金山毒霸2009
金山清理专家
专杀工具
在线杀毒
密保
网盾
系统急救箱
ARP防火墙
病毒名:Win32.TrojDownloader.NsPassT.bm.50688
本病毒所有命名:
影响系统:
Win9x,WinMe,Linux
简介:
一、 文件分析 1)母体dll 导出函数explore 获取ShellExecuteA,并调用”explorer open .”打开当前目录。用于每个驱动器下打开目录。
行为分析:
这是一个对抗能力极强的下载器。它结合了AV终结者、机器狗、扫荡波、autorun病毒的众多特点,行为及其恶劣。它主要是利用MS08067漏洞在局域网内传播,对抗安全软件,下载大量的木马。由于带有穿透功能,对网吧和局域网用户影响很大。
: 金山毒霸
: 金山毒霸
: 金山毒霸
影响系统:
Win9x,WinMe,Linux
简介:
一、 文件分析 1)母体dll 导出函数explore 获取ShellExecuteA,并调用”explorer open .”打开当前目录。用于每个驱动器下打开目录。
行为分析:
这是一个对抗能力极强的下载器。它结合了AV终结者、机器狗、扫荡波、autorun病毒的众多特点,行为及其恶劣。它主要是利用MS08067漏洞在局域网内传播,对抗安全软件,下载大量的木马。由于带有穿透功能,对网吧和局域网用户影响很大。
描述:
一、 文件分析
1)母体dll
导出函数explore
获取ShellExecuteA,并调用”explorer open .”打开当前目录。用于每个驱动器下打开目录。
导出函数SchedServiceMain、ServiceMain、SvchostEntry_W32Time
a)检测调试器:查找进程OllyICE.exe,OllyDbg.exe,ImportREC.exe,C32Asm.exe,LordPE.exe,PEditor.exe等进程,如果存在则退出,不存在则调用IsDebuggerPresent,检测当前是否被调试,是的话退出。
b)创建NSDownLoader20Vip02互斥体。
c)关卡巴进程。
d)释放资源102到%sys32dir%Nskhelper2.sys,并创建服务NsRk1,启动,来恢复SSDT。
e)扫描当前系统进程列表,发现有安全软件进程,就调用驱动中的ZwTerminateProcess将它关闭。
进程列表
pccguide.exe ZONEALARM.exe zonealarm.exe wink.exe
windows优化大师.exe WFINDV32.exe webtrap.exe WEBSCANX.exe
WEBSCAN.exe vsstat.exe VSSCAN40 VSHWIN32.exe vshwin32.exe
VSECOMR.exe VPC32.exe vir.exe VETTRAY.exe VET95.exe
vavrunr.exe UlibCfg.exe TSC.exe tmupdito.exe tmproxy.exe
TMOAgent.exe Tmntsrv.exe TDS2-NT.exe TDS2-98.exe TCA.exe
TBSCAN.exe symproxysvc.exe SWEEP95.exe spy.exe
SPHINX.exe smtpsvc.exe SMC.exe sirc32.exe SERV95.exe
secu.exe SCRSCAN.exe scon.exe SCANPM.exe SCAN32.exe scan.exe
scam32.exe safeweb.exe safeboxTray.exe rn.exe Rfw.exe
rescue32.exe regedit.exe RavTask.exe RavStub.exe
RavMonD.exe RavMon.exe rav7win.exe RAV7.exe ras.exe
pview95.exe prot.exe program.exe PpPpWallRun.exe
pop3trap.exe PERSFW.exe PCFWALLICON.exe pccwin98.exe
pccmain.exe pcciomon.exe PCCClient.exe pcc.exe PAVCL.exe
PADMIN.exe OUTPOST.exe office.exe NVC95.exe NUPGRADE.exe
norton.exe NORMIST.exe NMAIN.exe nisum.exe nisserv.exe
NAVWNT.exe navwnt.exe NAVW32.exe NAVW.exe NAVSCHED.exe navrunr.exe NAVNT.exe NAVLU32.exe navapw32.exe navapsvc.exe
