用SREng+XueTr捏死犇牛

backway

测试所选病毒为犇牛的一个变种。

病毒信息：

下载地址：http://www.hoho-1.cn/down/gr.ex（为免误点，后缀exe已改为ex）
文件: C:\Documents and Settings\Backway\桌面\gr.exe
大小: 28672 字节
MD5: 186376EB693C04C6AE0ED226A7F03CD3
SHA1: FC7A7873EFBAFFA72052F0A183DDC5F0846F9ADB
CRC32: CA432FCC
多引擎扫描结果：http://www.virscan.org/report/53be26536ea9fb4a6dac516ba1fbd285.html

由于病毒会更新，附上本次测试所选病毒样本（已设密码）：

gr.rar (24.41 KB, 下载次数: 333)

2009-3-28 19:45 上传

点击文件名下载附件


测试平台：Windows XP SP3 ，实机。
测试工具：主要是SREng+XueTr



运行gr.exe，等待gr把它的工作认真完成。一会儿重启电脑。
重启，运行SREng扫描并保存报告：
SREngLOG.rar (10.51 KB, 下载次数: 320)

2009-3-28 21:15 上传

点击文件名下载附件


从sreng日志分析，异常项如下：

==================================
启动项目
注册表

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  <msexe.exe><C:\WINDOWS\System32\msexe.exe>  []

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <Userinit><C:\WINDOWS\system32\userinit.exe,>  [(Infected) Microsoft Corporation]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><agngjhoe.dll,joighpem.dll,eoalikaa.dll,lhblpefh.dll,cgbegbdb.dll,cfdeggbm.dll>  []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{B70A8AAD-F18A-465E-8240-184DD5845D2D}><C:\WINDOWS\fonts\X7s7xgtP.fon>  []
    <{47018D3A-8682-4D30-AC5E-F74B84189AB3}><C:\WINDOWS\fonts\crrp2mDP.fon>  []
    <{A070318E-1617-483D-B464-725084B7D6CA}><C:\WINDOWS\system32\agngjhoe.dll>  []
    <{382019E6-6C0C-481A-8C1B-091077CE3A48}><C:\WINDOWS\system32\joighpem.dll>  []
    <{E8A524AA-0041-4D4D-BA3B-45F1CFEAF272}><C:\WINDOWS\system32\eoalikaa.dll>  []
    <{49762F37-EF1F-447D-A27A-967C9520A3F8}><C:\WINDOWS\fonts\sJbQjtY7bc.fon>  []
    <{A2A0F1E3-5A22-4952-8A3E-25C5E9CFC302}><C:\WINDOWS\system32\MGmdqtJZG47.dll>  []
    <{51B59EF1-50DA-431B-A5F3-431831445A43}><C:\WINDOWS\system32\lhblpefh.dll>  []
    <{C0BE0BDB-4CDD-4F53-9601-C7CD8643E9D9}><C:\WINDOWS\system32\cgbegbdb.dll>  []
    <{FC8F4603-4AB2-4A0D-B17F-886CC8AAAFD2}><C:\WINDOWS\fonts\CESPVP8FQd.fon>  []
    <{0127FA15-17DA-4FA3-9675-49BB9CF57053}><C:\WINDOWS\fonts\gPwRF8Rwxb.fon>  []
    <{CFDE00B6-17AB-49CC-AE35-6B3835D0CAD8}><C:\WINDOWS\system32\cfdeggbm.dll>  []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]

    <A070318E><C:\WINDOWS\system32\agngjhoe.dll>  []
    <382019E6><C:\WINDOWS\system32\joighpem.dll>  []
    <E8A524AA><C:\WINDOWS\system32\eoalikaa.dll>  []
    <51B59EF1><C:\WINDOWS\system32\lhblpefh.dll>  []
    <C0BE0BDB><C:\WINDOWS\system32\cgbegbdb.dll>  []
    <CFDE00B6><C:\WINDOWS\system32\cfdeggbm.dll>  []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\egui.exe]
    <IFEO[egui.exe]><services.exe>  [(Verified)Microsoft Windows Component Publisher]


==================================
驱动程序

[zx / zx][Stopped/Manual Start]
  <\??\C:\DOCUME~1\Backway\LOCALS~1\Temp\~2bcfd7.tmp><N/A>
[pcidump / pcidump][Running/Manual Start]
  <System32\DRIVERS\pcidump.sys><N/A>


==================================
正在运行的进程（进程较多，正常进程中插入的病毒模块也较多，不一一列举）

[PID: 3024 / Backway][C:\DOCUME~1\Backway\LOCALS~1\Temp\477051]  [N/A, ]
    [C:\WINDOWS\system32\henadilj.dll]  [N/A, ]
    [C:\WINDOWS\system32\agngjhoe.dll]  [N/A, ]
    [C:\WINDOWS\system32\joighpem.dll]  [N/A, ]
    [C:\WINDOWS\system32\eoalikaa.dll]  [N/A, ]
    [C:\WINDOWS\system32\MGmdqtJZG47.dll]  [N/A, ]
    [C:\WINDOWS\fonts\sJbQjtY7bc.fon]  [N/A, ]
    [C:\DOCUME~1\Backway\LOCALS~1\Temp\msdll.dat]  [N/A, ]
    [C:\WINDOWS\fonts\X7s7xgtP.fon]  [N/A, ]




