U盤病毒OSO.exe(Worm.Pabug.ck)

chenix 2007-02-05

展開全文

U盤病毒OSO.exe(Worm.Pabug.ck)

http://blog./u/24409/showart.php?id=238099

病毒名：Worm.Pabug.ck

大小：38,132 字節(jié)
MD5：2391109c40ccb0f982b86af86cfbc900
加殼方式：FSG2.0
編寫語言：Delphi
傳播方式：通過移動介質(zhì)或網(wǎng)頁惡意腳本傳播

經(jīng)虛擬機中運行,，與脫殼后OD分析結(jié)合,，其行為如下：

文件創(chuàng)建：
%systemroot%\system32\gfosdg.exe
%systemroot%\system32\gfosdg.dll
%systemroot%\system32\severe.exe
%systemroot%\system32\drivers\mpnxyl.exe
%systemroot%\system32\drivers\conime.exe
%systemroot%\system32\hx1.bat
%systemroot%\system32\noruns.reg
X:\OSO.exe
X:\autorun.inf
X指非系統(tǒng)盤符
%systemroot%是環(huán)境變量,，對于裝在C盤的Windows XP系統(tǒng),，默認路徑為C:\WINDOWS文件夾，以下以此假設進行分析,。

創(chuàng)建進程：
%systemroot%\system32\gfosdg.exe
%systemroot%\system32\severe.exe
%systemroot%\system32\drivers\conime.exe

使用net stop命令,，結(jié)束可能存在的殺毒軟件服務

調(diào)用sc.exe，
config [對應服務] start=disabled
禁用這些服務

被結(jié)束和禁用的服務包括：
srservice
sharedaccess（此即系統(tǒng)自帶防火墻——筆者注）
KVWSC
KVSrvXP
kavsvc
RsRavMon
RsCCenter

其中,，在結(jié)束瑞星服務的過程中,，由于瑞星會彈出提示,，病毒作了相應處理：
用FindWindowA函數(shù)，捕捉標題為"瑞星提示"的窗口
用FindWindowExA函數(shù),，找到其中“是(&Y)”的按鈕
用SendMessageA函數(shù)向系統(tǒng)發(fā)送信息,，相當于按下此按鈕

禁止或結(jié)束以下進程運行，包括但不限于：
PFW.exe
Kav.exe
KVOL.exe
KVFW.exe
adam.exe
qqav.exe
qqkav.exe
TBMon.exe
kav32.exe
kvwsc.exe
CCAPP.exe
EGHOST.exe
KRegEx.exe
kavsvc.exe
VPTray.exe
RAVMON.exe
KavPFW.exe
SHSTAT.exe
RavTask.exe
TrojDie.kxp
Iparmor.exe
MAILMON.exe
MCAGENT.exe
KAVPLUS.exe
RavMonD.exe
Rtvscan.exe
Nvsvc32.exe
KVMonXP.exe
Kvsrvxp.exe
CCenter.exe
KpopMon.exe
RfwMain.exe
KWATCHUI.exe
MCVSESCN.exe
MSKAGENT.exe
kvolself.exe
KVCenter.kxp
kavstart.exe
RAVTIMER.exe
RRfwMain.exe
FireTray.exe
UpdaterUI.exe
KVSrvXp_1.exe
RavService.exe

創(chuàng)建noruns.reg,，并導入注冊表,，之后刪除此文件。導入內(nèi)容：
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:b5
改變驅(qū)動器的autorun方式（在我的虛擬機里沒有實現(xiàn)）

修改注冊表,，創(chuàng)建啟動項（后來在SREng日志中可見的項目）：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<mpnxyl><C:\WINDOWS\system32\gfosdg.exe> [N/A]
<gfosdg><C:\WINDOWS\system32\severe.exe> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><Explorer.exe C:\WINDOWS\system32\drivers\conime.exe> [N/A]

