机器狗logonDLL.dll穿透还原——2008年系列最新流行病毒查杀报告之一

5551551

         病毒产生的文件名为logonDLL.dll，因此我们就以文件名来称呼该病毒。该病毒名为logonDLL.dll，但也是归于机器狗一类。虽然病毒并没有替换掉通常机器狗都会替换的userinit.exe文件，但是同样具备穿透强大的穿还原的能力。
         运行该病毒后，病毒闪了一下就没有了，不会长时间产生一个病毒进程。属于无进程，无启动项，超级隐蔽的病毒。因此很难引起警觉。当然越是这样，对用户的危害越严重。

         病毒运行后，仅仅在如下位置产生一个文件：奇怪的是，病毒把自已建立的时间神不知鬼不觉的改成了2003-05-17~如果不是之前已经做好了准备备份了目录，我无论如何也不敢相信这是刚刚才建立的木马。它是如何做到的呢？估计在建立的一瞬间改了系统时间，尔后又快速恢复。让人产生麻痹。
                                 
c:\windows\system32 的目录
2003-05-17  01:39            49,152 LogonDll.dll
               1 个文件         49,152 字节
               0 个目录  2,679,521,280 可用字节

查杀过程如下图示：

下图①：运行病毒后，马上重启，虽然有冰点还原的保护，360仍然显示发现病毒~，显示病毒已经成功穿透还原。这时候按查杀的话，会显示需要重启清除。事实上重启清除之后病毒还在，无法清除干净。

下图②用机器狗专杀最新的V2.3（之后才发现当晚已经出到2.4版了）扫描，竟然没有发现病毒！


下图③为什么找不到病毒的原因：原来病毒已经插入了系统核心进程winlogon.exe！怪不得要重启清除，因为360娄全卫士根本没办法对系统核心进程动手！简单用冰刃删掉就干掉了木马进程，现在我们可以随心所欲的处理这个病毒文件——logonDLL.dll，而不用等到重启后~

下图④解冰点锁，再冰刃删掉病毒模块重启扫描无毒，显示杀毒完全成功~！


——————————————图片最下面有病毒样————————————————
（注：本文为原创）

qigang

样本捏？

Nblock

病毒名称

Trojan-Downloader.Win32.Delf.iwi

捕获时间

2008-02-14

病毒症状

    该程序是使用Delphi编写的木马程序，采用UPX加壳试图躲避特征码扫描，加壳后长度21,504字节，图标为Windows默认可执行文件图标，病毒扩展名为exe，主要通过网页木马、文件捆绑方式传播。

病毒分析

    该样本被执行后，将驱动文件“~46.tmp”（46是一个随机值）释放到％Temp％目录下，调用SCM写注册表将~46.tmp注册成名为sys_flt的windows内核服务,并通过相关API启动；服务启动后创建磁盘设备“\Device\yyy2”，创建目录对象“\Device\zzz”,通过函数DeviceIoControl调用相关控制码得到主DOS分区信息并获取设备号后关闭句柄；拷贝自身到开始->附件->启动组中，打开设备“\Device\yyy2”通过DeviceIoControl传递自身控制码8000F800访问物理磁盘，利用CopyFileA函数将“%Temp%\~46.tmp”及启动组中的病毒文件拷贝到“\\.\yyy2”中，以达到突破还原卡的目的；在“%SystemRoot%\System32\”下释放批处理文件Deletedll.bat，执行后删除“%Temp%\~46.tmp”和Deletedll.bat；病毒调用API函数URLDownloadToFileA从网络上下载各种病毒到系统磁盘根目录下并执行。

感染对象

Windows 2000/Windows XP/Windows 2003

传播途径

网页木马,文件捆绑

安全提示

已安装使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您“发现未知木马”，请直接选择删除处理（如图1）；



如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现“Trojan-Downloader.Win32.Delf.iwi”，请直接选择删除（如图2）。



对于未使用微点主动防御软件的用户，微点反病毒专家建议：
1、不要在不明站点下载非官方版本的软件进行安装，避免病毒通过捆绑的方式进入您的系统。
2、尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。
3、开启windows自动更新，及时打好漏洞补丁。

※文章所有权归【pioneer】与【东方微点论坛】共同所有，转载请注明出处！※

[ 本帖最后由 Nblock 于 2008-2-16 21:09 编辑 ]

hlx98007

卡巴查到已经报毒

sam.to

已刪除: 特洛伊木馬程式 Trojan-Downloader.Win32.Delf.epw        檔案: C:\Documents and Settings\kato9096\獢\logonDLL.dll蝛輸€讛???rar/logonDLL.dll?渲?.exe//UPX

无尽藏海

[Found possible virus]         <W32/Downloader-WebExe-based!Maximus (not disinfectable)>        F:\virus\logonDLL[1].dll穿透还原.rar->logonDLL.dll穿透还原.exe->(UPX)
[Contains infected objects]        F:\virus\logonDLL[1].dll穿透还原.rar
[Quarantined]        F:\virus\logonDLL[1].dll穿透还原.rar->logonDLL.dll穿透还原.exe->(UPX)

wolffshen

FS结果: 找到 1 恶意软件
Trojan-Downloader:W32/Agent.FWK (病毒)
D:\Virus\Test\logonDLL.dll穿透还原.exe 操作: 删除

hshhua01

Begin scan in 'D:\BOOK\logonDLL.dll穿透还原.rar'
D:\BOOK\logonDLL.dll穿透还原.rar
  [0] Archive type: RAR
  --> logonDLL.dll&acute;&copy;&Iacute;&cedil;&raquo;&sup1;&Ocirc;&shy;.exe
      [DETECTION] Is the Trojan horse TR/Delphi.Downloader.Gen
      [WARNING]   The file was ignored!

qigang

rising20.31.50未杀！

wangjay1980

detected: Trojan program Trojan-Downloader.Win32.Delf.epw        URL: http://bbs.kafan.cn/attachment.php?aid=201926//logonDLL.dll&acute;&copy;&Iacute;&cedil;&raquo;&sup1;&Ocirc;&shy;.exe//UPX


在这里你只需要发样本就OK了