樣本網(wǎng)址：http://download.csdn.net/detail/cs08211317dn/4144024

一．???????????大致描述：

1.??????樣本名稱：中華黑豹增強(qiáng)版.exe

2.??????家族名：?TrojanDownloader:VBS/Lnkget.D(Microsoft)

3.?????? MD5： 58D57C99F8B8836D20BB58B320FDF496

4.??????技術(shù)細(xì)節(jié)大致描述: 木馬快速格式化除C盤外的硬盤，并在桌面以及除C盤外的硬盤內(nèi)寫入大量特殊名字的空文件夾。這些空文件夾不能直接手動(dòng)刪除。

5.??????樣本運(yùn)行后現(xiàn)象：

木馬會(huì)循環(huán)播放一段提示中毒的聲音。桌面會(huì)變

成如下情況。除了C盤以外的盤被格式化并寫入大量空文件夾，桌面上也被創(chuàng)建了大量空文件夾。

等到彈窗倒計(jì)時(shí)結(jié)束后，計(jì)算機(jī)會(huì)自動(dòng)關(guān)閉。

二.技術(shù)細(xì)節(jié)

1. 進(jìn)程中華黑豹增強(qiáng)版.exe創(chuàng)建文件C:\WINDOWS\system\CHINAHEIBAO\1.vbs，C:\WINDOWS\system\CHINAHEIBAO\3.vbs，C:\WINDOWS\system\CHINAHEIBAO\2.exe，C:\WINDOWS\system\CHINAHEIBAO\8.exe，C:\WINDOWS\system\CHINAHEIBAO\死機(jī).exe，C:\WINDOWS\system\CHINAHEIBAO\提示1.exe，C:\WINDOWS\system\CHINAHEIBAO\提示2.exe，C:\WINDOWS\system\CHINAHEIBAO\3.bat，C:\WINDOWS\system\CHINAHEIBAO\Qingchu.bat，C:\WINDOWS\system\CHINAHEIBAO\ZhuYao.bat。

進(jìn)程中華黑豹增強(qiáng)版.exe用命令行"C:\WINDOWS\System32\WScript.exe""C:\WINDOWS\system\CHINAHEIBAO\1.VBS"創(chuàng)建新進(jìn)程C:\WINDOWS\System32\WScript.exe，其中1.VBS的內(nèi)容如下：

2. 進(jìn)程c:\windows\system32\cmd.exe用命令cmd /c""C:\WINDOWS\system\CHINAHEIBAO\ZhuYao.bat" /start"調(diào)用批處理文件ZhuYao.bat。用記事本打開(kāi)這個(gè)文件發(fā)現(xiàn)全是亂碼。

用如下attrib命令A(yù)TTRIB\WINDOWS\system\CHINAHEIBAO +S +R +H，設(shè)置WINDOWS\system\CHINAHEIBAO文件夾屬性為系統(tǒng)、只讀和隱藏。

用regedit命令regedit.exe /s 1.reg將1.reg中的內(nèi)容寫入注冊(cè)表，以禁用任務(wù)管理器，1.reg內(nèi)容如下：

進(jìn)程c:\windows\system32\cmd.exe連續(xù)用命令行format e:/q /y，format f:/q /y，format g:/q /y，format h:/q /y，format i:/q /y，format j:/q /y，format k:/q /y format L:/q /y，format M:/q /y，快速格式化E盤，F盤，G盤等。

進(jìn)程c:\windows\system32\cmd.exe刪除文件C:\WINDOWS\system32\gpedit.msc，此文件為組策略管理器。

進(jìn)程c:\windows\system32\cmd.exe用命令行attrib "C:\Documents and Settings\Administrator\「開(kāi)始」菜單\程序\啟動(dòng)" +h +s +r，修改文件夾C:\Documents and Settings\Administrator\「開(kāi)始」菜單\程序\啟動(dòng)的屬性為系統(tǒng)、只讀和隱藏。

進(jìn)程c:\windows\system32\cmd.exe創(chuàng)建文件C:\Documents and Settings\Administrator\「開(kāi)始」菜單\程序\啟動(dòng)\Qingchu.bat。

進(jìn)程c:\windows\system32\cmd.exe用命令行reg add"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIcons" /v 3 /d "\WINDOWS\system\"CHINAHEIBAO\1.ico",0"/f，以修改文件夾圖標(biāo)為WINDOWS\system\"CHINAHEIBAO\1.ico。

