20070112 ntuser.com SysInfo.wmp

20070112 ntuser.com SysInfo.wmp http://www.yippeesoft.com

流氓无处不在

2006-12-10 22:00:21 1095 SF\\shengfang D:\\Favorites\\ntuser.com \\REGISTRY\\MACHINE\\SOFTWARE\\Classes\\CLSID\\&leftsign;08315C1A-9BA9-4B7C-A432-26885F78DF28&rightsign; 防间谍程序最大保护:禁止安装新的 CLSID、APPID 和 TYPELIB 
2006-12-10 22:00:21 1095 SF\\shengfang D:\\Favorites\\ntuser.com \\REGISTRY\\MACHINE\\SOFTWARE\\Classes\\CLSID\\&leftsign;08315C1A-9BA9-4B7C-A432-26885F78DF28&rightsign;\\InProcServer32 防间谍程序最大保护:禁止安装新的 CLSID、APPID 和 TYPELIB 
2006-12-10 22:00:26 1092 SF\\shengfang C:\\WINDOWS\\Explorer.EXE \\REGISTRY\\MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ShellExecuteHooks 通用标准保护:禁止安装 Browser Helper Objects 和 Shell Extensions

资料：
卡巴就发现了8个病毒～～名字好像是（image[1].exe).(popup.[2]htm).(jxj.[1].css).(ntuser.com).(aclayer.dll)

一生平安
欢迎你来小酌一坐*^=^* 虚拟网络有陷阱 也有真情 我会把看见的陷阱告诉大家
——————————————————————————–
首页个人资料日志图片博客群好友
jxj.css实际是一个exe文件，压缩包图标。

创建\\Program Files\\Common Files\\Microsoft Shared\\MSINFO\\SysInfo.wmp，作为消息钩子，创建_xr.bat文件，删除本身，并创建callwndproc钩子，调用IE访问网络（59.151.29.70），修改shell.dll
_xr.bat
:try
del "C:\\temp\\jxj[1].exe"
if exist "C:\\temp\\jxj[1].exe" goto try
del %0
 
利用sreng扫描系统

启动项目注册表

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ShellExecuteHooks]
    <&leftsign;08315C1A-9BA9-4B7C-A432-26885F78DF28&rightsign;><C:\\Program Files\\Common Files\\Microsoft Shared\\MSINFO\\SysInfo.wmp>  [N/A]

这个病毒目前比较新，不过很多启发式能够查到。
它的图标是默认的WinRAR的自解压图标，大小为92,957字节，通过UPX加壳。
病毒运行后会在临时文件夹中生成一幅MM图片（图中标有“吃我一拳”几个字）并在屏幕上显示，同时弹出如下对话框：

病毒生成如下文件：
%ProgramFiles%\\Common Files\\Microsoft Shared\\MSInfo\\SysInfo.dll
%ProgramFiles%\\Common Files\\Microsoft Shared\\MSInfo\\SysInfo.wmp（这实际上是一个Dll文件）
同时会释放一个批处理文件（_xr.bat），用于删除自己的激活体，批处理的内容如下：
:try
del "激活病毒的文件路径及名称"
if exist "激活病毒的文件路径及名称" goto try
del %0
病毒添加如下注册表值：
HKEY_CLASSES_ROOT\\CLSID\\&leftsign;08315C1A-9BA9-4B7C-A432-26885F78DF28&rightsign; （其下的子键被我省略）
HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID\\&leftsign;08315C1A-9BA9-4B7C-A432-26885F78DF28&rightsign; （其下的子键被我省略）
将以下键值的内容指向&leftsign;08315C1A-9BA9-4B7C-A432-26885F78DF28&rightsign;，使其（SysInfo.wmp）达到自启动目的
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ShellExecuteHooks
病毒会插入到IEXPLORE.EXE中，所以及时不启动IE，进程中都会一直存在IEXPLORE.EXE进程。
病毒通过QQ及QQ邮箱传播，自动向QQ好友发送带毒邮件，邮件内容自然是一些具有迷惑性的内容，具体的省略了。
病毒盗取QQ密码，其中的方式包括了记录QQ秀以及QQ场景商城两个网页的键盘输入情况。

、“QQ盗号者”（Troj.PSWLiumazi）威胁级别：★

　　病毒特征：这是一个盗取QQ号码的木马病毒。

　　发作症状：病毒将自身复制到%CommonProgramFiles%\\MicrosoftShared\\
MSInfo\\目录下，并命名为xiaran.dll，同时释放动态链接文件xiaran.vxd，并进行COM注册：CLSID\\&leftsign;08315C1A-9BA9-4B7C-A432-26885F78DF28&rightsign;。该病毒监控用户正在运行窗口以及剪贴版，获取QQ号码等重要信息，并将木马种植者电子邮箱信息、信息提交网址信息加密一起保存于文件尾部。
今天电脑中毒了，瑞星杀不了，只好自己杀了，用瑞星查到病毒是Trojan.PWS.LiuMaZi.ez
 
