爱情后门``
爱情后门``
爱情后门。。。样本来至:
http://bbs.janmeng.com/viewthread.php?tid=610486&extra=page%3D1
跟踪了一下``
嗯,传播手段比较成熟,应该不在熊猫烧香之下。
文件名称:doc.doc.pif
文件大小:192000 byte
病毒命名: Email-Worm.Win32.LovGate.ae(卡吧斯基)
依赖平台:Windows(9X以上系统)
加壳方式:ASPack+JDPack
编写语言:Microsoft Visual C++ 6.0
病毒类型:后门、蠕虫
文件MD5:42ab20ee5f4757a44edff753bc508840
文件SHA1 :da39a3ee5e6b4b0d3255bfef95601890afd80709
危害等级:★ ★ ★
传播方式:邮件、局域、网络。
行为分析:
1、释放病毒文件:
%Windir%\svchost.exe 57344 字节
%Windir%\SYSTRA.EXE 192000 字节
%Systemroot%\system32\hxdef.exe 192000 字节
%Systemroot%\system32\IEXPLORE.EXE 192000 字节
%Systemroot%\system32\kernel66.dll 192000 字节, RHS
%Systemroot%\system32\msjdbc11.dll 53248 字节
%Systemroot%\system32\MSSIGN30.DLL 53248 字节
%Systemroot%\system32\NetMeeting.exe 61440 字节
%Systemroot%\system32\ODBC16.dll 53248 字节
%Systemroot%\system32\RAVMOND.exe 192000 字节
%Systemroot%\system32\spollsv.exe 61440 字节
%Systemroot%\system32\TkBellExe.exe 192000 字节
%Systemroot%\system32\Update_OB.exe 192000 字节
并且在每个盘(C-F)下生成:Autorun.inf和\COMMAND.EXE
Autorun.inf内容:
[C:\]
[AUTORUN]
Open="C:\COMMAND.EXE" /StartExplorer
双击磁盘则激活病毒。
2、修改注册表:
HKEY_CLASSES_ROOT\txtfile\shell\open\command\
REG_SZ, "C:\winnt\notepad.exe %1 " 修改为REG_SZ, "Update_OB.exe %1
这点比较恶劣,可能导致所有文本文件(Txt、Log等)无法运行,而重定向执行病毒程序。
3、注册系统服务(_Reg):
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\_reg]
"Type"=dword:00000010
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):52,00,75,00,6e,00,64,00,6c,00,6c,00,33,00,32,00,2e,00,65,00,\
78,00,65,00,20,00,6d,00,73,00,6a,00,64,00,62,00,63,00,31,00,31,00,2e,00,64,\
00,6c,00,6c,00,20,00,6f,00,6e,00,64,00,6c,00,6c,00,5f,00,73,00,65,00,72,00,\
76,00,65,00,72,00,00,00
"DisplayName"="_reg"
"ObjectName"="LocalSystem"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\_reg\Security]
"Security"=hex:01,00,14,80,a0,00,00,00,ac,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,70,00,04,00,00,00,00,00,18,00,fd,01,02,00,01,01,00,00,00,00,00,\
05,12,00,00,00,00,00,00,00,00,00,1c,00,ff,01,0f,00,01,02,00,00,00,00,00,05,\
20,00,00,00,20,02,00,00,00,00,00,00,00,00,18,00,8d,01,02,00,01,01,00,00,00,\
00,00,05,0b,00,00,00,20,02,00,00,00,00,1c,00,fd,01,02,00,01,02,00,00,00,00,\
00,05,20,00,00,00,23,02,00,00,00,00,00,00,01,01,00,00,00,00,00,05,12,00,00,\
00,01,01,00,00,00,00,00,05,12,00,00,00
指向的是%Systemroot%\system32\msjdbc11.dll,实现服务方式注入。
4、添加注册表启动项:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下的:
%Systemroot%\system32\TkBellExe.exe
%Systemroot%\system32\hxdef.exe
%Systemroot%\system32\NetMeeting.exe
%Systemroot%\system32\spollsv.exe
%Systemroot%\system32\IEXPLORE.EXE
