恶意导航网站3929.cn和go2000.com分析与修复

2008年9月30日 | 分类: 病毒分析 | 标签: ,

请大家注意国庆期间防范病毒安全问题,最近恶意导航网站有卷土重来之势,多台电脑被3929.cn和go2000.com困扰,中此类病毒的用户多是上网经验不足导致:想畅游互联网又不知道网址,结果被恶意网站钻了空子.根据目前掌握情况分析:深度系统中go2000.com几率大一些(希望不是巧合)由于病毒使用了自我独占保护方式,常规手段并不能彻底清除,个人用户手动清理有些麻烦,我手中的样本已经提交各大杀毒公司,估计很快会有结果

go2000.com主页查杀方法
1.展开注册表HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
将其值C:\Program Files\Internet Explorer\IEXPLORE.EXE “h*p://www.go2000.cn/”后的”h*p://www.go2000.cn/”去掉
2.展开注册表HKEY_CLASSES_ROOT\http\shell\open\command
将其值C:\Program Files\Internet Explorer\IEXPLORE.EXE “h*p://www.go2000.cn/”后的”h*p://www.go2000.cn/”去掉
3.展开注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run删除SoundMan值,对应msconfig.exe
4.找到%system32%下msconfig.exe 将其删除
5.删除各IE快捷方式中的”h*p://www.go2000.cn/” 后辍
6.在internet选项中将主页设置为空白页
3929.cn主页查杀方法(作者:Coderui)
病毒EXE主程序部分:
文件大小:35840字节
MD5 校验:ecebfb14005544cc4014d0fbf601f7a0
加壳名称:UPX 0.89.6 – 1.02 / 1.05 – 1.24 -> Markus & Laszlo
开发工具:Microsoft Visual C++ 6.0
壳结尾处:004194EB  – E9 1CA9FEFF     JMP l9.00403E0C
入口地址:00003E0C
解密函数(所有用到的字符串都是加密存放的):
00403869    E8 12F5FFFF     CALL l9.00402D80
解密后的所有字符串如下:
0012FE58   0040BFD4  ASCII “{701407A4-B171-4E8A-AD7C-F594B07B2800}”
0012FE78   0040BFFC  ASCII “%s\%s.dll”
0040C008=l9.0040C008 (ASCII “%s\drivers\%s.sys”)
0040C020=l9.0040C020 (ASCII “rundll32.exe”)
0040C030=l9.0040C030 (ASCII “DllRegisterServer”)
0040C044=l9.0040C044 (ASCII “%s\%s %s\%s.dll,%s”)
0040C058=l9.0040C058 (ASCII “NotePad”)
0040C060=l9.0040C060 (ASCII “WinWord”)
0040C068=l9.0040C068 (ASCII “\msvcrt.dll”)
0040C074=l9.0040C074 (ASCII “\\.\Global\rkdoor”)
0040C088=l9.0040C088 (ASCII “\\.\Global\LocalSystemX”)
0040C0A8=l9.0040C0A8 (ASCII “SOFTWARE\Microsoft\Windows\CurrentVersion\”)
0040C0D4=l9.0040C0D4 (ASCII “ping -n 3 127.0.0.1>nul”)
0040C0EC=l9.0040C0EC (ASCII “:Repeat”)
0012FE48   0040C0F4  ASCII “del “%s””
0040C100=l9.0040C100 (ASCII “if exist “%s” goto Repeat”)
0040C11C=l9.0040C11C (ASCII “cd %c:\”)
0040C124=l9.0040C124 (ASCII “del %0”)
0040C12C=l9.0040C12C (ASCII “%s\%s.bat”)
运行函数:
004038F2    E8 29E3FFFF     CALL l9.00401C20
创建窗口:
00401C66    FF15 C8404000   CALL DWORD PTR DS:[4040C8]               ; USER32.CreateWindowExA
程序会在创建窗口的过程中,运行如下代码(只摘录了函数入口地址):
004020F0    55              PUSH EBP
病毒执行的功能函数(放的地方很隐蔽,一般很难动态跟踪定位到这里):
00402136    E8 B5F1FFFF     CALL l9.004012F0       ;以读写方式打开设备”\\.\Global\rkdoor”
0040213B    85C0            TEST EAX,EAX           ;对比
0040213D    75 05           JNZ SHORT l9.00402144  ;判断设备是否可以打开(是否存在)
0040213F    E8 2C130000     CALL l9.00403470       ;不存在则在这里创建,并进行所有其它的安装操作
释放病毒DLL组件文件(文件名随机):
C:\WINDOWS\system32\*.dll
释放病毒驱动文件(文件名随机,驱动以服务方式安装运行):
C:\WINDOWS\system32\drivers\*.sys
创建注册表标记项:
00402D41    E8 BAE2FFFF     CALL l9.00401000
注册表标记项位置如下(名称全部随机):
“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\AfUlRqs”
0012EF1C   0012F2BC  |ValueName = “vybx”
0012EF1C   0012F2EC  |ValueName = “mqnyr”
0012EF1C   0012F334  |ValueName = “ejusad”
0012EF1C   0012F31C  ASCII “vensham”
加载运行释放出来的病毒DLL组件程序:
0012F054   0012F07C  ASCII “C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\*.dll,DllRegisterServer”
创建批处理文件调用运行,实现自我删除:
C:\WINDOWS\system32\*.bat
关闭退出
———————————————————————————————–
病毒DLL组件部分:
文件大小:45056字节
MD5 校验:文件MD5值不固定,受配置信息干扰
开发工具:Microsoft Visual C++ 6.0 DLL
未加壳,但DLL中的所有字符串全部加密保存
DLL中有4个导出函数:
DllCanUnloadNow
DllGetClassObject
DllRegisterServer
DllUnregisterServer
恶意网址:
h*p://www.outhang.cn/api.php?
h*p://www.outhang.cn/update.php?
表单结构:
id=%d&mac=%s&type=%d&setupdate=%d%02d%02d&homepage=%s
id=%d&updateversion=%d
———————————————————————————————–
病毒SYS驱动部分:
文件大小:28608字节
MD5 校验:文件MD5值不固定,受配置信息干扰
驱动功能:
1、保护病毒主程序释放出来的DLL文件、SYS文件和系统HOSTS文件(利用System进程以独占方式打开文件),使之不被修改、删除
2、监视保护驱动程序自身服务启动项,删除后会重新创建
3、驱动服务启动(启动优先级为”Boot”)后,会自动调用DLL组件运行(用”rundll32.exe”加载调用)
4、设置系统IE浏览器的默认首页为”h*p://www.3929.cn/?tn=102731″(“tn=”后面的编号不唯一)
该病毒就只有唯一一个启动项,那就是这个恶意驱动程序的服务项,启动优先级为”Boot”
———————————————————————————————–
直接手动删除该病毒的方法步骤(经过实际测试绝对有效):
第一步:寻找判断定位病毒释放出来的DLL和SYS的文件名称(DLL和SYS加一起一共两个文件)
第二步:关闭掉System进程打开的DLL和SYS文件的句柄
第三步:删除掉SYS驱动文件
第四步:重新启动计算机,然后删除掉DLL组件文件
第五步:删除掉驱动的服务启动和其它注册表残留
第六步:打开”IE设置选项”,设置您想要设置的默认IE浏览器主页
第七步:使用杀毒软件进行全盘查杀病毒(该病毒为木马下载器下载到您计算机中的病毒,那个木马下载器还下载了N多其它病毒也同时安装到了您的计算机系统中)
第八步:该病毒
清理完毕
目前还没有任何评论.