N32ACAN.exe ms.exe MPFTRAY.exe MOOLIVE.exe moniker.exe
mon.exe microsoft.exe mcafee.exe LUCOMSERVER.exe luall.exe
LOOKOUT.exe lockdown2000.exe lamapp.exe kwatch.exe
KVPreScan.exe KVMonXP.exe KRF.exe KPPMain.exe kpfwsvc.exe
kpfw32.exe KPFW32.exe kissvc.exe kavstart.exe kav32.exe
Kasmain.exe Kabackreport.exe JED.exe iomon98.exe iom.exe
ICSSUPPNT.exe ICMOON.exe ICLOADNT.exe ICLOAD95.exe
IceSword.exe ice.exe IBMAVSP.exe IBMASN.exe IAMSERV.exe
IAMAPP.exe F-STOPW.exe f-stopw.exe FRW.exe FP-WIN.exe fp-win.exe
f-prot95.exe F-PROT.exe fir.exe FINDVIRU.exe F-AGNT95.exe
explorewclass.exe ESPWATCH.exe ESAFE.exe EFINET32.exe ECENGINE.exe
DVP95.exe DV95_O.exe DV95.exe debu.exe dbg.exe DAVPFW.exe
CLEANER3.exe CLEANER.exe CLAW95CT.exe CLAW95.exe cfinet32.exe
cfinet.exe CFIND.exe CFIAUDIT.exe CFIADMIN.exe CCenter.exe
BLACKICE.exe BLACKD.exe avxonsol.exe AVWIN95.exe avsynmgr.exe
AVSCHED32.exe AVPUPD.exe AVPTC32.exe AVPNT.exe AVPMON.exe
AVPM.exe avpdos32.exe AVPCC.exe avp32.exe avp.exe AVKSERV.exe avk.exe
AVGCTRL.exe AVE32.exe AVCONSOL.exe AUTODOWN.exe ATRACK.exe atrack.exe APVXDWIN.exe antivir.exe ANTI-TROJAN.exe anti.exe
ACKWIN32.exe 360tray.exe 360safe.exe _AVPM.exe _AVPCC.exe
_AVP32.exe
f)映像劫持以上进程,并指svchost.exe.
g)获取当前机子的MAC地址和操作系统版本及运行时间,向指定网址发信。
h)解密网址,下载里面的病毒到%temp%目录,并依次运行。
i)遍历驱动器,在非a:和b:驱动器根目录下创建autorun.inf,先判断autorun.inf是否已存在文件或文件夹,存在先删除,在创建,并将自身复制过去命名为system.dll,autorun.inf中调用system.dll的导出函数explore.
k)修改hosts文件,屏蔽许多安全软件网址。
导出函数DllEntryPoint
a)判断当前是否注入svchost.exe,且时间是否在2008-12-1以前,是的话跳入主功能线程,否则不注入。同导出函数SchedServiceMain、ServiceMain、SvchostEntry_W32Time。
b)若不是,释放资源102回复ssdt,关闭杀软进程,然后ring3关卡巴,自己创建一个svchost.exe进程,将自身创建远程线程注入。
2)释放的资源102sys(Nskhelper2.sys)
恢复SSDT,并结束指定进程。
3)释放的资源103sys(NsPass?.sys)
直接访问磁盘并将自己写入以下dll文件
%sys32dir%schedsvc.dll
%sys32dir%appmgmts.dll
%sys32dir%srsvc.dll
%sys32dir%w32time.dll
%sys32dir%wiaservc.dll
4)释放的资源104dll(无后缀随机名)
该为扫荡波原始版本,先获取传入的当前机子的IP,像其子段(2~255)发功及代码,若发送成功,则发送xxx.txt(母体数据组成的bat文件,运行后会生成临时文件tmp.tmp和母体tmp2.dll)调用rundll32运行。
5)释放的资源105dll(appwinproc.dll)
a)Hook WM_MOVE,当有程序调用时,该dll被载入。
