黑基网 首页 学院 网络安全 查看内容

驱动木马覆灭记

2006-7-5 04:18| 投稿: security

摘要: 篇首语:        现在的木马越来越厉害,从Ring 3 到期 Ring 0直接杀进来。本文亦是从大概原理出发,配合工具挖掘出这只“千里...
篇首语:        现在的木马越来越厉害,从Ring 3 到期 Ring 0直接杀进来。本文亦是从大概原理出发,配合工具挖掘出这只“千里马”。测试环境:        Windows Xp         终截者入侵阻止 v5.0        安全分析专家 v0.4        IceSword v1.16         反病毒调试程序 v1.2        Process Explorer v10.11还有纸和笔… 开始了。。。        首先,还是要先激活这只“睡马”,醒了之后才会去找主人的。screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window';}" border=0>终截者入侵阻止中的“安全预警“拦截了,正问是否要放过这只“马”呢,一看,既然是自己玩的“马“,当然要“允许”啦很快,文件监视器生效了,可以在“病毒监控”框中记录下这只马跑过的地方,下过的蛋。。。嘿嘿。。screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window';}" border=0>把记录复制出来看看:创建时间: 2006-06-15 14:31:37位    置:d:\windows\system32\yumhyeuj.d1l>>> 注意, 这个文件的后缀是 .d1l (中间的是 数字 1 )创建时间: 2006-06-15 14:31:37位    置:d:\windows\system32\drivers\yumhyeuj.sys>>> 驱动保护。驱动名:Yumhyeuj创建时间: 2006-06-15 14:31:37位    置:d:\windows\system32\yumhyeuj.dll>>> 注意,这个后经缀是字母 .dll 创建时间: 2006-06-15 14:31:48位    置:d:\windows\system32\config\systemprofile\local settings\temporary internet files\content.ie5\qg85n3v1\xiaoyin[1].txt>>>> 内容为:221.235.234.211:80创建时间: 2006-06-15 14:32:19位    置:d:\docume~1\cyq\locals~1\temp\yumhyeuj.log看看还有什么漏网之鱼,拿出“安全分析专家”,GO GO GO  screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window';}" border=0>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window';}" border=0>发现了一个隐藏进程和一个隐藏服务这里没有显示出 “完整的路径名称” 是否为BUG?注: 在注册表中可以找到具体的而且是完整的路径名称:\??\D:\WINDOWS\System32\drivers\Yumhyeuj.sys  <? 马脚露出来了(是否在编程读取路径时碰到\??导致读取失败)screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window';}" border=0>还有一个dll,则进来这里了。想要去搜索这些文件,愣是没有找到??? 怎么可能? 难道这是一只“天马”?screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window';}" border=0>在CMD及资源管理器中是看不到这些病毒的存在的。 使用IceSword 查看SDT表, 原来系统被HOOK了文件的查找。   Quote: d:\windows\system32\drivers\Yumhyeuj.sys    0x8058c1f4    NtQuerySystemInformationd:\windows\system32\drivers\Yumhyeuj.sys    0x805961e4     NtQueryDirectoryFile在这两个函数中无论是从CMD下还是在资源管理器中,实现了隐藏指定文件名的功能!d:\windows\system32\drivers\Yumhyeuj.sys    0x805843fb    NtQueryValueKeyd:\windows\system32\drivers\Yumhyeuj.sys    0x805997c4    NtDeviceIoControlFiled:\windows\system32\drivers\Yumhyeuj.sys    0x8057e323     NtEnumerateKeyd:\windows\system32\drivers\Yumhyeuj.sys    0x8056b5f7     NtEnumerateValueKeyd:\windows\system32\drivers\Yumhyeuj.sys    0x8058372f     NtOpenKEY再用记事本打开d:\docume~1\cyq\locals~1\temp\yumhyeuj.log看看它里面有什么内容记录的格式:   Quote:         时间                                窗口                路径名称[2006-06-15 