==================================
HOSTS 文件
127.0.0.1       v.onondown.com.cn
127.0.0.2       ymsdasdw1.cn
127.0.0.3       h96b.info
127.0.0.0       fuck.zttwp.cn
127.0.0.0       www.hackerbf.cn
127.0.0.0       geekbyfeng.cn
127.0.0.0       121.14.101.68
127.0.0.0       ppp.etimes888.com
127.0.0.0       www.bypk.com
127.0.0.0       CSC3-2004-crl.verisign.com
127.0.0.1       va9sdhun23.cn
127.0.0.0       udp.hjob123.com
。。。。。。
。。。。。。



==================================
进程特权扫描
特殊特权被允许： SeLoadDriverPrivilege [PID = 872, C:\WINDOWS\SYSTEM32\WINLOGON.EXE]
特殊特权被允许： SeLoadDriverPrivilege [PID = 840, C:\PROGRAM FILES\SIGMATEL\C-MAJOR AUDIO\WDM\STACSV.EXE]
特殊特权被允许： SeDebugPrivilege [PID = 2796, D:\绿色软件\HYPERSNAP.HHB_KACI\HYPERSNAP 6\HPRSNAP6.EXE]
特殊特权被允许： SeLoadDriverPrivilege [PID = 2796, D:\绿色软件\HYPERSNAP.HHB_KACI\HYPERSNAP 6\HPRSNAP6.EXE]
特殊特权被允许： SeDebugPrivilege [PID = 3024, C:\DOCUME~1\BACKWAY\LOCALS~1\TEMP\477051]
特殊特权被允许： SeLoadDriverPrivilege [PID = 3024, C:\DOCUME~1\BACKWAY\LOCALS~1\TEMP\477051]
特殊特权被允许： SeDebugPrivilege [PID = 3620, C:\DOCUME~1\BACKWAY\LOCALS~1\TEMP\~791D3.TMP]
特殊特权被允许： SeLoadDriverPrivilege [PID = 3620, C:\DOCUME~1\BACKWAY\LOCALS~1\TEMP\~791D3.TMP]
特殊特权被允许： SeDebugPrivilege [PID = 3064, D:\绿色软件\解压文件\SRENG2\SRENGLDR.EXE]
特殊特权被允许： SeLoadDriverPrivilege [PID = 3064, D:\绿色软件\解压文件\SRENG2\SRENGLDR.EXE]

[ 本帖最后由 backway 于 2009-3-28 22:12 编辑 ]

backway

运行XueTr，提示有线程插入：



点“是”，看到线程信息：


有USP.DLL大家也就知道了是什么个事儿。但是ntdll.dll、wininet.dll、mswsock.dll此时注入XueTr中，很令人费解。偶不懂，请教其他高人。一般情况下线程只有xuetr.exe。

进程信息：


部分截图，下面还有病毒进程。不要以为gth77325.exe是病毒进程。。。

病毒模块：


启动项：




映像劫持：


端口：

backway

HOSTS文件：




下面就开始杀牛啦。。。

可以预先用xuetr禁止文件创建（或同时勾选“禁止创建注册表项（值））：



先从插入进程的模块入手：


不知道大家明白不。用动画形式，只是为了说明，用xuetr删除模块时，如果显示删除成功了，就是成功了。可以看到，删除后再定位文件或查文件属性时，会弹出文件不存在。但是重新刷新模块显示还在，但其实已经被删除了。这点与wsyscheck相似。可以再卸载模块。

再删除进程文件：
选择某个病毒进程，右键选择“结束进程时删除文件”，之后再“结束文件”。注意这时不要结束正常进程，因为“结束进程时删除文件”对其他进程同样使用。不需要删除文件时，务必取消勾选“结束进程时删除文件”。

清理完了进程与模块，继续启动项。其实大部分注册表启动项中的dll在之前的模块中已经删除了。由于右键启动项某项的菜单中“删除”指的是删除其在注册表中的项目，而并不删除对应文件，所以我们可以先选择“定位到启动文件”，看查看文件在之前有没有被删除。如果已删除，可以直接右键选择删除。如没有，可用xuetr在“文件”中先删除该文件，再在这里选择“删除”：


下面清理病毒创建的驱动程序：

驱动程序

[zx / zx][Stopped/Manual Start]
  <\??\C:\DOCUME~1\Backway\LOCALS~1\Temp\~2bcfd8.tmp><N/A>
[pcidump / pcidump][Running/Manual Start]
  <System32\DRIVERS\pcidump.sys><N/A>

