flyleaf 发表于 2009-2-4 19:20

Trojan/Win32.Murlo.aab[Downloader]分析

一、 病毒标签:
病毒名称: Trojan/Win32.Murlo.aab
病毒类型: 木马
文件 MD5: 460CDB6F5016A870FB7B36B45A79C586
公开范围: 完全公开
危害等级: 5
文件长度: 39,245 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: FSG 2.0 -> bart/xt
二、 病毒描述:
该病毒为后门类,病毒运行后判断该进程执行的线程数,如果小于或等于10个,则退出程序;判断创建的互斥体是否名为“puuyt”,若此互斥变量存在,则退出进程;解密数据释放文件“1696”到%Temp%目录下;解密数据得到安全软件的进程名称后查看进程列表,如果存在,结束进程;添加映像劫持使下载软件迅雷无法使用;若发现机器中运行360保险箱,获取该程序的执行路径并尝试通过在命令行中加入 /u参数对其进行卸载;修改注册表通过关闭360服务的方式使360失效;衍生文件“1”到%Windir%\tasks目录下,并将该文件拷贝到所有非系统驱动器下含扩展名为“exe”文件的目录下,并更名为usp10.dll;创建线程监视当前窗口类名是否为“AfxControlBar42s”,如果是则关闭该窗口;修改注册表隐藏具有隐藏属性的文件,隐藏具有系统属性的文件;创建线程监视进程列表中是否存在进程名为“cmd.exe”或“Thunder5.exe”的进程,如果存在关闭该进程;连接网络下载病毒地址列表,并依照列表下载病毒文件并执行;获取本机信息发送到指定地址;下载文件替换正常的hosts文件屏蔽部分域名;下载病毒文件的最新版本并执行;修改注册表创建服务提权,执行后删除服务和文件;修改系统输入法文件。
三、 行为分析:
本地行为:
1、文件运行后会释放以下文件
%System32%\ctfmon.exe
%Windir%\Tasks\1
%Temp%1696
%非系统驱动器下的含exe文件的目录%\usp10.dll
2、新增注册表
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden
新: DWORD: 2 (0x2)
旧: DWORD: 1 (0x1)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden
新: DWORD: 0 (0)
旧: DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Thunder5.exe\Debugger
键值: 字符串: "svchost.exe"
3、遍历进程,对特定进程进行处理
1)结束下列进程名
kavstart.exe、kissvc.exe、kmailmon.exe、kpfw32.exe、kpfwsvc.exe、kwatch.exe、 ccenter.exe、ras.exe、rstray.exe、rsagent.exe、ravtask.exe、ravstub.exe、ravmon.exe、ravmond.exe avp.exe、360safebox.exe、360Safe.exe、Thunder5.exe、rfwmain.exe、rfwstub.exe、rfwsrv.exe
2)对下面的进程进行实时监控,一经发现马上关闭
cmd.exe、thunder5.exe
4、检测当前窗口的类名称是否为“AfxControlBar42s”
向该窗口发送WM_CLOSE消息,并模拟键盘的回车键
5、创建提权服务,提升为SeDebugPrivilege权限
服务在注册表中的路径为:
HKLM\SYSTEM\CurrentControlSet\Services\io
6、调用控制码替换系统文件
建立“\\.\safebreas” 通过DeviceIoControl调用0x22001c,替换系统文件ctfmon.exe
网络行为:
1、连接网络下载病毒列表、依照列表下载样本并执行
地址:http://txt.hsdee**.com/oo.txt
IP:59.34.198.***
内容:

open=y
url1=http://www.wdswe**.com/new/new1.exe
url2=http://www.wdswe**.com/new/new2.exe
url3=http://www.wdswe**.com/new/new3.exe
url4=http://www.wdswe**.com/new/new4.exe
url5=http://www.wdswe**.com/new/new5.exe
url6=http://www.wdswe**.com/new/new6.exe
url7=http://www.wdswe**.com/new/new7.exe
url8=http://www.wdswe**.com/new/new8.exe
url9=http://www.wdswe**.com/new/new9.exe
url10=http://www.wdswe**.com/new/new10.exe
url11=http://www.wdswe**.com/new/new11.exe
url12=http://www.wdswe**.com/new/new12.exe
url13=http://www.wdswe**.com/new/new13.exe
url14=http://www.wdswe**.com/new/new14.exe
url15=http://www.wdswe**.com/new/new15.exe
url16=http://www1.wdswe**.com/new/new16.exe
url17=http://www1.wdswe**.com/new/new17.exe
url18=http://www1.wdswe**.com/new/new18.exe
url19=http://www1.wdswe**.com/new/new19.exe
url20=http://www1.wdswe**.com/new/new20.exe
url21=http://www1.wdswe**.com/new/new21.exe
url22=http://www1.wdswe**.com/new/new22.exe