為預防瑞星注冊表監(jiān)控提示,，故伎重施：
用FindWindowA函數(shù)捕捉標題為“瑞星注冊表監(jiān)控提示”的窗口
用mouse_event控制鼠標自動選擇允許修改。

訪問注冊表
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall]
CheckedValue鍵
破壞顯示隱藏文件的功能（這一點在我的虛擬機中沒有實現(xiàn),，可能是被TINY或SSM默認阻止了）

然而,，做了這么多工作除去殺毒軟件之后，作者似乎覺得還不保險,，他終于使出了“殺手锏”：
在注冊表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
創(chuàng)建以安全軟件程序名為名的子項

子項中創(chuàng)建子鍵
"Debugger"="C:\\WINDOWS\\system32\\drivers\\mpnxyl.exe"
使得這些程序在被雙擊運行時,，均會轉(zhuǎn)為運行病毒文件mpnxyl.exe
形如：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe]
"Debugger"="C:\\WINDOWS\\system32\\drivers\\mpnxyl.exe"

autoruns的日志中可以清楚地看到這些項目，以及遭到這種手法“蹂躪”的程序：
+ 360Safe.exe c:\windows\system32\drivers\mpnxyl.exe
+ adam.exe c:\windows\system32\drivers\mpnxyl.exe
+ avp.com c:\windows\system32\drivers\mpnxyl.exe
+ avp.exe c:\windows\system32\drivers\mpnxyl.exe
+ IceSword.exe c:\windows\system32\drivers\mpnxyl.exe
+ iparmo.exe c:\windows\system32\drivers\mpnxyl.exe
+ kabaload.exe c:\windows\system32\drivers\mpnxyl.exe
+ KRegEx.exe c:\windows\system32\drivers\mpnxyl.exe
+ KvDetect.exe c:\windows\system32\drivers\mpnxyl.exe
+ KVMonXP.kxp c:\windows\system32\drivers\mpnxyl.exe
+ KvXP.kxp c:\windows\system32\drivers\mpnxyl.exe
+ MagicSet.exe c:\windows\system32\drivers\mpnxyl.exe
+ mmsk.exe c:\windows\system32\drivers\mpnxyl.exe
+ msconfig.com c:\windows\system32\drivers\mpnxyl.exe
+ msconfig.exe c:\windows\system32\drivers\mpnxyl.exe
+ PFW.exe c:\windows\system32\drivers\mpnxyl.exe
+ PFWLiveUpdate.exe c:\windows\system32\drivers\mpnxyl.exe
+ QQDoctor.exe c:\windows\system32\drivers\mpnxyl.exe
+ Ras.exe c:\windows\system32\drivers\mpnxyl.exe
+ Rav.exe c:\windows\system32\drivers\mpnxyl.exe
+ RavMon.exe c:\windows\system32\drivers\mpnxyl.exe
+ regedit.com c:\windows\system32\drivers\mpnxyl.exe
+ regedit.exe c:\windows\system32\drivers\mpnxyl.exe
+ runiep.exe c:\windows\system32\drivers\mpnxyl.exe
+ SREng.EXE c:\windows\system32\drivers\mpnxyl.exe
+ TrojDie.kxp c:\windows\system32\drivers\mpnxyl.exe
+ WoptiClean.exe c:\windows\system32\drivers\mpnxyl.exe

刪除卡卡助手的dll文件kakatool.dll（的確這么做了,，虛擬機運行的結(jié)果和程序代碼里的內(nèi)容相映證）

為了堵死中毒者的“后路”,，又采取了另一種卑劣的手法
修改hosts文件，屏蔽殺毒軟件廠商的網(wǎng)站,，卡卡社區(qū)“有幸”成為被屏蔽的其中一員：
這是后來用SREng看到的結(jié)果,，在程序代碼里也有相應內(nèi)容：

