Worm.Spawn.SaiBo-赛博QQ感染众多软件[高危]{更新,添加专杀工具}

Hmilypojie

赛博QQ可能很多人用,它拥有可以显示好友ip等功能,但是附加了很多垃圾,比如锁定用户主页,更不为人知的是它还是一个蠕虫,会感染你常用的软件,防止用户删除,生成C:\WINDOWS\system32\bserveth.dat这个文件,将用户数据发送到指定网站hxxt://support.hao8684.cn


目前没有几款杀软能查杀被感染的文件,所以把样本提供上来

Worm.Spawn.SaiBo 从感染程序里看出作者编写源码的路径是:d:\Program\Soho\Worm\Spawn\Release\spawn.pdb,从而我借助作者的信息, 我给它命了这个名.

赛博QQ主要会感染以下文件:

ttpcomm.dll 千千静听

BasicCtrlDll.dll QQ

Program\BHOStub.dll 迅雷

mps.dll 暴风影音

uibrowser.dll 阿里旺旺

uxcontacts.dll MSN

AvatarX.ocx 飞信

1. SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   
2. \Microsoft\Internet Explorer\Quick Launch

复制代码

赛博QQ启动后会向Explorer.exe注入代码执行,Explorer.exe此时就会通过上面的启动项和路径判断是否有上述文件,如果有就会去感染这些文件,从文件中就可以清楚的看到被感染的文件都是一些常用的软件,所以一般用户很难清除木马,怎么判断你是否被感染了?一个简单的办法,如果你装了赛博QQ,你可以看看你QQ目录下的BasicCtrlDll.dll文件数字签名是否正常,如果不正常,那么就危险了,再看看被感染文件的代码,也很容易看出被感染了,由于之前我为了去除赛博QQ的主页锁定的广告功能,调试过赛博QQ的主程序DLL,很了解它程序解码、反调试和代码风格等,被感染文件入口代码如下:

1. 100AF400 > $  8B4424 08        mov eax,dword ptr ss:[esp+8]                     ;  被感染文件入口点
   
2. 100AF404   .  3C 01            cmp al,1
   
3. 100AF406   .  74 04            je short mps.100AF40C
   
4. 100AF408   .  3C 05            cmp al,5
   
5. 100AF40A   .  7C 52            jl short mps.100AF45E
   
6. 100AF40C   >  56               push esi
   
7. 100AF40D   .  57               push edi
   
8. 100AF40E   .  E8 02000000      call mps.100AF415
   
9. 100AF413   .  CC               int3
   
10. 100AF414   .  CC               int3
    
11. 100AF415   $  5E               pop esi
    
12. 100AF416   .  8D86 D91B0700    lea eax,dword ptr ds:[esi+71BD9]
    
13. 100AF41C   .  50               push eax
    
14. 100AF41D   .  8B86 510D0000    mov eax,dword ptr ds:[esi+D51]
    
15. 100AF423   .  FFD0             call eax                                         ;  kernel32.GetModuleHandleA
    
16. 100AF425   .  8D8E C51B0700    lea ecx,dword ptr ds:[esi+71BC5]
    
17. 100AF42B   .  51               push ecx
    
18. 100AF42C   .  50               push eax
    
19. 100AF42D   .  8B86 450D0000    mov eax,dword ptr ds:[esi+D45]
    
20. 100AF433   .  FFD0             call eax                                         ;  kernel32.GetProcAddress
    
21. 100AF435   .  85C0             test eax,eax
    
22. 100AF437   .  74 25            je short mps.100AF45E
    
23. 100AF439   .  BF 00700100      mov edi,17000
    
24. 100AF43E   .  6A 40            push 40
    
25. 100AF440   .  68 00100000      push 1000
    
26. 100AF445   .  57               push edi
    
27. 100AF446   .  6A 00            push 0
    
28. 100AF448   .  FFD0             call eax                                         ;  kernel32.VirtualAlloc
    
29. 100AF44A   .  85C0             test eax,eax
    
30. 100AF44C   .^ 74 86            je short mps.100AF3D4
    
31. 100AF44E   .  8BCF             mov ecx,edi
    
32. 100AF450   .  8BF8             mov edi,eax
    
33. 100AF452   .  8DB6 EDAB0500    lea esi,dword ptr ds:[esi+5ABED]
    
34. 100AF458   .  F3:A4            rep movs byte ptr es:[edi],byte ptr ds:[esi]
    
35. 100AF45A   .  FFD0             call eax                                         ;  跳向木马的执行代码
    
36. 100AF45C   .  5F               pop edi
    
37. 100AF45D   .  5E               pop esi
    
38. 100AF45E   >^ E9 2273FFFF      jmp mps.100A6785                                 ;  跳向程序原始入口点

复制代码

从入口感染代码很容易看出,被感染的文件入口会先执行一段上面的代码,用来执行感染程序的dll

1. 100AF45A   .  FFD0             call eax

复制代码

从这里进去以后,如果你跟踪过赛博主程序的dll,你会很容易跟踪出来解码的代码和风格和赛博主程序dll是完全相同的,感染方式比较简单,修改入口代码,增加程序最后一个区段大小用来写入感染代码,具体的过程不在赘述,有兴趣的同学可以详细跟踪下,如果你被感染了,可以先删除上面所有可能被感染的文件,重装即可,欢迎大家指出错误发表自己的见解,也希望各大厂商能尽快查杀此蠕虫!

附件中包含了几个被感染的程序和一个我提取出来的病毒执行代码的关键DLL
压缩包解压密码:52pojie

       

专杀工具:

From:

         LCG
     吾爱破解论坛
http://www.52pojie.cn

ximo

沙发，123456

白羊座

板凳，顶大H

1983xiao1983

晕，正在用赛博

小哀带着刀

不理解，现在这个也搞流氓了................

juhone

赛博的流氓 我早就不用了

fatezero

流氓

tianyayulin

to jiangmin and kingsoft

kaibuliaokou

修改版的QQ或者是其他修改过的软件，最好还是别用了··
悲剧啊

天使的愤怒

ESET NOD32 4.2.X已报毒。无需上报~