url23=http://www1.wdswe**.com/new/new23.exe
url24=http://www1.wdswe**.com/new/new24.exe
url25=http://www1.wdswe**.com/new/new25.exe
url26=http://www1.wdswe**.com/new/new26.exe
url27=http://www1.wdswe**.com/new/new27.exe
url28=http://www1.wdswe**.com/new/new28.exe
count=28
2、下载文件替换hosts文件
地址:http://txt.hsdee**.com/ad.jpg
IP:59.34.1***.109
内容:
127.0.0.1**      v.onondown**.com.cn
127.0.0.2**       ymsdasdw1**.cn
127.0.0.3**       h96b**.info
127.0.0.0**       fuck.zttwp**.cn
127.0.0.0**       www.hackerbf**.cn
127.0.0.0**       zzz.2008wyt**.net
127.1.1.1**       999.2005wyt**.com
127.0.0.0**       ww.popdm**.cn
127.1.1.1**       bbt.etimes888**.com
127.1.1.1**       219.147.13.53*
127.1.1.1**       dl.360safe**.com
127.1.1.1**       20068080**.cn
127.1.1.1**       l.neter888**.cn
127.1.1.1**       stat.untang**.com
127.1.1.1**       www.ikdy**.cn
127.0.0.0**       geekbyfeng**.cn
127.0.0.0**       121.14.101.68*
127.0.0.0**       ppp.etimes888**.com
127.0.0.0**       www.bypk**.com
127.0.0.0**       CSC3-2004-crl.verisign**.com
127.0.0.1**      va9sdhun23**.cn
127.0.0.0**       udp.hjob123**.com
127.1.1.1**       999.hfdy2828**.com
127.1.1.1**       www.hfdy2929**.com
127.1.1.1**       www.xiazaide1**.cn
127.1.1.1**       www.vuf51579**.cn
127.1.1.1**       wm.eo2q**.cn
127.1.1.1**       d.www-263**.com
127.1.1.1**       www.ssy1688**.cn
127.1.1.1**       121.12.173.21*
127.1.1.1**       qq.18i16**.net
127.1.1.1**       a.baidu-6661**.com
127.1.1.1**       www.vuf51579**.cn
127.1.1.1**       www.1079223105**.cn
127.1.1.1**       home.xzx6**.cn
127.1.1.1**       top.fgc3**.cn
127.1.1.1**       165.246.44.22*
127.1.1.1**       wwww.ttfafa*.com
127.1.1.1**       pa.tt-09**.com
127.0.0.2**       bnasnd83nd**.cn
127.0.0.0**       www.gamehacker**.com.cn
127.0.0.0**       gamehacker.com**.cn
127.1.1.1**       www.cctv-100008**.cn
127.1.1.1**       222.73.208.14*
127.0.0.3**       adlaji**.cn
127.1.1.1**       aiyyw**.com
127.0.0.1**      858656**.com
127.1.1.1**       bnasnd83nd**.cn
127.0.0.1**      my123**.com
127.0.0.0**       user1.12-27**.net
127.0.0.1**      8749**.com
127.0.0.0**       fengent**.cn
127.0.0.1**      4199**.com
127.0.0.1**      user1.16-22**.net
127.0.0.1**      7379**.com
127.0.0.1**      2be37c5f.3f6e2cc5f0b**.com
127.0.0.1**      7255**.com
127.0.0.1**      user1.23-12**.net
127.0.0.1**      3448**.com
127.0.0.1**      www.guccia**.net
127.0.0.1**      7939**.com
127.0.0.1**      a.o1o1o1**.nEt
127.0.0.1**      8009**.com
127.0.0.1**      user1.12-73**.cn
127.0.0.1**      piaoxue**.com
127.0.0.1**      3n8nlasd**.cn
127.0.0.1**      kzdh**.com
127.0.0.0**       www.sony888**.cn
127.0.0.1**      about.blank**.la
127.0.0.0**       user1.asp-33**.cn
127.0.0.1**      6781**.com
127.0.0.0**       www.netkwek**.cn
127.0.0.1**      7322**.com