127.0.0.1 mmsk.cn
127.0.0.1 ikaka.com
127.0.0.1 safe.qq.com
127.0.0.1 360safe.com
127.0.0.1 www.mmsk.cn
127.0.0.1 www.ikaka.com
127.0.0.1 tool.ikaka.com
127.0.0.1 www.360safe.com
127.0.0.1 zs.kingsoft.com
127.0.0.1 forum.ikaka.com
127.0.0.1 up.rising.com.cn
127.0.0.1 scan.kingsoft.com
127.0.0.1 kvup.jiangmin.com
127.0.0.1 reg.rising.com.cn
127.0.0.1 update.rising.com.cn
127.0.0.1 update7.jiangmin.com
127.0.0.1 download.rising.com.cn
127.0.0.1 dnl-us1.kaspersky-labs.com
127.0.0.1 dnl-us2.kaspersky-labs.com
127.0.0.1 dnl-us3.kaspersky-labs.com
127.0.0.1 dnl-us4.kaspersky-labs.com
127.0.0.1 dnl-us5.kaspersky-labs.com
127.0.0.1 dnl-us6.kaspersky-labs.com
127.0.0.1 dnl-us7.kaspersky-labs.com
127.0.0.1 dnl-us8.kaspersky-labs.com
127.0.0.1 dnl-us9.kaspersky-labs.com
127.0.0.1 dnl-us10.kaspersky-labs.com
127.0.0.1 dnl-eu1.kaspersky-labs.com
127.0.0.1 dnl-eu2.kaspersky-labs.com
127.0.0.1 dnl-eu3.kaspersky-labs.com
127.0.0.1 dnl-eu4.kaspersky-labs.com
127.0.0.1 dnl-eu5.kaspersky-labs.com
127.0.0.1 dnl-eu6.kaspersky-labs.com
127.0.0.1 dnl-eu7.kaspersky-labs.com
127.0.0.1 dnl-eu8.kaspersky-labs.com
127.0.0.1 dnl-eu9.kaspersky-labs.com
127.0.0.1 dnl-eu10.kaspersky-labs.com

另外：

hx1.bat內(nèi)容：
@echo off
set date=2004-1-22
ping ** localhost > nul
date %date%
del %0

改日期？不過在虛擬機里沒有實現(xiàn)

autorun.inf的內(nèi)容：
[AutoRun]
open=OSO.exe
shellexecute=OSO.exe
shell\Auto\command=OSO.exe

如果你要從右鍵菜單來判別,，很不幸,，右鍵菜單完全看不出異常，無論你是雙擊還是右鍵,，同樣會激活病毒,！

TINY還記錄到，病毒關(guān)閉系統(tǒng)還原服務后再打開,。這恐怕會導致丟失還原點的結(jié)果,。

至此這個十分惡劣的病毒的行為分析告一段落，下面介紹清除方法（上面內(nèi)容看得頭暈的會員們,，直接看清除方法即可）

清除方法歸結(jié)為一句話：“夾縫中求生”
IceSword.exe,、SREng.exe均被禁，但只需將文件改名,，照樣可以運行
autoruns.exe則不在被禁的行列
其他的被禁程序,，一步步解禁

具體過程：

結(jié)束進程：
%systemroot%\system32\gfosdg.exe
%systemroot%\system32\severe.exe
%systemroot%\system32\drivers\conime.exe
沒有發(fā)現(xiàn)此病毒禁用任務管理器。也可以用其他工具如procexp等