b)获取窗口,当发现有金山毒霸,360安全卫士, 江民, 木马, 专杀,下载者,NOD32,卡巴斯基字样的窗口,则调TerminateProcess将其关闭。
解决方案
1)专杀方案
下载金山系统急救箱(http://bbs.duba.net/thread-21988813-1-1.html)
扫描重启后可以完全清除此病毒
防御方案
a) 毒霸已经可以查杀此病毒,升级病毒库到最新版本并开启实时监控就可以防御。
b) 局域网用户需要下载ARP防火墙,以防止其他机器的攻击
c) 使用清理专家打全补丁,尤其是MS08-067
该病毒采用了机器狗,扫荡波,AV终结者,autorun病毒的技术组合而成,急救箱对此可以修复:
一、 文件分析
1)母体dll
导出函数explore
获取ShellExecuteA,并调用”explorer open .”打开当前目录。用于每个驱动器下打开目录。
导出函数SchedServiceMain、ServiceMain、SvchostEntry_W32Time
a)检测调试器:查找进程OllyICE.exe,OllyDbg.exe,ImportREC.exe,C32Asm.exe,LordPE.exe,PEditor.exe等进程,如果存在则退出,不存在则调用IsDebuggerPresent,检测当前是否被调试,是的话退出。
b)创建NSDownLoader20Vip02互斥体。
c)关卡巴进程。
d)释放资源102到%sys32dir%Nskhelper2.sys,并创建服务NsRk1,启动,来恢复SSDT。
e)扫描当前系统进程列表,发现有安全软件进程,就调用驱动中的ZwTerminateProcess将它关闭。
进程列表
pccguide.exe ZONEALARM.exe zonealarm.exe wink.exe
windows优化大师.exe WFINDV32.exe webtrap.exe WEBSCANX.exe
WEBSCAN.exe vsstat.exe VSSCAN40 VSHWIN32.exe vshwin32.exe
VSECOMR.exe VPC32.exe vir.exe VETTRAY.exe VET95.exe
vavrunr.exe UlibCfg.exe TSC.exe tmupdito.exe tmproxy.exe
TMOAgent.exe Tmntsrv.exe TDS2-NT.exe TDS2-98.exe TCA.exe
TBSCAN.exe symproxysvc.exe SWEEP95.exe spy.exe
SPHINX.exe smtpsvc.exe SMC.exe sirc32.exe SERV95.exe
secu.exe SCRSCAN.exe scon.exe SCANPM.exe SCAN32.exe scan.exe
scam32.exe safeweb.exe safeboxTray.exe rn.exe Rfw.exe
rescue32.exe regedit.exe RavTask.exe RavStub.exe
RavMonD.exe RavMon.exe rav7win.exe RAV7.exe ras.exe
pview95.exe prot.exe program.exe PpPpWallRun.exe
pop3trap.exe PERSFW.exe PCFWALLICON.exe pccwin98.exe
pccmain.exe pcciomon.exe PCCClient.exe pcc.exe PAVCL.exe
PADMIN.exe OUTPOST.exe office.exe NVC95.exe NUPGRADE.exe
norton.exe NORMIST.exe NMAIN.exe nisum.exe nisserv.exe
NAVWNT.exe navwnt.exe NAVW32.exe NAVW.exe NAVSCHED.exe navrunr.exe NAVNT.exe NAVLU32.exe navapw32.exe navapsvc.exe
N32ACAN.exe ms.exe MPFTRAY.exe MOOLIVE.exe moniker.exe
mon.exe microsoft.exe mcafee.exe LUCOMSERVER.exe luall.exe
LOOKOUT.exe lockdown2000.exe lamapp.exe kwatch.exe
KVPreScan.exe KVMonXP.exe KRF.exe KPPMain.exe kpfwsvc.exe
kpfw32.exe KPFW32.exe kissvc.exe kavstart.exe kav32.exe
Kasmain.exe Kabackreport.exe JED.exe iomon98.exe iom.exe
