中华黑豹增强版木马分析
樣本網址:http://download.csdn.net/detail/cs08211317dn/4144024
一.???????????大致描述:
1.??????樣本名稱:中華黑豹增強版.exe
2.??????家族名:?TrojanDownloader:VBS/Lnkget.D(Microsoft)
3.?????? MD5: 58D57C99F8B8836D20BB58B320FDF496
4.??????技術細節大致描述: 木馬快速格式化除C盤外的硬盤,并在桌面以及除C盤外的硬盤內寫入大量特殊名字的空文件夾。這些空文件夾不能直接手動刪除。
5.??????樣本運行后現象:
木馬會循環播放一段提示中毒的聲音。桌面會變
成如下情況。除了C盤以外的盤被格式化并寫入大量空文件夾,桌面上也被創建了大量空文件夾。
等到彈窗倒計時結束后,計算機會自動關閉。
二.技術細節
1. 進程中華黑豹增強版.exe創建文件C:\WINDOWS\system\CHINAHEIBAO\1.vbs,C:\WINDOWS\system\CHINAHEIBAO\3.vbs,C:\WINDOWS\system\CHINAHEIBAO\2.exe,C:\WINDOWS\system\CHINAHEIBAO\8.exe,C:\WINDOWS\system\CHINAHEIBAO\死機.exe,C:\WINDOWS\system\CHINAHEIBAO\提示1.exe,C:\WINDOWS\system\CHINAHEIBAO\提示2.exe,C:\WINDOWS\system\CHINAHEIBAO\3.bat,C:\WINDOWS\system\CHINAHEIBAO\Qingchu.bat,C:\WINDOWS\system\CHINAHEIBAO\ZhuYao.bat。
進程中華黑豹增強版.exe用命令行"C:\WINDOWS\System32\WScript.exe""C:\WINDOWS\system\CHINAHEIBAO\1.VBS"創建新進程C:\WINDOWS\System32\WScript.exe,其中1.VBS的內容如下:
2. 進程c:\windows\system32\cmd.exe用命令cmd /c""C:\WINDOWS\system\CHINAHEIBAO\ZhuYao.bat" /start"調用批處理文件ZhuYao.bat。用記事本打開這個文件發現全是亂碼。
用如下attrib命令ATTRIB\WINDOWS\system\CHINAHEIBAO +S +R +H,設置WINDOWS\system\CHINAHEIBAO文件夾屬性為系統、只讀和隱藏。
用regedit命令regedit.exe /s 1.reg將1.reg中的內容寫入注冊表,以禁用任務管理器,1.reg內容如下:
進程c:\windows\system32\cmd.exe連續用命令行format e:/q /y,format f:/q /y,format g:/q /y,format h:/q /y,format i:/q /y,format j:/q /y,format k:/q /y format L:/q /y,format M:/q /y,快速格式化E盤,F盤,G盤等。
進程c:\windows\system32\cmd.exe刪除文件C:\WINDOWS\system32\gpedit.msc,此文件為組策略管理器。
進程c:\windows\system32\cmd.exe用命令行attrib "C:\Documents and Settings\Administrator\「開始」菜單\程序\啟動" +h +s +r,修改文件夾C:\Documents and Settings\Administrator\「開始」菜單\程序\啟動的屬性為系統、只讀和隱藏。
進程c:\windows\system32\cmd.exe創建文件C:\Documents and Settings\Administrator\「開始」菜單\程序\啟動\Qingchu.bat。
進程c:\windows\system32\cmd.exe用命令行reg add"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIcons" /v 3 /d "\WINDOWS\system\"CHINAHEIBAO\1.ico",0"/f,以修改文件夾圖標為WINDOWS\system\"CHINAHEIBAO\1.ico。
進程c:\windows\system32\cmd.exe創建進程c:\windows\system\chinaheibao\2.exe和c:\windows\system\chinaheibao\8.exe。
進程c:\windows\system32\cmd.exe用命令行"C:\WINDOWS\System32\WScript.exe""C:\WINDOWS\system\CHINAHEIBAO\3.vbs"。文件3.vbs內容截圖如下:
進程c:\windows\system32\cmd.exe創建新進程c:\windows\system\chinaheibao\提示1.exe和c:\windows\system\chinaheibao\提示2.exe,以顯示如下兩個窗口:
進程c:\windows\system32\cmd.exe連續循環調用以下5條命令行:reg add "hkcu\control panel\desktop"/v "wallpaper" /d "\WINDOWS\system\CHINAHEIBAO\1.BMP" /f,reg add "hkcu\control panel\desktop" /v"wallpaper" /d "\WINDOWS\system\CHINAHEIBAO\2.BMP" /f,reg add "hkcu\control panel\desktop" /v"wallpaper" /d "\WINDOWS\system\CHINAHEIBAO\3.BMP" /f,reg add "hkcu\control panel\desktop" /v"wallpaper" /d "\WINDOWS\system\CHINAHEIBAO\4.BMP" /f,reg add "hkcu\control panel\desktop" /v"wallpaper" /d "\WINDOWS\system\CHINAHEIBAO\5.BMP" /f,以使得桌面在1.bmp到5.bmp這5張圖片之間切換。
進程c:\windows\system32\cmd.exe用命令行shutdown.exe -s -t 300 -c "非常抱歉!系統檢測到了?中華黑豹? 病毒,Windows正在后臺緊急處理,請稍等,不要關閉計算機,系統將自動關閉",使得彈出如下對話框:
并且系統在倒計時結束之后自動關閉。
進程c:\windows\system32\reg.exe修改注冊表項HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools的值為0x00000001(1),以禁用注冊表編輯器。
進程c:\windows\system32\cmd.exe創建新進程c:\windows\system\chinaheibao\死機.exe。
進程: c:\windows\system32\cmd.exe用命令行mshta "javascript:newActiveXObject('WMPlayer.OCX').cdromCollection.Item(0).Eject();window.close();"創建進程mshta.exe。
3.木馬會在桌面以及除了C盤以外的硬盤里生成大量命名特殊的空文件夾,截圖如下:
試圖直接刪除這些文件夾,刪除時報錯:
用xuetr刪除失敗,用xuetr強制刪除成功。也可以先用xuetr重命名文件,去除文件末尾的“.”,然后再直接刪除文件。
無法直接刪除這些文件夾的原因是XXXXXXXXXXXXXX.這樣的文件名不符合8.3的命名規制,WINDOWS下允許建立不符合8.3命名規則的文件,但是在刪除時會找不到文件。
三. 手殺方案
1.?????? 中病毒之后重啟計算機
2.??????手動刪除C:\WINDOWS\system\CHINAHEIBAO文件夾(此時里面的文件已經都自動刪除了)。
3.??????刪除注冊表項HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskmgr和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools,以使任務管理器和注冊表編輯器可用。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIcons
4.??????用xuetr強制刪除桌面以及除了C盤以外硬盤中的空文件夾。或者先用xuetr重命名文件夾,去掉文件名最后的“.”,然后直接手動刪除文件。
總結
以上是生活随笔為你收集整理的中华黑豹增强版木马分析的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: nagios远程系统监测服务
- 下一篇: JSP的9个内置对象-response