瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【原创】阴狠的hgz.exe木马★★★★

123456   1  /  6  页   跳转

【原创】阴狠的hgz.exe木马★★★★

收藏
闪电风暴
头像
特邀体验者
  • 帖子:5462
  • 注册: 2005-01-12
  • 来自:0GiNr
发表于: 2006-08-06 11:50 | 只看楼主 短消息 资料
字号: 1楼

【原创】阴狠的hgz.exe木马★★★★

有一位会员给的样本,忘记了名字,不好意思哈.
这个hgz.exe只是一个下载器(才11KB),负责下载木马.
木马行为:
运行后,
生成C:\win30.exe
%system%\mstcf.dll(木马通过它设置全局钩子)
创建文件夹
C:\Program Files\Internet Explorer\PLUGINS
下有一个文件:new123.sys,木马win30.exe利用这个文件加载并注入explorer.exe进程

在C:\下载创建文件:autoexec.bat,里面内容如下:

:try
del "c:\win30.exe
if exist "c:\win30.exe goto try
del %0

企图在感染完成后,删除木马源文件

扫描HijackThis日志,无任何异常.
扫出Autoruns,才发现:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks   
+ new123.sys=c:\program files\internet explorer\plugins\new123.sys

采用了一种较为罕见的注入方式.

注册表还添加了:


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3D0D422-CE6D-47B3-9CE6-C54DD63F1ADB}]
@=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3D0D422-CE6D-47B3-9CE6-C54DD63F1ADB}\InProcServer32]
@="C:\\Program Files\\Internet Explorer\\PLUGINS\\new123.sys"
"ThreadingModel"="Apartment"

达到加载驱动的目的

清除方法:
结束explorer.exe进程.
删除C:\Program Files\Internet Explorer\PLUGINS\new123.sys(这是隐藏文件,请显示隐藏文件与系统文件后删除.)
清理注册表:
删除:[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    new123.sys=c:\program files\internet explorer\plugins\new123.sys
删除:
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3D0D422-CE6D-47B3-9CE6-C54DD63F1ADB}]
删除C:\autoexec.bat


重启系统
如果有C:\win30.exe,那么删除它.
删除:hgz.exe
删除:%system%\mstcf.dll

清空临时文件夹

请教baohe版主,这个木马似乎没有EXE可执行文件啊.怎么找到?
最后编辑2006-08-11 10:14:32
分享到:
gototop
 
westbeck
头像
初生襁褓狮
  • 帖子:3572
  • 注册: 2006-07-27
  • 来自:
发表于: 2006-08-06 11:51 | 短消息 资料
字号: 2楼

关注中...
gototop
 
mopery
头像
卡卡技术团队
  • 帖子:17737
  • 注册: 2005-12-06
  • 来自:New York
卡卡名人堂论坛9周年纪念
发表于: 2006-08-06 11:53 | 短消息 资料
字号: 3楼

bin59420@yahoo.com.cn

闪电 送近来..
gototop
 
闪电风暴
头像
特邀体验者
  • 帖子:5462
  • 注册: 2005-01-12
  • 来自:0GiNr
发表于: 2006-08-06 11:54 | 只看楼主 短消息 资料
字号: 4楼

等等我先测试完
gototop
 
ad209
头像
初生襁褓狮
  • 帖子:31
  • 注册: 2006-08-04
  • 来自:
发表于: 2006-08-06 11:55 | 短消息 资料
字号: 5楼

这就是我中的病毒,大家知道有解决的方法么?这东西杀掉了过段时间还会有,不知道为什么
gototop
 
baohe
头像
大版主
  • 帖子:72569
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-08-06 12:02 | 短消息 资料
字号: 6楼

引用:
【闪电风暴的贴子】................

扫描HijackThis日志,无任何异常.
扫出Autoruns,才发现:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks   
+ new123.sys=c:\program files\internet explorer\plugins\new123.sys

采用了一种较为罕见的注入方式.


………………

通过ShellExecuteHooks加载执行,HijackThis扫不出来的。
这种加载方式——“刘麻子”用。
gototop
 
闪电风暴
头像
特邀体验者
  • 帖子:5462
  • 注册: 2005-01-12
  • 来自:0GiNr
发表于: 2006-08-06 12:08 | 只看楼主 短消息 资料
字号: 7楼

引用:
【ad209的贴子】这就是我中的病毒,大家知道有解决的方法么?这东西杀掉了过段时间还会有,不知道为什么
………………

这就是那个hgz.exe发现木马被删除了,又下载了一下,或者:
C:\autoexec.bat在开机自动启动时加载了木马.
gototop
 
闪电风暴
头像
特邀体验者
  • 帖子:5462
  • 注册: 2005-01-12
  • 来自:0GiNr
发表于: 2006-08-06 12:10 | 只看楼主 短消息 资料
字号: 8楼

引用:
【mopery的贴子】bin59420@yahoo.com.cn

闪电 送近来..
………………

已经发送
gototop
 
闪电风暴
头像
特邀体验者
  • 帖子:5462
  • 注册: 2005-01-12
  • 来自:0GiNr
发表于: 2006-08-06 12:12 | 只看楼主 短消息 资料
字号: 9楼

图:

附件附件:

下载次数:317
文件类型:image/pjpeg
文件大小:
上传时间:2006-8-6 12:12:33
描述:
预览信息:EXIF信息
gototop
 
闪电风暴
头像
特邀体验者
  • 帖子:5462
  • 注册: 2005-01-12
  • 来自:0GiNr
发表于: 2006-08-06 12:14 | 只看楼主 短消息 资料
字号: 10楼

附件附件:

下载次数:285
文件类型:image/pjpeg
文件大小:
上传时间:2006-8-6 12:14:21
描述:
预览信息:EXIF信息
gototop
 
<<上一主题|下一主题>>
123456   1  /  6  页   跳转
页面顶部
Powered by Discuz!NT