PALMisLIFE 討論區

標題: 這個算是病毒還是木馬？ [列印本頁]

作者: ysj 時間: 2009-4-25 20:17
標題: 這個算是病毒還是木馬？
除了轉帳，平常我幾乎不用IE，可能最近不曉得為什麼，
常常無緣要故就彈跳出一個IE的視窗，
找了一下，是這支程式在做怪，
只可惜，公司的NORTON太不爭氣，一直抓不到這支，
每次都要我自己去SYSTEM32裏面去砍，
但是砍了，過了一陣子又會出來，
有沒有可能這支是木馬，所以公司的防毒軟體抓不到？
若是，有沒有那一套比較推薦的掃木馬軟體可以使用？
最好是免費的。

作者: mayakeq 時間: 2009-4-25 20:43
用google找到網頁存檔的
原始網頁已經找不到
就直接貼過來囉
==========================================
名稱: 74be16.exe
語言: DaYou WuTao E Language 4.1x
類型: Trojan/Agent;
MD5: 8A76A03FF7EB4D626036DD0DD5BCAE4F
加殼: UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo [Overlay]
大小: 1.30 兆字節 (1,371,116 字節)
時間: 2009年4月13日, 22:51:29
SAL#09047
safelab.spaces.live.com
(感謝935***提供樣本)

概述：這是一個易語言編寫的木馬，使用文件夾圖標，部分變種有U盤傳播的可能(由183***提供的樣本具有此功能)。

脫殼：
00432AB0 > $  60          pushad
00432AB1 .  BE 00F04000 mov    esi, 0040F000
00432AB6 .  8DBE 0020FFFF lea    edi, dword ptr [esi+FFFF2000]
00432ABC .  57          push edi
到UPX解壓數據後的大跳轉
00432C2E .^\75 FA       jnz    short 00432C2A
00432C30 .  83EC 80    sub    esp, -80
00432C33 .- E9 4BE6FCFF jmp    00401283
UPX解壓完成
00401283 52             push edx                            ; ntdll.KiFastSystemCallRet
00401284 56             push esi
00401285 57             push edi
在.rsrc段F2下斷，之後shift+f9來到：
7C93280D 66:8B50 0C    mov    dx, word ptr [eax+C]
7C932811 66:8955 B0    mov    word ptr [ebp-50], dx
7C932815 8D70 10       lea    esi, dword ptr [eax+10]
7C932818 8975 90       mov    dword ptr [ebp-70], esi
7C93281B 8B55 0C       mov    edx, dword ptr [ebp+C]
Alt+f9一次來到：
100159F3 8B4C24 18    mov    ecx, dword ptr [esp+18]
100159F7 6A 00          push 0
100159F9 6A 10          push 10
100159FB 6A 10          push 10
100159FD 6A 01          push 1
在code段F2下斷，shift+f9來到：
00423862 55             push ebp
00423863 8BEC          mov    ebp, esp
00423865 81EC 3C000000 sub    esp, 3C
0042386B C745 FC 0000000>mov    dword ptr [ebp-4], 0
00423872 68 08000000    push 8
00423877 E8 62780000    call 0042B0DE
0042387C 83C4 04       add    esp, 4
0042387F 8945 F8       mov    dword ptr [ebp-8], eax
00423882 8BF8          mov    edi, eax

動作：
程序會使用LoadLibraryA加載ntdll.dll，並試圖使用ZwOpenSection, ZwMapViewOfSection等訪問物理內存，在操作過程中，程序也時常使用Sleep 300來短暫休眠。程序會創建%system32%\0f6226，%system32%\5a8dcc\，%system32% \76682f，%system32%\acf7ef\四個文件夾，以及%temp%目錄下一個文件夾用於釋放易語言庫之用。程序同樣會釋放庫到 5a8dcc文件夾中，同時會複製自己到acf7ef下的74BE16.EXE。

如果程序名稱不是74be16.exe，程序會試圖獲取當前程序完整路徑，並去除.exe後綴，然後調用Explorer [處理後路徑]來啟動同名文件夾，這個動作和昨天分析的Hider是一樣的。執行完explorer之後，程序將會打開74be16.exe，此時程序退出。

74be16.exe啟動後，將會創建一個快捷方式到%userprofile%\current\「開始」菜單\程序\啟動\中，名稱為74be16.lnk，指向74be16.exe，確保每次系統啟動時，程序可以被加載。

清理：
1, 結束進程74be16.exe
2, 刪除文件夾%system32%\0f6226，%system32%\5a8dcc\，%system32%\76682f，%system32%\acf7ef\和下面的所有文件
3, 如果出現大面積文件夾被隱藏的情況，可以參考http://safelab.spaces.live.com/blog/cns!A6B213403DBD59AF!1157.entry中的腳本，file2.size=57344改為file2.size=1371116或在您機器上實際大小同樣可以清理此病毒。
4, 同時建議清理*:\autorun.inf，*:\recycle.exe（如果有的話，此變種中看到他試圖生成recycle但是最後一個跳轉跳走了，沒有生成，估計其他變種可能有這個動作）
5, 刪除文件%userprofile%\current\「開始」菜單\程序\啟動\74be16.lnk
6, 重新啟動計算機

作者: superbrd 時間: 2009-4-26 10:39
小弟前陣子也遇過類似的,
它會在USB隨身碟製造一個跟資料夾名稱一樣的EXE(連ICO都是資料夾的圖型),然後會將原本所模仿的資料夾隱藏,讓使用者誤以為這個木馬EXE就是你想開的資料夾而誤點,神奇的是它真的還幫你新視窗開啟你所要檢視的該資料夾~~~ 檢視隱藏檔的功能看來都要開著比較保險~

作者: ysj 時間: 2009-4-26 11:07
難怪我覺得奇怪，怎麼我的資料夾有的變成隱藏的，
原來又是亂插USB中的，既然是USB的毒，
馬上去抓最新版的EFix，現在已經全部掃掉了。
但是後來發現光掃掉還是沒用，他會有個資料夾的圖示，
但類型卻是應用程式，這個一定要砍掉，
不然一點進去，又會中獎。

作者: superbrd 時間: 2009-4-26 22:39

難怪我覺得奇怪，怎麼我的資料夾有的變成隱藏的，
原來又是亂插USB中的，既然是USB的毒，
馬上去抓最新版的EFix，現在已經全部掃掉了。
但是後來發現光掃掉還是沒用，他會有個資料夾的圖示，
但類型卻是應用程式 ...
ysj 發表於 2009-4-26 11:07

哈哈~ 對~ 就是這樣~
感謝 ysj 兄的 "範例" XD~

歡迎光臨 PALMisLIFE 討論區 (http://f.pil.tw/)