1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 360safe.com<br/>127.0.0.1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <a href="http://www.mmsk.cn">www.mmsk.cn</a><br/>127.0.0.1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <a href="http://www.ikaka.com">www.ikaka.com</a><br/>127.0.0.1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; tool.ikaka.com<br/>127.0.0.1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <a href="http://www.360safe.com">www.360safe.com</a><br/>127.0.0.1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; zs.kingsoft.com<br/>127.0.0.1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; forum.ikaka.com<br/>127.0.0.1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; up.rising.com.cn<br/>127.0.0.1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; scan.kingsoft.com<br/>127.0.0.1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; kvup.jiangmin.com<br/>127.0.0.1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; reg.rising.com.cn<br/>127.0.0.1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; update.rising.com.cn<br/>127.0.0.1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; update7.jiangmin.com<br/>127.0.0.1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; download.rising.com.cn<br/>127.0.0.1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; dnl-us1.kaspersky-labs.com<br/>127.0.0.1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; dnl-us2.kaspersky-labs.com<br/>127.0.0.1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; dnl-us3.kaspersky-labs.com<br/>127.0.0.1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; dnl-us4.kaspersky-labs.com<br/>127.0.0.1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; dnl-us5.kaspersky-labs.com<br/>127.0.0.1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; dnl-us6.kaspersky-labs.com<br/>127.0.0.1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; dnl-us7.kaspersky-labs.com<br/>127.0.0.1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; dnl-us8.kaspersky-labs.com<br/>127.0.0.1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; dnl-us9.kaspersky-labs.com<br/>127.0.0.1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; dnl-us10.kaspersky-labs.com<br/>127.0.0.1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; dnl-eu1.kaspersky-labs.com<br/>127.0.0.1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; dnl-eu2.kaspersky-labs.com<br/>127.0.0.1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; dnl-eu3.kaspersky-labs.com<br/>127.0.0.1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; dnl-eu4.kaspersky-labs.com<br/>127.0.0.1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; dnl-eu5.kaspersky-labs.com<br/>127.0.0.1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; dnl-eu6.kaspersky-labs.com<br/>127.0.0.1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; dnl-eu7.kaspersky-labs.com<br/>127.0.0.1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; dnl-eu8.kaspersky-labs.com<br/>127.0.0.1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; dnl-eu9.kaspersky-labs.com<br/>127.0.0.1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; dnl-eu10.kaspersky-labs.com</p><p><br/>病毒2-熊猫烧香</p><p>病毒名称: 武汉男生,又名熊猫烧香病毒。”Worm.WhBoy.h“</p><p><br/>中毒症状:1. 拷贝自身到所有驱动器根目录,命名为Setup.exe,并生成一个autorun.inf使得用户打开该盘运行病毒,并将这两个文件属性设</p><p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 置为隐藏、只读、系统。</p><p>  &nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 2. 无法手工修改“文件夹选项”将隐藏文件显示出来。</p><p>  &nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 3. 在每个感染后的文件夹中可见Desktop_ini的隐藏文件,内容为感染日期 如:2007-4-1</p><p>  &nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 4. 