用autoruns刪除以下項目（建議用autoruns,，一是沒被禁,，二是一目了然,，注意先選Options-Hide Microsoft Entries）：
+ 360Safe.exe c:\windows\system32\drivers\mpnxyl.exe
+ adam.exe c:\windows\system32\drivers\mpnxyl.exe
+ avp.com c:\windows\system32\drivers\mpnxyl.exe
+ avp.exe c:\windows\system32\drivers\mpnxyl.exe
+ IceSword.exe c:\windows\system32\drivers\mpnxyl.exe
+ iparmo.exe c:\windows\system32\drivers\mpnxyl.exe
+ kabaload.exe c:\windows\system32\drivers\mpnxyl.exe
+ KRegEx.exe c:\windows\system32\drivers\mpnxyl.exe
+ KvDetect.exe c:\windows\system32\drivers\mpnxyl.exe
+ KVMonXP.kxp c:\windows\system32\drivers\mpnxyl.exe
+ KvXP.kxp c:\windows\system32\drivers\mpnxyl.exe
+ MagicSet.exe c:\windows\system32\drivers\mpnxyl.exe
+ mmsk.exe c:\windows\system32\drivers\mpnxyl.exe
+ msconfig.com c:\windows\system32\drivers\mpnxyl.exe
+ msconfig.exe c:\windows\system32\drivers\mpnxyl.exe
+ PFW.exe c:\windows\system32\drivers\mpnxyl.exe
+ PFWLiveUpdate.exe c:\windows\system32\drivers\mpnxyl.exe
+ QQDoctor.exe c:\windows\system32\drivers\mpnxyl.exe
+ Ras.exe c:\windows\system32\drivers\mpnxyl.exe
+ Rav.exe c:\windows\system32\drivers\mpnxyl.exe
+ RavMon.exe c:\windows\system32\drivers\mpnxyl.exe
+ regedit.com c:\windows\system32\drivers\mpnxyl.exe
+ regedit.exe c:\windows\system32\drivers\mpnxyl.exe
+ runiep.exe c:\windows\system32\drivers\mpnxyl.exe
+ SREng.EXE c:\windows\system32\drivers\mpnxyl.exe
+ TrojDie.kxp c:\windows\system32\drivers\mpnxyl.exe
+ WoptiClean.exe c:\windows\system32\drivers\mpnxyl.exe

這樣包括IceSword、SREng,、注冊表編輯器和系統(tǒng)配置實用程序在內(nèi)的部分程序不再被禁止

刪除或修改啟動項：
以用SREng為例
在“啟動項目”-“注冊表”中刪除：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<mpnxyl><C:\WINDOWS\system32\gfosdg.exe> [N/A]
<gfosdg><C:\WINDOWS\system32\severe.exe> [N/A]

雙擊以下項目,，把“值”中Explorer.exe后面的內(nèi)容刪除
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><Explorer.exe C:\WINDOWS\system32\drivers\conime.exe> [N/A]

刪除文件：
由于非系統(tǒng)盤即便右鍵打開也會有危險，應該采用其他方法,，推薦用IceSword或WINRAR來做
刪除：
%systemroot%\system32\gfosdg.exe
%systemroot%\system32\gfosdg.dll
%systemroot%\system32\severe.exe
%systemroot%\system32\drivers\mpnxyl.exe
%systemroot%\system32\drivers\conime.exe
%systemroot%\system32\hx1.bat
%systemroot%\system32\noruns.reg
X:\OSO.exe
X:\autorun.inf

系統(tǒng)修復與清理：

在注冊表展開
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
建議將原CheckedValue鍵刪除,，再新建正常的鍵值：
"CheckedValue"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
NoDriveTypeAutoRun鍵的值，是否要改,，要改為什么,，視乎各人所需，一般默認為91（十六進制的）
此鍵的含義,，請搜索網(wǎng)上資料,，在此不再贅述

HOSTS文件的清理
可以用記事本打開%systemroot%\system32\drivers\etc\hosts，清除被病毒加入的內(nèi)容
也可以用SREng在“系統(tǒng)修復”-“HOSTS文件”中點“重置”,，然后點“保存”

最后修復一下服務被破壞的殺毒軟件,。

小結(jié)：
從拿到樣本到方法寫完，歷時整整五小時,。之所以要說得如此詳細,，是因為這個病毒相當?shù)牡湫停绕涫撬鼘Ω栋踩浖膸追N方法,。右鍵菜單沒變化,，也是比較“隱蔽”而且給清除帶來麻煩的一個特征。對付這個病毒,，也要在“知己知彼”的基礎上,，靈活運用方法和工具。