%Systemroot%\system32\RUNDLL32.EXE MSSIGN30.DLL
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows下的:
%Systemroot%\system32\RAVMOND.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices下的:
%Windir%\SYSTRA.EXE
%Windir%\svchost.exe
得以开机执行病毒体。
5、其中NetMeeting.exe常驻进程,利用系统默认开启的ipc$和admin$不停访问局域(192.168.0.*)
并以用户名为:
"admin"
"Admin"
"admin"
"admin123"
"Administrator"
"administrator"
"Guest"
"guest"
"a"
"a+"
"aaa"
"abc"
"abc123"
"abcd"
密码为:
"temp"
"temp123"
"test"
"test123"
"123456"
"1234567"
"12345678"
"123456789"
"123abc"
"123asd"
"2003"
"2004"
"2600"
"321"
"54321"
"654321"
"666666"
"888888"
"88888888"
等穷举试探,如成功,则栲贝病毒至对方System目录下。
6、搜索局域共享目录夹,并尝试拷贝自身至目录下:
为了迷惑局域用户,病毒冒充其他文件,可能是:
"mmc.exe"
"xcopy.exe"
"winhlp32.exe"
"i386.exe"
"client.exe"
"findpass.exe"
"autoexec.bat"
"MSDN.ZIP.pif"
"Cain.pif"
"WindowsUpdate.pif"
"Support Tools.exe"
"Windows Media Player.zip.exe"
"Microsoft Office.exe"
"Documents and Settings.txt.exe"
"WinRAR.exe"
7、利用Net Stop命令,尝试关闭偌顿和瑞星的服务(无判断)
SSM日志:
Parent process:
Path: C:\Documents and Settings\admin\桌面\新建文件夹\doc\doc.doc.pif
PID: 1220
Child process:
Path: C:\WINNT\system32\net.exe
Information: Net Command (Microsoft Corporation)
Command line:"C:\winnt\system32\net.exe" stop "Symantec AntiVirus Client"
8、遍历进程,尝试关闭下列进程和字符串:
"KV"
"KAV"
"Duba"
"NAV"
"kill"
"RavMon.exe"
"Rfw.exe"
"Gate"
"McAfee"
"Symantec"
"SkyNet"
"rising"
9、MSSIGN30.DLL枚举进程,插入:
"Explorer.exe" "Taskmgr.exe"进程。
并收集计算机存储信息和密码等至C:\Netlog.txt,
发送[email=hello_***@163.com]hello_***@163.com[/email]。
10、%Systemroot%\system32\IEXPLORE.EXE尝试连接
202.43.216.198 202.165.103.38 202.43.216.198等(应该是YAHOO.COM Mail吧``)
并获得读取本地*.dbx文件获得好友邮箱列表。
在E、F盘下(其他盘未发现)生成:
setup.ZIP
WORK.RAR
COMMAND.EXE
AUTORUN.INF
install.ZIP
bak.RAR
pass.RAR
bak.ZIP
letter.RAR
WORK.ZIP
压缩病毒文件并发送。
11、修改F盘下的EXE可执行程序扩展名为.ZMX,可能导致EXE无法运行。
(这点我就不明白了,我猜本意应该是要注册ZMX文件关联,指向病毒体,不过测试时并未实现,如果你知道的话,请告诉我。)
Q526170722
解决方法:
建议使用专杀,请自行搜索。如 爱情后门专杀
手工删除:
1、http://gudugengkekao.ys168.com/下载:
[size=+0]sreng2.5.zip 780KB
[size=+0]冰刃.rar 2,110KB
直接放桌面,关闭网络连接和不需要的进程。未完成下面操作前,不要双击进入磁盘
2、打开冰刃,设置—禁止进线程创建—确定,打开进程,关闭所有IE进程和NetMeeting.exe
3、使用冰刃“文件”功能,删除第一点所有提到的文件。
特别要注意每个磁盘下的Autorun.inf和\COMMAND.EXE !(不要忘记删除)
PS:%Systemroot%、%Windir%是C:\Windows(XP)2K和ME系统是(C:\Winnt)
由于有些是冒充系统文件,请注意区别。
4、选择重启并监视,重启后打开SREng,删除:
注册表:
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
[]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[]
[]
[]
[N/A]
[]
[]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
[]
[(Verified)Microsoft Windows 2000 Publisher]
服务:
[_reg / _reg][Stopped/Auto Start]
并使用SREng修复功能,修复被修改的Txt文件关联!
