一个怪异的病毒Backdoor.RWX.2005.hy(转载)

作者:清新阳光 原文出处:http://hi.baidu.com/newcenturysun/blog/item/652eb58bf24f937e9e2fb4af.html 今天接到了一个病毒 样本Backdoor.RWX.2005.hy 测试了一下 发现他是个比较怪异的病毒 下面我们就来看看他如何怪异 病毒主要特征： 1.结束一些杀毒软件和安全工具进程 2.IFEO映像劫持 cmd regedit msconfig等文件 3.通过硬盘双击启动（怪就怪在这点，而且作者很聪明） 病毒分析： File: dllhost.exe Size: 762368 bytes File Version: 3.0.2.3 MD5: 1D8B98F417340D9B399A5F9F9944B2E3 SHA1: 19E4F629D735AC04504510B3A2D6124E654BF883 CRC32: 0ACAB18C 运行后 生成如下文件 C:\WINDOWS\dllhost.exe C:\WINDOWS\setuprs1.PIF 创建服务COMSystemApp 服务相关键值 HKLM\SYSTEM\ControlSet001\Services\COMSystemApp\Security\Security: 01 00 14 80 90 00 00 00 9C 00 00 00 14 00 00 00 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00 00 00 00 02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 00 05 12 00 00 00 00 00 18 00 FF 01 0F 00 01 02 00 00 00 00 00 05 20 00 00 00 20 02 00 00 00 00 14 00 8D 01 02 00 01 01 00 00 00 00 00 05 0B 00 00 00 00 00 18 00 FD 01 02 00 01 02 00 00 00 00 00 05 20 00 00 00 23 02 00 00 01 01 00 00 00 00 00 05 12 00 00 00 01 01 00 00 00 00 00 05 12 00 00 00 HKLM\SYSTEM\ControlSet001\Services\COMSystemApp\Type: 0x00000110 HKLM\SYSTEM\ControlSet001\Services\COMSystemApp\Start: 0x00000002 HKLM\SYSTEM\ControlSet001\Services\COMSystemApp\ErrorControl: 0x00000000 HKLM\SYSTEM\ControlSet001\Services\COMSystemApp\ImagePath: "C:\WINDOWS\dllhost.exe -netsvcs" HKLM\SYSTEM\ControlSet001\Services\COMSystemApp\DisplayName: "COM+ System Applications" HKLM\SYSTEM\ControlSet001\Services\COMSystemApp\ObjectName: "LocalSystem" HKLM\SYSTEM\ControlSet001\Services\COMSystemApp\Description: "管理基于组件对象模型 (COM+) 的组件的配 置和跟踪。如果停止该服务，则大多数基于 COM+ 的组件将不能正常工作。如果禁用该服务，则任何明确依赖它的 服务都将无法启动" HKLM\SYSTEM\ControlSet001\Services\COMSystemApp\FailureActions: 00 00 00 00 00 00 00 00 00 00 00 00 03 00 00 00 53 00 65 00 01 00 00 00 00 00 00 00 01 00 00 00 00 00 00 00 01 00 00 00 00 00 00 00 结束以下进程 autoruns autoruns.exe procexp.exe WoptiProcess.exe KavPFW.EXE KPFW32.EXE RfwMain.EXE RRfwMain.EXE PFW.exe ewido.exe SysSafe.exe FireWall.exe kpf4gui.exe McAfeeFire.exe FireTray.exe jpf.exe ssgui.exe outpost.exe 360tray.exe FYFireWall.exe runiep.exe Ras.exe cpf.exe KAVPF.exe kav.exe avp.exe avpcc.exe mmc.exe KBVXP.kxp KvMonXP.kxp KVCenter.kxp TrojDie.kxp 监控如下窗口 如果发现他们则将其关闭 天网防火墙个人版 Tapplication 天网防火墙企业版 噬菌体 TfLockDownMain ZoneAlarm ZAFrameWnd ZoneAlarm Pro IFEO映像劫持cmd.exe msconfig.exe regedit.exe regedt32.exe 到C:\WINDOWS\setuprs1.PIF 连接218.16.138.64:83 下面就是比较“聪明”比较怪异的地方了 在第一次运行样本的同时 在每个分区根目录下面 生成autorun.inf.tmp的文件 和一个歧义文件名runauto..\的文 件夹 这个文件夹是通过歧义文件名创立的 所以通过一般手段是删不掉的 这个文件夹有什么用呢？ 而且奇怪的是 怎么生成的是autorun.inf.tmp呢 这样怎么达到双击启动病毒的目的呢 别急 病毒创建了这么一个注册表键值 注册表群组： System Critical 对象： 注册表键： HKLM\SYSTEM\CurrentControlSet\Control\Session Manager 注册表值： PendingFileRenameOperations 新的值: 类型: REG_MULTI_SZ 值： \??\C:\autorun.inf.tmp \??\C:\autorun.inf 也就是说你重启以后 会自动 把autorun.inf.tmp重命名为autorun.inf 再看那个autorun.inf的内容吧 [AutoRun] open=RUNAUT~1\autorun.pif shell\1=打开(&O) shell\1\Command=RUNAUT~1\autorun.pif shell\2\=浏览(&B) shell\2\Command=RUNAUT~1\autorun.pif shellexecute=RUNAUT~1\autorun.pif 这回明白了吧 那个runauto..\的文件夹中 有一个autorun.pif的文件 双击启动的就是他 autorun.pif当然就是 病毒文件咯 原来runauto..\是为了保护 病毒文件的 这回杀毒软件也没辙了吧。。 而且为隐人耳目 这个东西使得右键菜单中的出现了两个打开 和一个浏览 点击 第一个打开 和浏览 都会激活病毒（见图） 而且那几个被映像劫持的文件 也很隐人耳目 当我们在 运行中输入 cmd回车的时候 首先会劫持到C:\WINDOWS\setuprs1.PIF 运行之 然后 由C:\WINDOWS\setuprs1.PIF马上复制一个cmd.exe出来并把 他重命名为 cmd.exe.exe 最后启动他 如果我们打开的是注册表 那么同样打开的也是    regedit.exe.exe而之中一切发生的变化我们会浑然不知 说说解决办法吧 还是安全模式吧 打开sreng （还好 还可以用） “启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”， 选中以下项目，点“删除服务”，再点“设置”，在弹出的框中点“否”： [COM+ System Applications / COMSystemApp][Running/Auto Start] <C:\WINDOWS\dllhost.exe -netsvcs><> 双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件 （推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定 右键 点击 最下面的 “打开” 打开C盘 删除C:\WINDOWS\dllhost.exe C:\WINDOWS\setuprs1.PIF 利用autoruns.exe 恢复被映像劫持的文件（autoruns也要重命名，否则可能会被结束） 接下来 我们来对付那个歧义文件名的文件夹 开始 运行 输入cmd(此时 已经恢复了IFEO,所以可以用了） 依次输入 rd /s c:\runauto..\ rd /s d:\runauto..\ del C:\autorun.inf del d:\autorun.inf ..... 有几个分区 输入几个 好了 大功告成 总结一下 现在病毒可以说越来越恶劣 越来越“聪明”了 各位加强防范是关键啊！