电脑上的所有脚本文件中加入一段代码:&lt;iframe src=xxx width=”0” height=”0”&gt;&lt;/iframe&gt;</p><p>  &nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 5. 中毒后的机器上常见的反病毒软件及防火墙无法正常开启及运行。</p><p>  &nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 6. 不能正常使用任务管理器及注册表。</p><p>  &nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 7. 无故的向外发包,连接局域网中其他机器。</p><p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 8. 感染其他应用程序的.exe文件,并改变图标颜色,但不会感染微软操作系统自身的文件。</p><p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 9. 删除GHOST文件(.gho后缀),网吧、学校和单位机房深受其害。</p><p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 10. 禁用常见杀毒工具。</p><p>病毒特征: 1. 关闭众多杀毒软件和安全工具。</p><p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 2. 循环遍历磁盘目录,感染文件,对关键系统文件跳过。</p><p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 3. 感染所有EXE、SCR、PIF、COM文件,并更改图标为烧香熊猫。<br/>&nbsp;<br/>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 4. 感染所有.htm/.html/.asp/.php/.jsp/.aspx文件,添加木马恶意代码。<br/>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <br/>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 5. 自动删除*.gho文件。</p><p></p><p>发作症状:</p><p>1:拷贝文件</p><p>病毒运行后,会把自己拷贝到C:\WINDOWS\System32\Drivers\spoclsv.exe</p><p>2:添加注册表自启动</p><p>病毒会添加自启动项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\svcshare -&gt; C:\WINDOWS\System32</p><p>\Drivers\spoclsv.exe</p><p>3:病毒行为</p><p>a:每隔1秒<br/>寻找桌面窗口,并关闭窗口标题中含有以下字符的程序</p><p>QQKav<br/>QQAV<br/>防火墙<br/>进程<br/>VirusScan<br/>网镖<br/>杀毒<br/>毒霸<br/>瑞星<br/>江民<br/>黄山IE<br/>超级兔子<br/>优化大师<br/>木马克星<br/>木马清道夫<br/>QQ病毒<br/>注册表编辑器<br/>系统配置实用程序<br/>卡巴斯基反病毒<br/>Symantec AntiVirus<br/>Duba<br/>esteem proces<br/>绿鹰PC<br/>密码防盗<br/>噬菌体<br/>木马辅助查找器<br/>System Safety Monitor<br/>Wrapped gift Killer<br/>Winsock Expert<br/>游戏木马检测大师<br/>msctls_statusbar32<br/>pjf(ustc)<br/>IceSword<br/>并使用的键盘映射的方法关闭安全软件IceSword</p><p><br/>并中止系统中以下的进程:<br/>Mcshield.exe<br/>VsTskMgr.exe<br/>naPrdMgr.exe<br/>UpdaterUI.exe<br/>TBMon.exe<br/>scan32.exe<br/>Ravmond.exe<br/>CCenter.exe<br/>RavTask.exe<br/>Rav.exe<br/>Ravmon.exe<br/>RavmonD.exe<br/>RavStub.exe<br/>KVXP.kxp<br/>kvMonXP.kxp<br/>KVCenter.kxp<br/>KVSrvXP.exe<br/>KRegEx.exe<br/>UIHost.exe<br/>TrojDie.kxp<br/>FrogAgent.exe<br/>Logo1_.exe<br/>Logo_1.exe<br/>Rundl132.exe</p><p>b:每隔18秒</p><p>点击病毒作者指定的网页,并用命令行检查系统中是否存在共享,存在的话就运行net share命令关闭admin$共享。</p><p>c:每隔10秒</p><p>下载病毒作者指定的文件,并用命令行检查系统中是否存在共享共存在的话就运行net share命令关闭admin$共享。</p><p>d:每隔6秒</p><p>删除安全软件在注册表中的键值。</p><p>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run<br/>RavTask<br/>KvMonXP<br/>kav<br/>KAVPersonal50<br/>McAfeeUpdaterUI<br/>Network Associates Error Reporting Service<br/>ShStartEXE<br/>YLive.exe<br/>yassistse</p><p>并修改以下值不显示隐藏文件</p><p>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue -&gt; 0x00</p><p>删除以下服务:<br/>navapsvc<br/>wscsvc<br/>KPfwSvc<br/>SNDSrvc<br/>ccProxy<br/>ccEvtMgr<br/>ccSetMgr<br/>SPBBCSvc<br/>Symantec Core LC<br/>NPFMntor<br/>MskService<br/>FireSvc</p><p>e:感染文件</p><p>病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址,用户一</p><p>旦打开了该文件,IE就会不断的在后台点击写入的网址,达到增加点击量的目的,但病毒不会感染以下文件夹名中的文件:<br/>WINDOW<br/>Winnt<br/>System Volume Information<br/>Recycled<br/>Windows NT<br/>WindowsUpdate<br/>Windows Media Player<br/>Outlook Express<br/>Internet Explorer<br/>NetMeeting<br/>Common Files<br/>ComPlus Applications<br/>Messenger<br/>InstallShield Installation Information<br/>MSN<br/>Microsoft Frontpage<br/>Movie Maker<br/>MSN Gamin Zone</p><p>&nbsp;&nbsp;&nbsp;&nbsp; 二、实践学习手动查杀病毒。(针对病毒进行逆向操作)</p><p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 1.手动查杀“QQ巨盗”病毒程序。</p><p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 2.手动查杀“熊猫烧香”病毒程序。</p>

浪子无忧 发表于 2007-9-6 10:04:00

<p>技术贴,支持一下!希望发布更多更好的文章!</p><br/>
页: [1]
查看完整版本: 网络流行病毒(木马)之手动查杀