2006-07-09

下載並釋放多個木馬程序,包括xiaran.dat、rundl132.exe、vDll.dll、svchqs.exe

5月30日,老驢給我出個難題,見面第一句話「我的機子中標了,好像只針對.exe文件或uninstall,卡巴查出是Worm.Win32.Viking.i」,通過google給他找到了病毒的介紹和解決辦法,最後索性讓他把病毒文件發過來,在vm下自己分析了一下。本來想著是個別問題,結果發現這兩天網絡關於該病毒的消息越來越多,那就把我看到的一些東西跟大家分享一下吧。
一、病毒消息:
威金蠕蟲肆虐互聯網 九千用戶十餘企業遭攻擊[圖]
惡性病毒現身:穿透還原卡 殺死殺毒軟件
二、病毒症狀:
看了一些關於此病毒的症狀,不完全統計如下:
1、佔用大量網速,使機器使用變得極慢。
2、會捆綁所有的EXE文件,只要一運用應用程序,在winnt下的logo1.exe圖標就會相應變成應用程序圖標。

3、有時還會時而不時地彈出一些程序框,有時候應用程序一起動就出錯,有時候起動了就被強行退出。
4、網吧中只感梁win2k pro版,server版及XP系統都不感染。(嚴重表示懷疑!)
5、能繞過所有的還原軟件。
6、下載並釋放多個木馬程序,包括xiaran.dat、rundl132.exe、vDll.dll、svchqs.exe、svhost32.exe、rundll32.exe、dllz.dll、svchs0t.exe、C:\gamevir.txt、C:\1.txt 、C:\log.txt等等。
三、病毒分析:
根據病毒釋放出來的文件,感覺它應該是W32.Looked病毒的某個變種,在symantec的官方站點檢索一下,發現該病毒從2004年12月17日被發現,到最新變種被發現2006年5月29日,總計有7個變種,介紹如下:
http://securityresponse.symantec.com/avcenter/venc/data/w32.looked.html
http://securityresponse.symantec.com/avcenter/venc/data/w32.looked.b.html
http://securityresponse.symantec.com/avcenter/venc/data/w32.looked.c.html
http://securityresponse.symantec.com/avcenter/venc/data/w32.looked.e.html
http://securityresponse.symantec.com/avcenter/venc/data/w32.looked.f.html
http://securityresponse.symantec.com/avcenter/venc/data/w32.looked.h.html
http://securityresponse.symantec.com/avcenter/venc/data/w32.looked.i.html
通過對這幾個病毒介紹的分析,我們發現該病毒除在個別版本中有所變動外,基本特徵大體沒有太多變化,而病毒作者必然是國人沒錯。
接著來分析一下Symantec定義的各變種病毒爆發後的操作:
病毒簡介:該病毒是一個會從遠端服務器下載文件並感染.exe文件的蠕蟲病毒,它會降低安全防護的效能並通過網絡共享傳播自己。
感染系統:Windows 2000、Windows 95、Windows 98、Windows Me、Windows NT、Windows Server 2003、Windows XP
病毒行為(有些行為可能只在某個變種體現):
1、(部分變種)創建文件%Windir%\rundl132.exe (A copy of W32.Looked.I),注意這裡的文件名是rundl132.exe,不是rundll32.exe,%Windir%默認為C:\Windows或者C:\Winnt;
2、創建木馬程序%CurrentFolder%\vDll.dll (A copy of Download.Trojan),%CurrentFolder%表示病毒被初次執行時的目錄,我見到的基本都在%Windir%下;
3、(部分變種)從遠端服務器下載病毒程序到%Windir%\1.exe,並執行,有些變種下載的是zt.txt、zt.exe 、wow.txt 、wow.txt、mx.txt、mx.exe系列文件;
4、拷貝自身為%Windir%\Logo1_.exe;
5、在註冊表HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW下創建鍵值"auto" = "1";
6、(部分變種)在註冊表HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\WIndows創建鍵值"load" = "%Windir%\rundl132.exe";
7、(部分變種)停止服務Kingsoft AntiVirus Service;
8、插入vDll.dll到IEXPLORE.EXE或EXPLORER.EXE
9、從磁盤C到Y檢索.exe文件並感染找到的文件,不會感染下列目錄中的.exe文件:
·system
·system32
·windows
·Documents and Settings
·System Volume Information
·Recycled
·winnt
·Program Files
·Windows NT
·WindowsUpdate
·Windows Media Player
·Outlook Express
·Internet Explorer
·ComPlus Applications
·NetMeeting
·Common Files
·Messenger
·Microsoft Office
·InstallShield Installation Information
·MSN
·Microsoft Frontpage
·Movie Maker
·MSN Gamin Zone
10、發送包含「Hello,World」字符串的ICMP包到192.168.0.30、192.168.8.1;
11、使用administrator和空口令嘗試打開任何對ICMP包響應的計算機的\\ipc$和\\admin$目錄;
12、拷貝自身到成功打開的共享目錄;
13、檢索成功打開的共享目錄,尋找並感染.exe文件;
14、(部分變種)嘗試結束下列進程:
·EGHOST.EXE
·IPARMOR.EXE
·KAVPFW.EXE
·KWatchUI.EXE
·MAILMON.EXE
·Ravmon.exe
·ZoneAlarm
15、(部分變種)在hosts文件(默認位置:%system%\drivers\etc,%system%默認為C:\WINDOWS\system32\或C:\Winnt\system32)中添加內容,內容主要是將防病毒網站指向到本級或指定IP。
AcOol PS:
我分析的「Worm.Win32.Viking.i」病毒只包含了以上的7、8個步驟。
四、病毒查殺:
1、專殺工具:
「威金(Worm.Viking)」病毒專殺工具1.0
「維金」病毒專殺工具v2006.6.8.13
2、手動查殺:
首先建議下在IceSword1.8,在IceSword中進行操作。
(1)在進程中找到並結束Logo1_.exe、rundl132.exe進程,未找到則直接跳過;
(2)找到並刪除%Windir%下的Logo1_.exe、rundl132.exe、vDll.dll文件,其中vDll.dll可能在其他目錄中,%Windir%默認為C:\Windows或者C:\Winnt。
(3)打開註冊表,索引到HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW,刪除auto鍵值;
(4)打開註冊表,索引到HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\WIndows,刪除load鍵值;
(5)打開%system%\drivers\etc下hosts文件,刪除「127.0.0.1 localhost」一行後所有內容;
(6)升級病毒定義庫,在安全模式下對全盤進行掃瞄。
五、補充說明:
根據這兩天看到的消息,該病毒可能出現了新的變種,捆綁了QQ尾巴病毒,因為從老驢那裡拿到的病毒體沒有這個內容,限於個人水平也無法徹底分析明白,轉述了「C.I.S.R.T 論壇」對各新變種的分析及解決辦法,匯總為「ViKing病毒專題」,大家可以根據自己的情況採取相應的查殺方式。
ViKing病毒專題:
http://coolersky.com/articles/index.asp?classid=412
六、參考:
·http://soft.yesky.com/security/42/2431542.shtml
·http://forum.ikaka.com/topic.asp?board=28&artid=8037807
·http://safebbs.it168.com/redirect.php?tid=8032&goto=lastpost
·http://www.simkz.com/cisrt/forumdisplay.php?fid=12
·http://coolersky.com/articles/virus/analyze/2006/0608/264.html


