这两天收到一些木马下载器的样本
测试了几个 发现了一个叫netdde32.exe比较特殊 他会通过IFEO劫持Explorer.exe
而且不会写入任何启动项目,(都劫持了explorer了 就不需要什么启动项目了吧,呵呵 explorer是天然的开机自启
动项目哦)
这样更增加了单单通过sreng日志找可疑项目的难度!
病毒主要特征:
1.劫持Explorer 释放dll监控IFEO项目
2.下载木马
3.下载流氓软件
分析报告:
File: netdde32.exe
Size: 57252 bytes
MD5: AF990B41A94109499981E4E94A5AEC4B
SHA1: 1B3561194D663F2ECC305F8A08C02F6259C8F022
CRC32: 07A5F410
文件运行后
释放如下文件
C:\WINDOWS\KB9269O9.log
C:\WINDOWS\system32\netdde32.exe
试图向带有下列字符的窗口发送允许或者跳过的信息
注册表警告
金山毒霸 - 可疑文件扫描工具
mcafee personal firewall plus 警报
virusscan 按访问扫描消息
瑞星注册表监控提示
添加 IFEO劫持项目
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Explorer.exe\Debugger:
"C:\WINDOWS\system32\netdde32.exe"
无其他自启动项目
C:\WINDOWS\KB9269O9.log注入到Explorer进程中 监控HKLM\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution Options\Explorer.exe\Debugger: "C:\WINDOWS\system32
\netdde32.exe" 如果一旦被删除 则立即恢复
控制IE连接网络218.93.16.65:80
下载http://up.xxxxd.cn/software/update.txt获取文件下载地址
通过http://up.xxxxd.cn/software/netdde32.exe更新自身
下载http://up.xxxxd.cn/software/QQIEHelper.dll
http://up.xxxxd.cn/software/d039.exe到系统文件夹
d039.exe是一个多个流氓软件的安装包 包括搜狗直通车 CNNIC中文上网等
http://up.xxxxd.cn/software/QQIEHelper.dll是IE插件 插入IE
使IE不断读取http://sm.xxxxd.cn/data/adurllist.ini这个文件里面的内容(一些网址)
用于弹出网页
机器启动后 由于explorer被劫持所以首先启动netdde32.exe 由他把KB9269O9.log注入到Explorer进程中 再由netdde32.exe启动Explorer 此后netdde32.exe的工作即告完成
所有木马植入完毕后
增加如下文件
C:\WINDOWS\system32\netdde32.exe
C:\WINDOWS\d039.exe
C:\WINDOWS\KB9269O9.log
C:\WINDOWS\netdde32.exe
C:\WINDOWS\QQIEHelper.dll
C:\Program Files\Common Files\CPUSH
被安装了 搜狗直通车和CNNIC中文上网插件
sreng日志如下
浏览器加载项
[CAdLogic Object]
{11F09AFD-75AD-4E51-AB43-E09E9351CE16} <C:\Program Files\Common Files\CPUSH\cpush.dll, >
[腾讯QQ]
{54EBD53A-9BC1-480B-966A-843A333CA162} <C:\WINDOWS\QQIEHelper.dll, N/A>
[CAdLogic Object]
{11F09AFD-75AD-4E51-AB43-E09E9351CE16} <C:\Program Files\Common Files\CPUSH\cpush.dll, >
[腾讯QQ]
{54EBD53A-9BC1-480B-966A-843A333CA162} <C:\WINDOWS\QQIEHelper.dll, N/A>
进程
[PID: 1540][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-
2158)]
[C:\WINDOWS\KB9269O9.log] [N/A, ]
解决方法:
问题:木马劫持了Explorer 而且发现那个C:\WINDOWS\KB9269O9.log会时刻监视被劫持的IFEO项目
考虑出两种解决方法 一种是结束explorer 删除C:\WINDOWS\system32\netdde32.exe和C:\WINDOWS\KB9269O9.log
重启按ctrl+alt+del进入注册表 恢复IFEO
不过感觉那个IFEO的注册表键太长了 重启以后还得一通狂找,所以推荐下面的方法
还是用Process explorer 下载地址
http://dl.pconline.com.cn/html_2/1/59/id=6395&pn=0.html
1.双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件
(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
删除C:\WINDOWS\system32\netdde32.exe
2.打开Process explorer
双击Explorer进程
单击 Threads
找到KB9269O9.log
分别选中Threads中的各个KB9269O9.log 单击下面的suspend
直到选中每个KB9269O9.log时 原先那个suspend都变成了resume
不要关闭process explorer
3.恢复IFEO
这里我们使用autoruns这个软件 http://www.skycn.com/soft/17567.html
打开这个软件后 找到Image hijack (映像劫持)
删除
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Explorer.exe\Debugger:
"C:\WINDOWS\system32\netdde32.exe"
4.打开任务管理器
结束Explorer进程
单击任务管理器 上方菜单栏的文件-新建任务-浏览 找到C:\WINDOWS\KB9269O9.log 右键将其删除
至此 主程序netdde32.exe已经被干掉了
下面收拾其他的木马和流氓软件
重启计算机进入安全模式(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)
打开sreng
在“系统修复”-“浏览器加载项”中删除
[CAdLogic Object]
{11F09AFD-75AD-4E51-AB43-E09E9351CE16} <C:\Program Files\Common Files\CPUSH\cpush.dll, >
[腾讯QQ]
{54EBD53A-9BC1-480B-966A-843A333CA162} <C:\WINDOWS\QQIEHelper.dll, N/A>
[CAdLogic Object]
{11F09AFD-75AD-4E51-AB43-E09E9351CE16} <C:\Program Files\Common Files\CPUSH\cpush.dll, >
[腾讯QQ]
{54EBD53A-9BC1-480B-966A-843A333CA162} <C:\WINDOWS\QQIEHelper.dll, N/A>
删除文件C:\Program Files\Common Files\CPUSH
C:\WINDOWS\QQIEHelper.dll
重启后下载卡卡安全助手或者金山的毒霸清理专家
清理剩余的CNNIC等流氓软件
通过这个例子可以看出如今的木马启动方式逐渐多样化,智能化。手动杀毒的过程有时就是一个与病毒作者斗智的过
程,所以我们在手动杀毒的过程中要多结合一些方法查找这些“隐藏的更深”的病毒。
| 