ICSSUPPNT.exe ICMOON.exe ICLOADNT.exe ICLOAD95.exe
IceSword.exe ice.exe IBMAVSP.exe IBMASN.exe IAMSERV.exe
IAMAPP.exe F-STOPW.exe f-stopw.exe FRW.exe FP-WIN.exe fp-win.exe
f-prot95.exe F-PROT.exe fir.exe FINDVIRU.exe F-AGNT95.exe
explorewclass.exe ESPWATCH.exe ESAFE.exe EFINET32.exe ECENGINE.exe
DVP95.exe DV95_O.exe DV95.exe debu.exe dbg.exe DAVPFW.exe
CLEANER3.exe CLEANER.exe CLAW95CT.exe CLAW95.exe cfinet32.exe
cfinet.exe CFIND.exe CFIAUDIT.exe CFIADMIN.exe CCenter.exe
BLACKICE.exe BLACKD.exe avxonsol.exe AVWIN95.exe avsynmgr.exe
AVSCHED32.exe AVPUPD.exe AVPTC32.exe AVPNT.exe AVPMON.exe
AVPM.exe avpdos32.exe AVPCC.exe avp32.exe avp.exe AVKSERV.exe avk.exe
AVGCTRL.exe AVE32.exe AVCONSOL.exe AUTODOWN.exe ATRACK.exe atrack.exe APVXDWIN.exe antivir.exe ANTI-TROJAN.exe anti.exe
ACKWIN32.exe 360tray.exe 360safe.exe _AVPM.exe _AVPCC.exe
_AVP32.exe
f)映像劫持以上进程,并指svchost.exe.
g)获取当前机子的MAC地址和操作系统版本及运行时间,向指定网址发信。
h)解密网址,下载里面的病毒到%temp%目录,并依次运行。
i)遍历驱动器,在非a:和b:驱动器根目录下创建autorun.inf,先判断autorun.inf是否已存在文件或文件夹,存在先删除,在创建,并将自身复制过去命名为system.dll,autorun.inf中调用system.dll的导出函数explore.
k)修改hosts文件,屏蔽许多安全软件网址。
导出函数DllEntryPoint
a)判断当前是否注入svchost.exe,且时间是否在2008-12-1以前,是的话跳入主功能线程,否则不注入。同导出函数SchedServiceMain、ServiceMain、SvchostEntry_W32Time。
b)若不是,释放资源102回复ssdt,关闭杀软进程,然后ring3关卡巴,自己创建一个svchost.exe进程,将自身创建远程线程注入。
2)释放的资源102sys(Nskhelper2.sys)
恢复SSDT,并结束指定进程。
3)释放的资源103sys(NsPass?.sys)
直接访问磁盘并将自己写入以下dll文件
%sys32dir%schedsvc.dll
%sys32dir%appmgmts.dll
%sys32dir%srsvc.dll
%sys32dir%w32time.dll
%sys32dir%wiaservc.dll
4)释放的资源104dll(无后缀随机名)
该为扫荡波原始版本,先获取传入的当前机子的IP,像其子段(2~255)发功及代码,若发送成功,则发送xxx.txt(母体数据组成的bat文件,运行后会生成临时文件tmp.tmp和母体tmp2.dll)调用rundll32运行。
5)释放的资源105dll(appwinproc.dll)
a)Hook WM_MOVE,当有程序调用时,该dll被载入。
b)获取窗口,当发现有金山毒霸,360安全卫士, 江民, 木马, 专杀,下载者,NOD32,卡巴斯基字样的窗口,则调TerminateProcess将其关闭。
解决方案
1)专杀方案
下载金山系统急救箱(http://bbs.duba.net/thread-21988813-1-1.html)
扫描重启后可以完全清除此病毒
防御方案
a) 毒霸已经可以查杀此病毒,升级病毒库到最新版本并开启实时监控就可以防御。
b) 局域网用户需要下载ARP防火墙,以防止其他机器的攻击
c) 使用清理专家打全补丁,尤其是MS08-067
该病毒采用了机器狗,扫荡波,AV终结者,autorun病毒的技术组合而成,急救箱对此可以修复:
标签: appwinproc.dll
回复
评论病毒
