作者xiaoyao (改變)
看板AntiVirus
標題Re: [中毒] CNN 的郵件 藏木馬病毒
時間Mon Aug 11 15:09:20 2008
※ 引述《junorn (威廉華勒斯)》之銘言:
: 終於搞定了0rz
: 這rootkit有夠難纏的...
: 大概說明一下
: 那個假CNN 會產生一些檔案,但主要的檔案是
: WINDOWS\system32\CbEvtSvc.exe
: windows\System32\drivers\33acc6a7.sys
: 然後一個掛載服務 CbEvtSvc
: 一個掛載驅動 33acc6a7
: 難纏的在驅動 33acc6a7 這個上面
: 由於他存取了SSDT,所以部分有主動防禦型的防毒會掛點
: 並且利用一些技術將 33acc6a7 這個 掛載的驅動隱藏起來,一般登錄編輯器可以看到
: 整段機碼,但完全看不到裡面的值。
: 然而使用icesword 可以刪除,只不過馬上再生而已
: 同樣該檔案用icesword刪除後馬上再生。
: 使用catchme破壞該檔案後馬上修復自身0rz
: 基本上光靠Icesword刪除已經不夠力,必須要靠其他方式處理
: 這邊是使用Rename operations pending 的方式成功將檔案刪除掉 (要兩個檔一起)
: 刪掉之後使用icesword將被存取的SSDT還原
: 並將掛載的驅動登錄值刪除之後才解除狀況0rz
: 一般要碰到的話可能直接重灌會比較快。
: 遠端處理...我說實在的,我自己實際處理都弄很久了何況是遠端0rz
: ------------------------------------------------------
: 不然就用WinPE那一類的開機光碟刪吧,他還沒有隱藏檔案自身所以還是刪的掉
剛剛查了一下登錄編輯器
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer
Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRU
名稱: 000
類型: REG_SZ
資料: 33acc6a7.sys
名稱: 001
類型: REG_SZ
資料: CbEvtSvc
寫入登錄值
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Value=lphcl76j0eg03
Data= C:\WINDOWS\system32\lphcl76j0eg03.exe
進程
C:\WINDOWS\System32\CbEvtSvc.exe
C:\WINDOWS\system32\lphcl76j0eg03.exe
服務
NAME: CbEvtSvc
DISPLAY: CbEvtSvc
FILE: C:\WINDOWS\System32\CbEvtSvc.exe -k netsvcs
寫入檔案
C:\Documents and Settings\Administrator\Local Settings\Temp\.tt1.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\.tt1.tmp.vbs
C:\Documents and Settings\Administrator\Local Settings\Temp\.tt7.tmp
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet
Files\Content.IE5\C13NVBMZ\get_flash_update[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet
Files\Content.IE5\C13NVBMZ\index2[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet
Files\Content.IE5\C13NVBMZ\master[1].js
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet
Files\Content.IE5\Q08VKCK4\1[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet
Files\Content.IE5\SEUIMLSE\dnd[1].js
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet
Files\Content.IE5\SEUIMLSE\metai[1].htm
C:\Documents and Settings\Administrator\wXtwRzv.exe
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet
Files\Content.IE5\BJW6A44R\04scan[1].exe
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet
Files\Content.IE5\MMFL79XH\install[1].exe
C:\WINDOWS\system32\blphcl76j0eg03.scr
C:\WINDOWS\system32\CbEvtSvc.exe
C:\WINDOWS\system32\drivers\4e0f5644.sys (Rootkit behaviors)
C:\WINDOWS\system32\lphcl76j0eg03.exe
C:\WINDOWS\system32\phcl76j0eg03.bmp
C:\WINDOWS\Temp\.ttC9.tmp
C:\WINDOWS\Temp\.ttC9.tmp.vbs
C:\WINDOWS\Temp\.ttD0.tmp
C:\WINDOWS\Temp\37D8BF6785C63DB6.tmp
C:\WINDOWS\Temp\4AECE6A407384DE3.tmp
C:\WINDOWS\Temp\92618DBC42FD0246.tmp
C:\WINDOWS\Temp\ACBF1B06A8F8098A.tmp
※ 編輯: xiaoyao 來自: 140.130.189.41 (08/11 15:22)