网上搜索一下，没找到什么可用的资料，没办法，发扬一下自己的DIY精神，自己解决！
 
过程如下：
先找到病毒文件rejoi.vxd的位置，C:\\Program Files\\Common Files\\Microsoft Shared\\MSINFO\\rejoi.vxd 用瑞星杀掉它！过后，rejoi.vxd重新出现，运行.exe文件瑞星还会警报该病毒可以判断病毒肯定还有关联的文件，导致病毒重新出现，仔细看msinfo文件夹，发现一个可以的.dll文件rejoice.dll几乎可以判断是病毒的关联文件了，马上删掉它~结果rejoi.vxd不再重新出现了，瑞星没再警报！一般木马病毒都会修改注册表，以防杀毒软件的破坏，所以还是看一下注册表为好，于是打开注册表，查找“rejoi”，果然找到了一个路径就是[HKEY_CLASSES_ROOT\\CLSID\\&leftsign;08315C1A-9BA9-4B7C-A432-26885F78DF28&rightsign;]
将2个键值都删掉，OK！杀毒完毕！
用超级兔子检验得出以下结论 找到可疑开机程序：TORJAN PROGRAM (C:\\WINDOWS\\SERVICES.EXE)
找到可疑开机程序：TORJAN PROGRAM (C:\\WINDOWS\\SERVICES.EXE)
找到未知文件执行挂钩：&leftsign;08315C1A-9BA9-4B7C-A432-26885F78DF28&rightsign;(C:\\Program Files\\Common Files\\Microsoft Shared\\MSINFO\\SysInfo.wmp)
在兔子清除木马黑客处程序扫描发现以下问题：找到可疑开机程序：TOP (C:\\WINDOWS\\LSASS.exe) 找到未知文件执行挂钩：&leftsign;08315C1A-9BA9-4B7C-A432-26885F78DF28&rightsign;(C:\\Program Files\\Common Files\\Microsoft Shared\\MSINFO\\xiaran.lmz) 159 定向搜索,已安装———-这个东西我在安全模式下用兔子删除了N次了，但是重启又在了。再用兔子删除就死机了。死机画面出现这些：stop:c000021a unknown Hard.Error unknown Hard Error 向各位大侠求救

看的出来，这款密码盗取软件针对目前国内外的主流桌面防火墙软件作出了针对性的改进，且具有很高的隐蔽性，一旦运行了木马的EXE，它就几乎彻底隐藏了自己，就象广告中说的一样，无启动项，无进程。常规的检测工具要检测它具有一定的难度，所以这款木马生成器生成的木马对于普通用户来说具有相当大的杀伤力。

    木马分析

    接下来我们来看看该木马的工作流程：

    木马在获得启动运行后，就会将复制一个备份到C:Program FilesInternet ExplorerPLUGINS，并重命名为qn911.dll(其实这还是一个EXE文件)并将其文件属性设为隐藏和系统然后在C:Program FilesInternet ExplorerPLUGINS释放出qn911.sys(其实这是一个DLL文件)。

    这时候木马会在系统注册表内注册一个CLASSID

    HKCRCLSID

    并将该CLSID和C:Program FilesInternet ExplorerPLUGINSqn911.sys联系在一起。然后将该CLSID添加添加到注册表的ShellExecuteHooks下

    HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks

=""

(老鸟这时候就会说了，原来它的无启动项和特殊的线程插入技术就是这么实现的啊…)

Qn911.sys内含有钩子WH_GETMESSAGE。

    在木马下完钩子后，完成盗取QQ密码的准备工作后就创建一个名为MicroSoft.bat的批处理文件，用于删除木马的EXE文件和批处理自身.这样它在系统中就是”无进程”了。

    这里有个插曲，木马的作者会给分析人员一些留言，内容如下:

wodexiaoshihouchaonaorenxingdeshihou

waiozongshichanggehongwonahsougehaoxiangzheyangchangdewodeguxiangzaiyuanfang

tianheiheitiootiantiandouyaoniaiwodexinsiyounicaibuyaowenwocongnalilai

历史博文

• 20081016 c# html 半透明 - 2009
• 20070924 USB HID 资料 - 2008
• 0223 C/C++ Compilers IDES  free - 2006
• 20050615 我的BLOG被黑 - 2005
• mcafee对付ALEXA TOOLBAR和INNO SETUP - 2005