5、附上批量修改文件关联方法:
Ren *.ZMX *.exe
爱情后门``_[点击查看原图]
爱情后门``_[点击查看原图]
爱情后门。。。样本来至:
http://bbs.janmeng.com/viewthread.php?tid=610486&extra=page%3D1
跟踪了一下``
嗯,传播手段比较成熟,应该不在熊猫烧香之下。
文件名称:doc.doc.pif
文件大小:192000 byte
病毒命名: Email-Worm.Win32.LovGate.ae(卡吧斯基)
依赖平台:Windows(9X以上系统)
加壳方式:ASPack+JDPack
编写语言:Microsoft Visual C++ 6.0
病毒类型:后门、蠕虫
文件MD5:42ab20ee5f4757a44edff753bc508840
文件SHA1 :da39a3ee5e6b4b0d3255bfef95601890afd80709
危害等级:★ ★ ★
传播方式:邮件、局域、网络。
行为分析:
1、释放病毒文件:
%Windir%\svchost.exe 57344 字节
%Windir%\SYSTRA.EXE 192000 字节
%Systemroot%\system32\hxdef.exe 192000 字节
%Systemroot%\system32\IEXPLORE.EXE 192000 字节
%Systemroot%\system32\kernel66.dll 192000 字节, RHS
%Systemroot%\system32\msjdbc11.dll 53248 字节
%Systemroot%\system32\MSSIGN30.DLL 53248 字节
%Systemroot%\system32\NetMeeting.exe 61440 字节
%Systemroot%\system32\ODBC16.dll 53248 字节
%Systemroot%\system32\RAVMOND.exe 192000 字节
%Systemroot%\system32\spollsv.exe 61440 字节
%Systemroot%\system32\TkBellExe.exe 192000 字节
%Systemroot%\system32\Update_OB.exe 192000 字节
并且在每个盘(C-F)下生成:Autorun.inf和\COMMAND.EXE
Autorun.inf内容:
[C:\]
[AUTORUN]
Open="C:\COMMAND.EXE" /StartExplorer
双击磁盘则激活病毒。
2、修改注册表:
HKEY_CLASSES_ROOT\txtfile\shell\open\command\
REG_SZ, "C:\winnt\notepad.exe %1 " 修改为REG_SZ, "Update_OB.exe %1
这点比较恶劣,可能导致所有文本文件(Txt、Log等)无法运行,而重定向执行病毒程序。
3、注册系统服务(_Reg):
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\_reg]
"Type"=dword:00000010
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):52,00,75,00,6e,00,64,00,6c,00,6c,00,33,00,32,00,2e,00,65,00,\
78,00,65,00,20,00,6d,00,73,00,6a,00,64,00,62,00,63,00,31,00,31,00,2e,00,64,\
00,6c,00,6c,00,20,00,6f,00,6e,00,64,00,6c,00,6c,00,5f,00,73,00,65,00,72,00,\
76,00,65,00,72,00,00,00
"DisplayName"="_reg"
"ObjectName"="LocalSystem"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\_reg\Security]
"Security"=hex:01,00,14,80,a0,00,00,00,ac,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,70,00,04,00,00,00,00,00,18,00,fd,01,02,00,01,01,00,00,00,00,00,\
05,12,00,00,00,00,00,00,00,00,00,1c,00,ff,01,0f,00,01,02,00,00,00,00,00,05,\
20,00,00,00,20,02,00,00,00,00,00,00,00,00,18,00,8d,01,02,00,01,01,00,00,00,\
00,00,05,0b,00,00,00,20,02,00,00,00,00,1c,00,fd,01,02,00,01,02,00,00,00,00,\
00,05,20,00,00,00,23,02,00,00,00,00,00,00,01,01,00,00,00,00,00,05,12,00,00,\
00,01,01,00,00,00,00,00,05,12,00,00,00
指向的是%Systemroot%\system32\msjdbc11.dll,实现服务方式注入。
4、添加注册表启动项:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下的:
%Systemroot%\system32\TkBellExe.exe
%Systemroot%\system32\hxdef.exe
%Systemroot%\system32\NetMeeting.exe
%Systemroot%\system32\spollsv.exe
%Systemroot%\system32\IEXPLORE.EXE