先用xuetr删除C:\DOCUME~1\Backway\LOCALS~1\Temp\~2bcfd8.tmp与System32\DRIVERS\pcidump.sys：



再到注册表中查找：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下的zx以及pcidump，删除之：




删除|“端口”中的病毒文件。看下图，联网程序又多了（看到那个tmp文件就杀）。我机子断开网络连接的，可以不去管他们联网了^_^  天琊可以结束某个程序的网络连接。





至此，sreng扫描出来的问题项基本解决了。但是先前的那个USP10.DLL不要忘记啊！

查找USP10.dll：


N多USP10.dll吧。只要没被加载，可以直接右键选择删除。如果被其他程序加载了，可以用xuetr卸载删除。

还有Tencent目录下的psapi.dll也要删除。由于没联网没登QQ，不然可以揪出它的。

看看下面这个，很重要的：

[C:\WINDOWS\system32\COMRes.dll] [N/A, ]

   <Userinit><C:\WINDOWS\system32\userinit.exe,>  [(Infected) Microsoft Corporation]

系统文件，看到了么，comres.dll不正常了，，userinit.exe显示被感染了。

必须采取替换这2文件。
可以从相同系统(我的 XP SP3）找这2文件替换本机的。
下图显示怎么容易的替换userinit.exe（如果结束这进程，你想想有什么后果。。。）D盘中的userinit.exe是正常文件。对比了下，2文件大小、文件属性都一致。。。


简单吧。。。那么到底有没有替换成功呢，看后面。。。（当然可以使用延时替换工具重启替换该文件）




目前为止，已经清理的差不多了。再检查下启动项，可以用SREng同时检查。没发现其他问题的话重启电脑吧~
重启后就可以知道先前说的刷新后还在的文件到底有没有删除啦。。。

之后清理下映像劫持项，恢复HOSTS件默然。

再来个清尾工作，用xuetr的搜索文件功能扫下病毒残渣：


把那些残渣消灭了。可以结合创建时间以及路径分析。

[ 本帖最后由 backway 于 2009-3-28 23:10 编辑 ]

backway

再用其他清理工具清理下系统垃圾，包括%temp%下的，%windir%\temp以及IE临时文件等等。

接下来用windows清理助手再扫荡一遍：




细细看了下，都是注册表中的一些clsid。让它清理吧。


之后，让windows清理助手和360一起查下吧~




看到么，看起来多么舒服 ^_^


最后再用SREng扫描下日志：

last.rar (7.88 KB, 下载次数: 219)

2009-3-28 22:08 上传

点击文件名下载附件

没发现问题~

后文：

实验这个犇牛花费了比较长的时间，不知道怎么操作怎么讲述才易懂。
其中未替换userinit.exe前我联了一次网，结果前面都白白操作了，病毒又复发了。
所以处理该病毒，切记要断网进行。不然会前功尽弃的。
很早就想写篇这样的文章，总是耽误了。
以前是想开始用EQ拦截并允许病毒行为的，这样可以更能看清病毒的行为的。无奈从昨晚起中了传说中的EQ磁盘配额不足BUG，电脑反应巨慢。现在卸载了，等会儿再装个吧。
其实很多人说可以直接通过sreng日志分析，然后批量删除病毒文件即可了。是这样，这样简单多了。这里只是顺便介绍下类似XueTr这样的工具手工杀毒过程。天琊同样如此。这次没用天琊，下次有机会再介绍下天琊杀毒吧 ^_^
操作过程中有许多不严谨地方，大家多多见谅。

[ 本帖最后由 backway 于 2009-3-29 10:36 编辑 ]

tawny2008

一不小心进来了，没拆楼吧

写得非常不错，仔细看了一下，清理过程很详细，人气稍后加^_^

除了清理病毒的最后一个图不是很完美，其实这篇文已经可以做为XUETR的入门教程了，很多要注意的地方都指出来了，非常非常好

[ 本帖最后由 tawny2008 于 2009-3-28 22:33 编辑 ]

银砾石

原来这个就是犇牛啊----上次没注意到userinit.exe被改了，重启了几次发现还在下载，后来看签名没过才注意到。

usp10.dll没注意，，明天再去看看有没有...

[ 本帖最后由 银砾石 于 2009-3-28 22:24 编辑 ]

backway

嘿嘿 编辑完成了

水木

犇牛在今年伊始曾经也辉煌一时

backway

原帖由 银砾石 于 2009-3-28 22:20 发表
原来这个就是犇牛啊----上次没注意到userinit.exe被改了，重启了几次发现还在下载，后来看签名没过才注意到。

之前我也大意了 没注意sreng日志中userinit.exe是infected而不是Verified
如果不检查签名信息，基本上不会发现它的异常的。想xuetr的进程里的userinit.exe 文件厂商依然是microsoft的。我是后来看到其联网才再去检查日志才发现的。

Deker

支持，虽然我不太懂手工杀毒，但是看到了一些XueTr使用上的不便。。。。
楼主辛苦了