美图欣赏 | 设为首页 | 加入收藏 | 网站地图

当前位置:电脑中国 > 网络 > 网络安全 >

病毒防范:对感染全盘的病毒(ramnit)的一些探索和技术研究分析

2017-08-24 09:50|来源:红黑联盟 |作者:dnzg |点击:

按照正常逻辑讲其实这样的说法我感觉也并不是很准确,而且这是一个很古老的恶意病毒了,现在市面上的杀毒软件都可以轻松判别报警拦截,但还是会有人特别是我等小白中招,在经历过几次洗礼后决定好好研究一下,经验分享给大家希望大家别再中招,因为不爱用杀软,不然也不会屡屡中招所以这次下了个360,貌似现在很多人都爱用的样子就下了,首先说明大牛勿喷,本人还处于成长为脚本小子的阶段,大od还在研究阶段,也不懂逆向反汇编,我只是用我曾经学到的知识以及百度还有360软件的一些信息去试图了解它是如何工作的和如何把我心爱的玩具一次又一次感染了的。好了废话不多说,开始。首先360提示的是VirusOrg.Win32.Ramnit.k它的名字,这个对应的是该事件的始作俑者desktoplayer.exe,如果你打开的是被它感染过后的文件比如xx.exe那么杀软识别对应信息最后一位对应的应该是Ramnit.B,当你看到如这字样,并且desktoplayer.exe存在,那么你可以继续看下去了,首先对desktoplayer进行分析,奇怪的是

\

但是我明明是管理员administrators组的啊,我猜原因有两个。一个是这个程序已经在本地打开不允许修改,还有一个就是文件夹以及desktoplayer自身的权限,经过后来发现其实两者都有,一是所谓感染性病毒,目前所见到的大部分都是宿主型的依附在某些服务中,当我看到tasklist /svc命令产生了很多无用的svchost.exe即windows服务主进程,ps:这些本来是正常的

\

但是病毒却借着这些隐藏自己并且开启多余服务,并由于svchost随机自启的特殊性所以看上ta了,它先是利用svchost加载驱动c:\windows\system32\drivers\http.sys进而注入数据感染全盘,我测试的时候每次开机都能听到光驱咔的一声,而且如果360不开启防感染模式或者进pe杀毒,那么系统运行过程中随时都会产生这些数据进而二次以及多次感染,下面来说说权限,最让我费解的是microsoft文件夹的权限没有问题,主要是这个desktoplayer的权限比较另类,我也不知是不是我运行时在administrators组里面,

\
\

大家都知道在windows系统下拒绝权限要高于允许的,然而administrators权限不可更改,而users组的权限可更改范围却比较大,这个对于提权来说反而没有必要于是net user aaa /add,注销以aaa身份登录,竟然真的可以直接删除它,连pe都不用进了,然而大360也不重启桌面什么的,直接就特喵的给隔离了,防火墙权限玩的也是够6。也是啊那是explorer的事还轮不到svchost去管,后面会讲到各位看官别急。离线时的360我们还是好朋友滴对不对

ff5e1f27193ce51eec318714ef038bef这个是病毒的md5值我在网上也找了别人发的样品发现md5值一样,而且大小都是55kb,这种类型的体积都比较小55kb-110kb,要不然也不会竟挑一些绿色还有单文件的来感染,好像和语言也有关,有一些用vb写的就比较容易感染,哈哈,我想只要程序调用了这台机子win32api都会受到影响吧一些32位的dll,想都不敢想,我那些辛辛苦苦收集的工具就这样没了啊,特喵的都说用360修复,然而我会说如果像啊D这样本身杀软误报,还有一些直接指名这是黑阔工具中毒后还修复个毛线,直接就给我隔离了,还有一些html文件,前面忘记说了,这种的是感染的html,dll,exe类型的,

\

这是修复之后的,我会告诉你和原文件没有区别你会信,都是nop填充了好吗?为了不影响那些包括我在内有密集综合征的同学下面的我打码了,原文件:

\

肯定有区别,而且还很大我修复完成之后比如像eclipse还有vmware本身在启动过程就加载了一些htm*,xml速度肯定会变慢,关键是vmware有个文件夹里有1000多个html文件,特么的还不如重装省事,还有那些dll钩子我不知道是怎么样修复的,不过肯定也好不到哪去,

