使用前，請先斷網(wǎng)，刪除系統(tǒng)目錄下的SysLoad3.exe以及1.exe,2.exe,...,7.exe，用IceSword刪除臨時目錄下的那幾個動態(tài)庫。當任務管理器里沒有iexplore.exe和notepad.exe的進程時，就可以運行這個恢復程序了。  


     特別注意：運行過程中，不要去運行其他程序，有可能你運行的那個程序就是帶毒的?。?nbsp;

[b]二:以下是分析和手動清除方法:

     昨天下午加班回來，發(fā)現(xiàn)本本的行為相當詭異?？戳丝慈蝿展芾砥?，有幾個Ie的進程和幾個Notepad的進程有些可疑。然后看了看注冊表，加了啟動項：SysLoad3.exe，在Windows系統(tǒng)目錄下面。唉，我是不用殺毒軟件的，一般中了木馬都是隨便殺殺就完了，然而這個木馬很討厭，明顯影響使用。木馬程序做的這么土，也太匪夷所思了。用戶都知道有干擾了，還怎么木馬??！不知道作者怎么想的~~

    既然這么討厭，不羅嗦，IDA伺候。我分析的是1.0.6版，程序邏輯比較簡單，看看他都干啥了~~
    1. 一開始是在注冊表中創(chuàng)建一個啟動項: System Boot Check，調整到Debug權限，然后創(chuàng)建一個iexplore.exe的進程和一個Notepad.exe的進程。

    2.自然是要把代碼注入到遠程進程去啦~~，作者注入的方式比較簡單。設計的時候就把自己的加載地址改了，沒用0x400000，而是用了一個很不常見的地址（0x13150000)，估計是用notepad和iexplore都測試過，可以確認該地址不會被占用。然后根據(jù)PE的信息取出需要的空間大小(0x7000)，從iexplore和notepad里分配該空間，最后把整個程序都copy過去，地址修正這些就全都免了。最后當然是木馬最愛的函數(shù)CreateRemoteThread拉~~

    3.嗯，干完活以后，sysload3.exe就沒事干了。接下來就是iexplore和notepad大顯身手~。

    4.首先是iexplore干活，這個時候notepad也有一個重要的任務。它要檢查看自己是本體還是被感染體。如果是被感染體，則需要把感染前的程序放出來干活，這樣才不至于被用戶發(fā)現(xiàn)。然后線程就等通知(Named Event: MySignal)。這個時候iexplore在干嗎呢？接著看。

    5.Iexplore(名字真長，后面叫IE好了~)先創(chuàng)建一個命名Mutex:MyDownload,告訴后面來的兄弟：有我在，你們都休息吧~。然后創(chuàng)建MySignal Event，置為無信號狀態(tài)。接下來正式開始干活：IE的任務就是把病毒文件最新的配置信息取下來，根據(jù)新的配置信息更新本地的病毒版本。先是從http://a.2007ip.com/css.css下載配置文件，保存在本地的名字就叫config.ini。
    配置文件的格式及注釋如下：
    
Code:
[config]
    Version=1.0.6
    NUM=7  ;這里指出下面有多少個任務(最多20個），每個任務都是把文件取下來，存在本地的名字就是同名的exe
    1=/Article/UploadFiles/200704/20070402104202734.gif
    2=/Article/UploadFiles/200704/20070402104203328.gif
    3=/Article/UploadFiles/200704/20070402104203803.gif
    4=/Article/UploadFiles/200704/20070402104203144.gif
    5=/Article/UploadFiles/200704/20070402104204500.gif
    6=/Article/UploadFiles/200704/20070402104204618.gif
    7=/Article/UploadFiles/200704/20070402104205415.gif
    UpdateMe=http://a.2007ip.com/5949645046.exe ;更新sysload3.exe本身
    tongji=http://if.iloveck.com/test/#htm        ;唉，統(tǒng)計，作者就覺得這東西這么NB？還要統(tǒng)計一下。。。。
    hos=/Article/UploadFiles/200704/20070402104206386.gif  ;


這里非常出彩！作者苦心收集了一大堆流氓網(wǎng)站的名字，給我們種木馬的時候，順便給我
 們把這些網(wǎng)站也給屏蔽了。全都記錄在hosts文件里面，都解析成本地！雖然不清楚作者的本意是為了打擊競爭對手(其他木馬，嘿嘿~）或者是真的為人民服務，無論如何，贊作者~~！！雖然木馬殺了，這個功能我還是會繼續(xù)使用的，估計作者還會更新~哈哈~~
     
    好，任務都完成了以后，IE同學休息休息~~

    6.Nopepad粉墨登場。
      這個壞家伙一上來就不干好事兒~，從Z盤到A盤挨個來，一個不落的去感染其他文件，包括EXE，ASP，ASPX，HTM，HTML，PHP，嗯，好像就這些。這是這個木馬非常讓我厭惡的地方。
       A.其EXE的感染的過程如下（大家不要看了去干壞事！）：
       首先，依然是遍歷所有文件。找到一個EXE后，檢查它的最后4個字節(jié)是不是0x12345678。如果是，那么這個就是兄弟，下一位。
       找到一個沒給感染的后干嗎呢？自然就是感染他拉~~哈哈哈~~~。注意看哦，這里很關鍵：把sysload3.exe復制一份，叫做tempicon.exe，為啥是icon呢？不著急，馬上就能看到原因了。tempicon有了以后，把目標程序的圖標資源取出來，插入到tempicon里面去，這樣的話，tempicon看起來就長得跟目標一樣咯~。下一步呢，就是要把目標程序保存下來，于是就有了tempload.exe，這個文件就是把tempicon復制一份，然后把目標程序緊接著放在后面。最后加入8個自己的識別信息，前四個字節(jié)指出木馬本身的長度，后四個字節(jié)就是前面說的0x12345678;
      B.web相關的文件的處理大同小異，臨時文件是temphtml~，中間插入一個流氓javascript文件： 
      
      
      感染完整個硬盤后，就沒50秒掃描一次又沒有U盤，軟盤之類的驅動器掛上。掛上了就在根目錄下生成一個Autorun.inf，復制一份SysLoad3.exe過去，比較簡單。

      哦，好像檢查了系統(tǒng)目錄所在的分區(qū)沒有去遍歷。
     
      嗯，打完收工！

       基本流程就是這樣了~。要恢復的話，只要寫個小程序，遍歷一下硬盤里的exe，根據(jù)文件尾的標示(倒數(shù)第8-4個字節(jié)指出Sysload_Stub的長度，根據(jù)最后4個字節(jié)是否0x12345678判斷是否是染毒文件)就可以恢復鳥~~~~至于其他的那些gizo0.dll,lgsy0.dll,msxo0.dll,rav20.dll之類的庫，用IceSword從Explorer進程里卸載掉，然后就可以刪掉啦~！
       
      總的來看，木馬加入一個配置文件這個思路挺好的~新開發(fā)一個木馬，就讓他們去下載~呵呵。然而多次看到作者在使用CreatFile的時候，判斷返回值總是用0，詭異~難道不是INVALID_HANDLE_VALUE???應該可以排除作者不知道的可能性，在FindFirstFile的用法里，作者就是用得INVALID_HANDLE_VALUE比較的。我書讀得少，誰知道的話請一定留言告訴我，謝謝~~。
     
      分析過程挺麻煩的，唉~還好作者送上木馬不忘附贈一個joke：I will by one BMW this year!如果作者靠這個能by到BMW，那這樣一來我們的心情是不是可以愉悅很多哈~~嘿嘿~~
專殺工具

最新評論