有史以来我见过的最牛B的病毒

jack1986001

原帖由 post8 于 2009-10-12 02:38 发表
等星期一更新。。。。红伞周末休息。

我含着泪说，红伞9月12日周一下午2点升病毒库，继续无视

现在我手工点了个升级，再杀，终于干掉了，555555555

jerrysun

正在看，不过没lz说的那么nb。很中规中矩的一个下载器。

kerry

jj520

运行了  被杀软阻止了

lixiang1977

确实很强！

kalynn84

Win32:Trojan-gen

囧囧囧囧囧

不是吧，我的Kis8.0，下载这个附件的时候就报毒了...

jerrysun

简单的看了下，是一个下载器。

病毒大体流程：

1.通过服务的方式加载病毒释放的动态库文件。
调用sfc_os.dll第5号导出函数关闭windows文件保护。
然后病毒会依次获取以下服务的运行状态，如果服务已经停止则将其资源段内的PE文件的部分数据（去除pe文件前60字节）覆盖服务对应的系统文件并修改文件创建和修改时间。如果服务正在运行，则不覆盖。以下服务中如果有一个服务的文件被成功覆盖，则不覆盖其他文件。

服务名                                           服务对应的文件
AppMgmt                                    %systemroot%\system32\appmgmts.dll
BITS                                            %systemroot%\system32\qmgr.dll
FastUserSwitchingCompatibility  %systemroot%\system32\shsvcs.dll
WmdmPmSN                               %systemroot%\system32\mspmsnsv.dll
xmlprov                                        %systemroot%\system32\xmlprov.dll
EventSystem                                %systemroot%\system32\es.dll
Ntmssvc                                       %systemroot%\system32\ntmssvc.dll
upnphost                                      %systemroot%\system32\upnphost.dll
SSDPSRV                                     %systemroot%\system32\ssdpsrv.dll
Netman                                         %systemroot%\system32\netman.dll
Nla                                                %systemroot%\system32\mswsock.dll
Tapisrv                                         %systemroot%\system32\tapisrv.dll
Browser                                        %systemroot%\system32\browser.dll
Themes                                        %systemroot%\system32\shsvcs.dll
CryptSvc                                      %systemroot%\system32\cryptsvc.dll
helpsvc                                        %systemroot%\system32\pchsvc.dll
RemoteRegistry                           %systemroot%\system32\regsvc.dll
Schedule                                     %systemroot%\system32\schedsvc.dll


然后启动相关服务，svchost.exe会自动加载病毒释放的动态库文件。

2.调用批处理自删除
将自身路径写入到%temp%\cpp.bat中，调用批处理cpp.bat实现自删除。
xxx为病毒文件路径。
:DELFILE
del xxx
if exist xxx goto DELFILE
del "%temp%\cpp.bat"

程序退出。


//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
病毒释放的dll文件分析
/////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
1.如果加载此dll的可执行文件是360tray.exe，则打开名为360SpShadow0的设备并向其发送IRP(IoControlCode = 222048)，然后退出。

2.枚举进程，查找avp.exe和bdagent.exe，如果找到则在当前进程地址空间中写入4000000个NOP指令（够狠）。5.枚举进程，查找avp.exe和bdagent.exe，如果找到则在当前进程地址空间中写入4000000个NOP指令（够狠）。

3.枚举进程，查找360tray.exe,如果找到则将自身复制到相同目录下（%systemroot%\system32\）的1l1.dll文件，然后以CREATE_SUSPENDED方式创建360tray.exe 进程,向其中写入含有LoadLibrary和1|1.dll路径的一段代码，注入到360tray.exe中，然后删除1l1.dll


4.创建线程 加载驱动，结束安全软件进程
在%temp%\下释放DoLoad.sys，加载驱动, 恢复SSDT并通过驱动为以下安全软件添加IFEO

KVMonXP.kxp  KVSrvXP.exe  avp.exe  RavMonD.exe  RavTask.exe  RsAgent.exe  rsnetsvr.exe  RsTray.exe  ScanFrm.exe  CCenter.exe  kavstart.exe  kissvc.exe  kpfw32.exe kpfwsvc.exe  kswebshield.exe  kwatch.exe  kmailmon.exe  egui.exe  ekrn.exe  ccSvcHst.exe  ccSvcHst.exe  ccSvcHst.exe  Mcagent.exe  mcmscsvc.exe  McNASvc.exe  Mcods.exe  McProxy.exe  Mcshield.exe  mcsysmon.exe  mcvsshld.exe  MpfSrv.exe  McSACore.exe  msksrver.exe  sched.exe  avguard.exe  avmailc.exe  avwebgrd.exe  avgnt.exe  sched.exe  avguard.exe  avcenter.exe  UfSeAgnt.exe  TMBMSRV.exe  SfCtlCom.exe  TmProxy.exe  360SoftMgrSvc.exe  360tray.exe  qutmserv.exe  bdagent.exe  livesrv.exe  seccenter.exe  vsserv.exe  MPSVC.exe  MPSVC1.exe MPSVC2.exe  MPMon.exe  ast.exe  360speedld.exe  360SoftMgrSvc.exe  360tray.exe  修复工具.exe  360hotfix.exe  360rpt.exe 360safe.exe 360safebox.exe  krnl360svc

然后一个死循环每隔1.5s枚举进程查找KVMonXP.kxp  KVSrvXP.exe  avp.exe  RavMonD.exe  RavTask.exe，找到后通过驱动将其结束。


5.创建线程下载恶意程序。
下载http://ok1.114oldest.com/vip/asd.txt（地址加密存储）到%temp%\km2.txt 。
asd.txt文件内容经过加密，后续还有解密操作：将km2.txt文件内容读取到内存中，然后删除km2.txt，解密内存中km2.txt的数据，得到下载地址 http://nju7yd.3322.org/vip/exe/0.exe，将其下载到%temp%\0.exe。读取0.exe文件前2bytes，如果是5A4D(ZM)则调用CreateProcessAsUserA运行0.exe
同样的方法下载并运行http://nju7yd.3322.org/vip/exe/39.exe 和http://nju7yd.3322.org/vip/exe/a39.exe。
线程退出。


执行后续操作的应该就是下载下来的0.exe,39.exe和a39.exe了。
p.s.程序有部分代码经过加花处理。

[ 本帖最后由 jerrysun 于 2009-10-14 20:53 编辑 ]

dxm952120

F-SECURE直接把病毒干掉

jbkk988

小红伞杀了。