\

,然后我发现有些64位的有些调用了32位dll的也受到了洗礼,不知不觉感觉没有好地方了,然而说话的过程中截图工具又感染了。。

\

还有打开exe会提醒你这个文件被感染了,还有会产生这个特征

\

啊啊,凶手就是他,那么剩下的dll和html就没有那么幸运了,他会不知不觉让你在一次感受一下全盘的洗礼,浏览器javascript可以禁用,但我还没找到如何禁用vbscript,还有些程序运行的过程中比如访问某一个界面需要调用一下html里面的一些样式以及内容,所以中了这种木马一定要清理干净,要是没有什么重要的资料或者备份好之后进pe格盘重新装系统,这是最保险的,还有由于我之前是用搜狗浏览器出现了一些症状,

\

一开始还没怎么注意,但是后来发现搜狗浏览器打开之后全是空白页,收藏夹书签打不开我就知道不对劲,然后卸了重装也无济于事,还是这样,无奈只好作罢,今天无意发现原来没删除个人配置的话在appdate文件夹下还有个roaming\sogouExplorer被默认隐藏的文件夹。打开计算机\工具\文件夹选项

\

这样就能看到了。这里选项里面有一些xml文档和一些配置文件如果不清除那么安装后会默认加载。解决办法就是卸载到最后一步勾选清除个人数据就好了,还有如果你想卸载某一个被感染的应用程序,一定别轻易随便卸载,因为有可能那个卸载文件本身也被感染了

\

这样在卸载过程中你又一次中马了,如果你不想重新装系统,建议一定要删掉desktoplayer.exe无论是在microsoft文件夹下还是common file目录下还有有些时候这个应用还会写注册表,我只前遇到过一次它写的路径是winlogin -desktoplayer.exe绕过了一般防护软件检测run路径这个要多注意,如果嫌麻烦就重装把。

还有最近电脑进不了安全模式提示我缺少MpKSlbvEmf.DLL,然后百度了一番,竟然又是病毒叫mpksl病毒,原因就是会在system32文件夹下产生几个mpksl*.dll找到之后全部删除,这个应该和系统补丁有关,我没打,,当然这样没有清干净,还是回到注册表查找带mpksl路径是在HKEY_LOCAL_MACHINE\SYSTEM下有controlset001,controlset002,controlset003,它们中的services\MpKslpvxG这一项删除即可还有人说在重启连接网络之前先用应用程序管理器kill掉explorer然后在cmd下直接键入explorer可以防止但是我估计他没做过吧,我试了好几次都不行还是会写注册表,关于explorer.exe这是资源管理器,如果你直接down掉会发现进不去桌面,记得之前看过一篇讲提权的关于shell后门的说是,远程连接3389发现有shift后门但是net被禁用了于是那个人想到了先用shell命令行打开任务管理器然后选择explorer结束进程,再在shell里输入explorer.exe 直接进去了而且是system权限后来我也本地测试win2003系统执行命令后重新连接果然得到的是系统权限,但是你要迅速建立用户要不然mstsc会自动断开或者getpass总之要快。还有看了昌维大大的回复,确实现在chm木马不那么流行了,无非就是利用ie的漏洞,而现在很少有人挖这个洞了,或者说微软补丁更新太勤了,总之不太懂也不了解,但是我用今天中的.html木马用chm编译工具编译了一下确实也能执行木马,但是他会询问你,我是都选择是的情况下才成功了的,所以,唉还是悠着点吧,毕竟太高端的我可学不会。大家在平时清木马的时候要多注意几个位置,一个是c盘根目录先把文件夹选项显示隐藏项打开,看看多出的文件正不正常,还有一个就是被这些杀软不会优先考虑c:\\user\Administrator\AppDate\local\temp这是一些临时文件但是可千万别忽视了它呦,有些木马专门感染这些临时文件往里注入dll还有如果压缩包里的东西有毒,千万要记住将这里的清除干净,因为你在打开的时候它已经驻留内存了,,还有要留意一些。lnk的快捷方式查看属性看是否指向了某些不熟悉的路径以及应用程序,再就是注册表了。别轻易导入一些不明就里的注册表,一些关于安全方面的注册表比如3389啦,winlogin,还有run多查看查看也不费啥时间,另外下一个注册表管理工具会自动帮你分析一些无效的注册表项,还有其他的一些我就不知道了。

(责任编辑:dnzg)