%Systemroot%\system32\RUNDLL32.EXE MSSIGN30.DLL
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows下的:
%Systemroot%\system32\RAVMOND.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices下的:
%Windir%\SYSTRA.EXE
%Windir%\svchost.exe
得以开机执行病毒体。
5、其中NetMeeting.exe常驻进程,利用系统默认开启的ipc$和admin$不停访问局域(192.168.0.*)
并以用户名为:
"admin"
"Admin"
"admin"
"admin123"
"Administrator"
"administrator"
"Guest"
"guest"
"a"
"a+"
"aaa"
"abc"
"abc123"
"abcd"
密码为:
"temp"
"temp123"
"test"
"test123"
"123456"
"1234567"
"12345678"
"123456789"
"123abc"
"123asd"
"2003"
"2004"
"2600"
"321"
"54321"
"654321"
"666666"
"888888"
"88888888"
等穷举试探,如成功,则栲贝病毒至对方System目录下。
6、搜索局域共享目录夹,并尝试拷贝自身至目录下:
为了迷惑局域用户,病毒冒充其他文件,可能是:
"mmc.exe"
"xcopy.exe"
"winhlp32.exe"
"i386.exe"
"client.exe"
"findpass.exe"
"autoexec.bat"
"MSDN.ZIP.pif"
"Cain.pif"
"WindowsUpdate.pif"
"Support Tools.exe"
"Windows Media Player.zip.exe"
"Microsoft Office.exe"
"Documents and Settings.txt.exe"
"WinRAR.exe"
7、利用Net Stop命令,尝试关闭偌顿和瑞星的服务(无判断)
SSM日志:
Parent process:
Path: C:\Documents and Settings\admin\桌面\新建文件夹\doc\doc.doc.pif
PID: 1220
Child process:
Path: C:\WINNT\system32\net.exe
Information: Net Command (Microsoft Corporation)
Command line:"C:\winnt\system32\net.exe" stop "Symantec AntiVirus Client"
8、遍历进程,尝试关闭下列进程和字符串:
"KV"
"KAV"
"Duba"
"NAV"
"kill"
"RavMon.exe"
"Rfw.exe"
"Gate"
"McAfee"
"Symantec"
"SkyNet"
"rising"
9、MSSIGN30.DLL枚举进程,插入:
"Explorer.exe" "Taskmgr.exe"进程。
并收集计算机存储信息和密码等至C:\Netlog.txt,
发送[email=hello_***@163.com]hello_***@163.com[/email]。
10、%Systemroot%\system32\IEXPLORE.EXE尝试连接
202.43.216.198 202.165.103.38 202.43.216.198等(应该是YAHOO.COM Mail吧``)
并获得读取本地*.dbx文件获得好友邮箱列表。
在E、F盘下(其他盘未发现)生成:
setup.ZIP
WORK.RAR
COMMAND.EXE
AUTORUN.INF
install.ZIP
bak.RAR
pass.RAR
bak.ZIP
letter.RAR
WORK.ZIP
压缩病毒文件并发送。
11、修改F盘下的EXE可执行程序扩展名为.ZMX,可能导致EXE无法运行。
(这点我就不明白了,我猜本意应该是要注册ZMX文件关联,指向病毒体,不过测试时并未实现,如果你知道的话,请告诉我。)
Q526170722
解决方法:
建议使用专杀,请自行搜索。如 爱情后门专杀
手工删除:
1、http://gudugengkekao.ys168.com/下载:
[size=+0]sreng2.5.zip 780KB
[size=+0]冰刃.rar 2,110KB
直接放桌面,关闭网络连接和不需要的进程。未完成下面操作前,不要双击进入磁盘
2、打开冰刃,设置—禁止进线程创建—确定,打开进程,关闭所有IE进程和NetMeeting.exe
3、使用冰刃“文件”功能,删除第一点所有提到的文件。
特别要注意每个磁盘下的Autorun.inf和\COMMAND.EXE !(不要忘记删除)
PS:%Systemroot%、%Windir%是C:\Windows(XP)2K和ME系统是(C:\Winnt)
由于有些是冒充系统文件,请注意区别。
4、选择重启并监视,重启后打开SREng,删除:
注册表:
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
[]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[]
[]
[]
[N/A]
[]
[]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
[]
[(Verified)Microsoft Windows 2000 Publisher]
服务:
[_reg / _reg][Stopped/Auto Start]
并使用SREng修复功能,修复被修改的Txt文件关联!
5、附上批量修改文件关联方法:
Ren *.ZMX *.exe
爱情后门``_[点击查看原图]
爱情后门``_[点击查看原图]
