這個算是病毒還是木馬？

ysj

除了轉帳，平常我幾乎不用IE，可能最近不曉得為什麼，
常常無緣要故就彈跳出一個IE的視窗，
找了一下，是這支程式在做怪，
只可惜，公司的NORTON太不爭氣，一直抓不到這支，
每次都要我自己去SYSTEM32裏面去砍，
但是砍了，過了一陣子又會出來，
有沒有可能這支是木馬，所以公司的防毒軟體抓不到？
若是，有沒有那一套比較推薦的掃木馬軟體可以使用？
最好是免費的。

mayakeq

用google找到網頁存檔的
原始網頁已經找不到
就直接貼過來囉
==========================================
名稱: 74be16.exe
語言: DaYou WuTao E Language 4.1x
類型: Trojan/Agent;
MD5: 8A76A03FF7EB4D626036DD0DD5BCAE4F
加殼: UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo [Overlay]
大小: 1.30 兆字節 (1,371,116 字節)
時間: 2009年4月13日, 22:51:29
SAL#09047
safelab.spaces.live.com
(感謝935***提供樣本)

概述：這是一個易語言編寫的木馬，使用文件夾圖標，部分變種有U盤傳播的可能(由183***提供的樣本具有此功能)。

脫殼：
00432AB0 > $  60            pushad
00432AB1   .  BE 00F04000   mov     esi, 0040F000
00432AB6   .  8DBE 0020FFFF lea     edi, dword ptr [esi+FFFF2000]
00432ABC   .  57            push    edi
到UPX解壓數據後的大跳轉
00432C2E   .^\75 FA         jnz     short 00432C2A
00432C30   .  83EC 80       sub     esp, -80
00432C33   .- E9 4BE6FCFF   jmp     00401283
UPX解壓完成
00401283    52              push    edx                              ; ntdll.KiFastSystemCallRet
00401284    56              push    esi
00401285    57              push    edi
在.rsrc段F2下斷，之後shift+f9來到：
7C93280D    66:8B50 0C      mov     dx, word ptr [eax+C]
7C932811    66:8955 B0      mov     word ptr [ebp-50], dx
7C932815    8D70 10         lea     esi, dword ptr [eax+10]
7C932818    8975 90         mov     dword ptr [ebp-70], esi
7C93281B    8B55 0C         mov     edx, dword ptr [ebp+C]
Alt+f9一次來到：
100159F3    8B4C24 18       mov     ecx, dword ptr [esp+18]
100159F7    6A 00           push    0
100159F9    6A 10           push    10
100159FB    6A 10           push    10
100159FD    6A 01           push    1
在code段F2下斷，shift+f9來到：
00423862    55              push    ebp
00423863    8BEC            mov     ebp, esp
00423865    81EC 3C000000   sub     esp, 3C
0042386B    C745 FC 0000000>mov     dword ptr [ebp-4], 0
00423872    68 08000000     push    8
00423877    E8 62780000     call    0042B0DE
0042387C    83C4 04         add     esp, 4
0042387F    8945 F8         mov     dword ptr [ebp-8], eax
00423882    8BF8            mov     edi, eax

動作：
程序會使用LoadLibraryA加載ntdll.dll，並試圖使用ZwOpenSection, ZwMapViewOfSection等訪問物理內存，在操作過程中，程序也時常使用Sleep 300來短暫休眠。程序會創建%system32%\0f6226，%system32%\5a8dcc\，%system32% \76682f，%system32%\acf7ef\四個文件夾，以及%temp%目錄下一個文件夾用於釋放易語言庫之用。程序同樣會釋放庫到 5a8dcc文件夾中，同時會複製自己到acf7ef下的74BE16.EXE。

如果程序名稱不是74be16.exe，程序會試圖獲取當前程序完整路徑，並去除.exe後綴，然後調用Explorer [處理後路徑]來啟動同名文件夾，這個動作和昨天分析的Hider是一樣的。執行完explorer之後，程序將會打開74be16.exe，此時程序退出。

74be16.exe啟動後，將會創建一個快捷方式到%userprofile%\current\「開始」菜單\程序\啟動\中，名稱為74be16.lnk，指向74be16.exe，確保每次系統啟動時，程序可以被加載。

清理：
1, 結束進程74be16.exe
2, 刪除文件夾%system32%\0f6226，%system32%\5a8dcc\，%system32%\76682f，%system32%\acf7ef\和下面的所有文件
3, 如果出現大面積文件夾被隱藏的情況，可以參考http://safelab.spaces.live.com/blog/cns!A6B213403DBD59AF!1157.entry中的腳本，file2.size=57344改為file2.size=1371116或在您機器上實際大小同樣可以清理此病毒。
4, 同時建議清理*:\autorun.inf，*:\recycle.exe（如果有的話，此變種中看到他試圖生成recycle但是最後一個跳轉跳走了，沒有生成，估計其他變種可能有這個動作）
5, 刪除文件%userprofile%\current\「開始」菜單\程序\啟動\74be16.lnk
6, 重新啟動計算機

superbrd

小弟前陣子也遇過類似的,
它會在USB隨身碟製造一個跟資料夾名稱一樣的EXE(連ICO都是資料夾的圖型),然後會將原本所模仿的資料夾隱藏,讓使用者誤以為這個木馬EXE就是你想開的資料夾而誤點,神奇的是它真的還幫你新視窗開啟你所要檢視的該資料夾~~~ 檢視隱藏檔的功能看來都要開著比較保險~

ysj

難怪我覺得奇怪，怎麼我的資料夾有的變成隱藏的，
原來又是亂插USB中的，既然是USB的毒，
馬上去抓最新版的EFix，現在已經全部掃掉了。
但是後來發現光掃掉還是沒用，他會有個資料夾的圖示，
但類型卻是應用程式，這個一定要砍掉，
不然一點進去，又會中獎。

superbrd

難怪我覺得奇怪，怎麼我的資料夾有的變成隱藏的，
原來又是亂插USB中的，既然是USB的毒，
馬上去抓最新版的EFix，現在已經全部掃掉了。
但是後來發現光掃掉還是沒用，他會有個資料夾的圖示，
但類型卻是應用程式 ...
ysj 發表於 2009-4-26 11:07

哈哈~ 對~ 就是這樣~
感謝 ysj 兄的 "範例" XD~