進(jìn)程c:\windows\system32\cmd.exe創(chuàng)建進(jìn)程c:\windows\system\chinaheibao\2.exe和c:\windows\system\chinaheibao\8.exe。

進(jìn)程c:\windows\system32\cmd.exe用命令行"C:\WINDOWS\System32\WScript.exe""C:\WINDOWS\system\CHINAHEIBAO\3.vbs"。文件3.vbs內(nèi)容截圖如下：

進(jìn)程c:\windows\system32\cmd.exe創(chuàng)建新進(jìn)程c:\windows\system\chinaheibao\提示1.exe和c:\windows\system\chinaheibao\提示2.exe，以顯示如下兩個(gè)窗口：

進(jìn)程c:\windows\system32\cmd.exe連續(xù)循環(huán)調(diào)用以下5條命令行：reg add "hkcu\control panel\desktop"/v "wallpaper" /d "\WINDOWS\system\CHINAHEIBAO\1.BMP" /f，reg add "hkcu\control panel\desktop" /v"wallpaper" /d "\WINDOWS\system\CHINAHEIBAO\2.BMP" /f，reg add "hkcu\control panel\desktop" /v"wallpaper" /d "\WINDOWS\system\CHINAHEIBAO\3.BMP" /f，reg add "hkcu\control panel\desktop" /v"wallpaper" /d "\WINDOWS\system\CHINAHEIBAO\4.BMP" /f，reg add "hkcu\control panel\desktop" /v"wallpaper" /d "\WINDOWS\system\CHINAHEIBAO\5.BMP" /f，以使得桌面在1.bmp到5.bmp這5張圖片之間切換。

進(jìn)程c:\windows\system32\cmd.exe用命令行shutdown.exe -s -t 300 -c "非常抱歉！系統(tǒng)檢測(cè)到了?中華黑豹? 病毒，Windows正在后臺(tái)緊急處理，請(qǐng)稍等，不要關(guān)閉計(jì)算機(jī)，系統(tǒng)將自動(dòng)關(guān)閉"，使得彈出如下對(duì)話框：

并且系統(tǒng)在倒計(jì)時(shí)結(jié)束之后自動(dòng)關(guān)閉。

進(jìn)程c:\windows\system32\reg.exe修改注冊(cè)表項(xiàng)HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools的值為0x00000001(1)，以禁用注冊(cè)表編輯器。

進(jìn)程c:\windows\system32\cmd.exe創(chuàng)建新進(jìn)程c:\windows\system\chinaheibao\死機(jī).exe。

進(jìn)程: c:\windows\system32\cmd.exe用命令行mshta "javascript:newActiveXObject('WMPlayer.OCX').cdromCollection.Item(0).Eject();window.close();"創(chuàng)建進(jìn)程mshta.exe。

3.木馬會(huì)在桌面以及除了C盤以外的硬盤里生成大量命名特殊的空文件夾，截圖如下：

試圖直接刪除這些文件夾，刪除時(shí)報(bào)錯(cuò)：

用xuetr刪除失敗，用xuetr強(qiáng)制刪除成功。也可以先用xuetr重命名文件，去除文件末尾的“.”，然后再直接刪除文件。

無(wú)法直接刪除這些文件夾的原因是XXXXXXXXXXXXXX.這樣的文件名不符合8.3的命名規(guī)制，WINDOWS下允許建立不符合8.3命名規(guī)則的文件，但是在刪除時(shí)會(huì)找不到文件。

三. 手殺方案

1.?????? 中病毒之后重啟計(jì)算機(jī)

2.??????手動(dòng)刪除C:\WINDOWS\system\CHINAHEIBAO文件夾（此時(shí)里面的文件已經(jīng)都自動(dòng)刪除了）。

3.??????刪除注冊(cè)表項(xiàng)HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskmgr和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools，以使任務(wù)管理器和注冊(cè)表編輯器可用。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIcons

4.??????用xuetr強(qiáng)制刪除桌面以及除了C盤以外硬盤中的空文件夾。或者先用xuetr重命名文件夾，去掉文件名最后的“.”，然后直接手動(dòng)刪除文件。

總結(jié)

以上是生活随笔為你收集整理的中华黑豹增强版木马分析的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。