127.0.0.0**       ymsdkad6**.cn
127.0.0.1**      localhost**
127.0.0.0**       www.lkwueir**.cn
127.0.0.1**      06.jacai**.com
127.0.1.1**       user1.23-17**.net
127.0.0.1**      1.jopenkk**.com
127.0.0.0**       upa.luzhiai**.net
127.0.0.1**      1.jopenqc**.com
127.0.0.0**       www.guccia**.net
127.0.0.1**      1.joppnqq**.com
127.0.0.0**       4m9mnlmi**.cn
127.0.0.1**      1.xqhgm**.com
127.0.0.0**       mm119mkssd**.cn
127.0.0.1**      100.332233**.com
127.0.0.0**       61.128.171.11*:8080
127.0.0.1**      121.11.90.79*
127.0.0.0**       www.1119111**.com
127.0.0.1**      121565**.net
127.0.0.0**       win.nihao69**.cn
127.0.0.1**      125.90.88.38*
127.0.0.1**      16888.6to23**.com
127.0.0.1**      2.joppnqq**.com
127.0.0.0**       puc.lianxiac**.net
127.0.0.1**      204.177.92.68*
127.0.0.0**       pud.lianxiac**.net
127.0.0.1**      210.74.145.23*
127.0.0.0**       210.76.0.13*
127.0.0.1**      219.129.239.22*
127.0.0.0**       61.166.32.2*
127.0.0.1**      219.153.40.22*
127.0.0.0**       218.92.186.27*
127.0.0.1**      219.153.46.27*
127.0.0.0**       www.fsfsfag**.cn
127.0.0.1**      219.153.52.12*
127.0.0.0**       ovo.ovovov**.cn
127.0.0.1**      221.195.42.71*
127.0.0.0**       dw.com**.com
127.0.0.1**      222.73.218.11*
127.0.0.1**      203.110.168.23*:80
127.0.0.1**      3.joppnqq**.com
127.0.0.1**      203.110.168.22*:80
127.0.0.1**      363xx**.com
127.0.0.1**      www1.ip10086**.com.cm
127.0.0.1**      4199**.com
127.0.0.1**      blog.ip10086**.com.cn
127.0.0.1**      43242**.com
127.0.0.1**      www.ccji68**.cn
127.0.0.1**      5.xqhgm**.com
127.0.0.0**       t.myblank**.cn
127.0.0.1**      520.mm5208**.com
127.0.0.0**       x.myblank**.cn
127.0.0.1**      59.34.131.54*
127.0.0.1**      210.51.45.5*
127.0.0.1**      59.34.198.22*
127.0.0.1**      www.ew1q**.cn
127.0.0.1**      59.34.198.8*
127.0.0.1**      59.34.198.97*
127.0.0.1**      60.190.114.10*
127.0.0.1**      60.190.218.34*
127.0.0.0**       qq-xing.com**.cn
127.0.0.1**      60.191.124.25*
127.0.0.1**      61.145.117.21*
127.0.0.1**      61.157.109.22*
127.0.0.1**      75.126.3.21*
127.0.0.1**      220.250.64.21*
127.0.0.1**      75.126.3.21*
127.0.0.1**      75.126.3.21*
127.0.0.0**       59.125.231.17*:17777
127.0.0.1**      75.126.3.22*
127.0.0.1**      75.126.3.22*
127.0.0.1**      75.126.3.22*
127.0.0.1**      772630**.com
127.0.0.1**      832823**.cn
127.0.0.1**      8749**.com
127.0.0.1**      888.jopenqc**.com
127.0.0.1**      89382**.cn
127.0.0.1**      8v8**.biz
127.0.0.1**      97725**.com
127.0.0.1**      9gg**.biz
127.0.0.1**      www.9000music**.com
127.0.0.1**      test.591jx**.com
127.0.0.1**      a.topxxxx**.cn
127.0.0.1**      picon.chinaren**.com
127.0.0.1**      www.5566**.net
127.0.0.1**      p.qqkx**.com