http://coolersky.com/articles/virus/prevention/2006/0606/254.html

2 則留言:

梁秀為 提到...

視頻跳舞的女人
農夫綜合網
大連同城群
哪個YY直播裸聊
哥也色中文娛樂網站
摸逼網
愛聊北京交友貼吧
拉拉聊天室
LES聊天室
LES網站
拉拉社區聊天室
15880拉拉社區
色聊天室網站
緣來客情人網
樓外樓歡樂夫妻交友社區
酷我秀場
順義在線一夜情
寂寞同城交友vip破解
免費激情美女聊天視頻
三級電影播放
同城e緣
e緣交友空間
同城交友聊天房
e緣SNS交友
e緣同城交友
e緣交友網
同城床友一夜情網
在線視頻聊天網
激情聊天網站
視頻聊天網站你懂得
結婚交友網站
陌生人視頻聊天網站
朝鮮族婚戀交友網站
合肥聊天室
青島58同城交友約炮
安慶夜情酒吧
寧夏交友網
碧落星空聊天室
威海聊天站
水城聊天室
聊聊語音聊天室
聊聊視頻聊天室
迷你聊天室
華彩聊天室
社交視頻直播社區
458458聊天室
隨聊音樂網
118聊天室
報碼聊天室
大紅鷹報碼聊天室

劉雅玲 提到...

大慶紅杏出牆交友網
長樂一夜情
豆瓣網約炮
登封交友QQ群
汝州交友網
交友焦作約炮網
金華同城床友交友網
廈門約炮群
天津同城床友交友網
蕪湖一夜情俱樂部QQ群
友加怎麼約炮
友加約炮
友秘約炮
約炮神器排行榜
約炮神器
約炮吧
約炮網
同城炮床友QQ號
武漢一夜晴電話
沉陽同城床友交友網
克拉瑪依交友網
重慶同城床友交友網
成都同城床友交友網
新泰同城交友
大理一夜情
章丘同城交友聊天室
福州同城床友交友網
天津免費交友網
上海後花園交友
北京同城床友交友網
酒吧約炮
太原約炮吧
煙台同城床友交友網
5281軍人交友網
影音交友聊天室
約炮論壇
深圳約炮吧
濟南同城床友交友網
上海同城床友交友網
大理市約炮群
同城第一情人網
高州一夜情
黃驊交友網
延安交友網
丫丫婚戀交友網
南寧同城床友交友網
鄭州同城床友交友網
河南同城床友交友網
成都美女約炮群床友網
淄博同城床友交友網
夜色伊甸園
上海約炮網
三門峽同城炮床友QQ號
鳳凰茶館聊天室
大連同城交友QQ群
免費床友交友網
河口一夜情
成都寂寞女找床友
網頁美女聊天室
網上交友約炮

張貼留言