127.0.0.1**      news.netandtv**.com
127.0.0.1**      z.neter888**.cn
127.0.0.1**      b.myblank**.cn
127.0.0.1**      wvw.wokutu**.com
127.0.0.1**      unionch.qyule**.com
127.0.0.1**      www.qyule**.com
127.0.0.1**      it.itjc**.cn
127.0.0.1**      www.linkwww**.com
127.0.0.1**      vod.kaicn**.com
127.0.0.1**      www.tx8688**.com
127.0.0.1**      b.neter888**.cn
127.0.0.1**      promote.huanqiu**.com
127.0.0.1**      www.huanqiu**.com
127.0.0.1**      www.haokanla**.com
127.0.0.1**      play.unionsky**.cn
127.0.0.1**      www.52v**.com
127.0.0.1**      www.gghka**.cn
127.0.0.1**      icon.ajiang**.net
127.0.0.1**      new.ete**.cn
127.0.0.1**      www.stiae**.cn
127.0.0.1**      o.neter888**.cn
127.0.0.1**      comm.jinti**.com
127.0.0.1**      www.google-analytics**.com
127.0.0.1**      hz.mmstat**.com
127.0.0.1**      www.game175**.cn
127.0.0.1**      x.neter888**.cn
127.0.0.1**      z.neter888**.cn
127.0.0.1**      p.etimes888**.com
127.0.0.1**      hx.etimes888**.com
127.0.0.1**      abc.qqkx**.com
127.0.0.1**      dm.popdm**.cn
127.0.0.1**      www.yl9999**.com
127.0.0.1**      www.dajiadoushe**.cn
127.0.0.1**      v.onondown.com**.cn
127.0.0.1**      www.interoo**.net
127.0.0.1**      bally1.bally-bally**.net
127.0.0.1**      www.bao5605509**.cn
127.0.0.1**      www.rty456**.cn
127.0.0.1**      www.werqwer**.cn
127.0.0.1**      1.360-1**.cn
127.0.0.1**      user1.23-16**.net
127.0.0.1**      www.guccia**.net
127.0.0.1**      www.interoo**.net
127.0.0.1**      upa.netsool**.net
127.0.0.1**      js.users.51**.la
127.0.0.1**      vip2.51**.la
127.0.0.1**      web.51**.la
127.0.0.1**      qq.gong2008**.com
127.0.0.1**      2008tl.copyip**.com
127.0.0.1**      tla.laozihuolaile**.cn
127.0.0.1**      www.tx6868**.cn
127.0.0.1**      p001.tiloaiai**.com
127.0.0.1**      s1.tl8tl**.com
127.0.0.1**      s1.gong2008**.com
127.0.0.1**      4b3ce56f9g.3f6e2cc5f0b**.com
127.0.0.1**      2be37c5f.3f6e2cc5f0b**.com
3、向服务器回传本地信息
1)回传本地mac地址和病毒版本
http://tongji.ombb888**.cn/select/getmac.asp?x= 00-0C-29-9C-7B-01&y=a1&t= 401595
2)如果进程中有QQ.exe则发送信息如下格式
http://tongji1.ac5566**.cn/getmac.asp?x=00-0C-29-9C-7B-01&y=a1&t=IQQS
4、下载病毒的最新版本
地址1:http://www.hoho-3**.cn/gr.exe
地址2:http://www.hoho-3**.cn/down/gr.exe
IP:59.34.198.10*
注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
%Temp%= C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量
    %Windir%\      WINDODWS所在目录
%DriveLetter%\   逻辑驱动器根目录
%ProgramFiles%\   系统程序默认安装目录
%HomeDrive% = C:\ 当前启动的系统的所在分区
%Documents and Settings%\ 当前用户文档根目录

建议方案:
在hosts文件中屏蔽如下域名:
127.0.0.1www.hoho-3.cn
127.0.0.1tongji1.ac5566.cn
127.0.0.1tongji.ombb888.cn
127.0.0.1txt.hsdee.com
127.0.0.1www1.wdswe.com
127.0.0.1www.wdswe.com

lingying 发表于 2009-2-6 16:05

斑竹的速度够快,期待彻底的解决方法
页: [1]
查看完整版本: Trojan/Win32.Murlo.aab[Downloader]分析