14:54:21] 口令 C:\Program Files\Foxmail\Foxmail.exe****                &ccedil; 这里存放记录的口令[2006-06-15 14:54:25] 口令 C:\Program Files\Foxmail\Foxmail.exe****                <= 这里存放记录到邮箱密码[2006-06-15 14:54:28] 解析主机地址 C:\Program Files\Foxmail\Foxmail.exe小结:        这只马首先会生成以下三个文件 yumhyeuj.d1l 、yumhyeuj.sys 、yumhyeuj.dll还有一个是yumhyeuj.log,这里记录着你输入的任何一个键盘信息,包括你的帐号与密码而xiaoyin[1].txt这个文件则记录着这只马的老家地址,发送个指令什么的。偶尔发送些东西什么的。。。然后,在一瞬间的时间,Process Explorer 中显示,Svchost.exe 正创建一个进程Iexplorer.exe (正常的浏览器进程),只是被注入了两个DLL(yumhyeuj.d1l 、yumhyeuj.dll),实现其隐藏进程功能及监听TCP 1030 端口。从哪个.sys的文件来看,系统是被创建了驱动服务。screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window';}" border=0>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window';}" border=0>清除:        打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services,删除服务名为:Yumhyeuj 的驱动服务。        这里记得不要急着去终止那个具有隐藏进程的Iexplorer.exe进程,一旦被终止,系统会被重启!恢复HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmserver\Parameters下的ServiceDll =         %SystemRoot%\System32\dmserver.dll被替换掉的内容参见下图        最后,重新启动后,删除三个小马(yumhyeuj.d1l 、yumhyeuj.sys 、yumhyeuj.dll)OK。世界清静啦!完结!---------------------------------------------------------------------------------------------------------安全分析专家应用技巧两例抢先试用SecAnalyst 新功能 -- 安全大体验http://bbs.s-sos.net/viewthread. ... ge=1&highlight=  2006-04-24                             增加了扫描隐藏进程的功能                             减少了误报        2006-04-27                               增加了的扫描隐藏服务的功能                            修了了自启动扫描的没有显示ValueName的BUG.      2006-04-28                           增加了扫描驱动                           减少了误报从上面的更新日志中,我们可以看到“安全分析专家”近期主要推出了三大新功能:-- -- 扫描隐藏进程-- -- 扫描隐藏服务-- -- 扫描驱动 熟悉电脑安全知识的人大概都会接触到这么几个概念,某某程序隐藏了进程,普通的任务管理器根本查不到;灰鸽子新增隐藏服务功能,彻底保护你的“肉机”,再也不会“到嘴的鸭子飞了”;RootKit时代到来了,驱动不再是系统才能做的事,看看“黑客之门”吧。这些的这些,都对目前的安全检测手段提出的挑战。我们要做的事很简单,重显安全,揪出隐藏在你系统中的’间谍‘ !隐藏进程测试 网络爸爸软件以网络上的”网络爸爸”软件为测试对象. http://www.tueagles.com/baba/index.htm其描述为:        看不见、关不了、删不掉 - 采用先进技术实现真正的隐身,不论在win98,win2000,还是在winxp下,不论通过任务管理器还是任何工具,保证孩子无法查出网络爸爸进程。没有密码,谁也无法关闭或删除网络爸爸软件。 针对其提出的” 采用先进技术实现真正的隐身”进行测试.我们来看看“安全专家分析”报告:#T0 SecAnalyst 分析报告 版本:0, 3, 4, 0 #操作系统 : Microsoft Windows XP Professional Service Pack 1 (Build 2600) (CHS)#系统目录 : D:\WINDOWS\System32#浏览器   : Internet Explorer 6.0.2800.1106#生成时间 : 2006-4-27 11:39:49#T2 请把报告贴到安全救援中心bbs.s-sos.net,我们的专家会为你做出诊断,另外,报告中的安全风险值仅仅表示可疑程度。#Q1 (请在此输入你的电脑遇到的问题和异常情况..)#O4  警告     自启动: [hkey_local_machine\software\microsoft\windows\currentversion\shell extensions\approved]-d:\windows\system32\ravext.dll#O4  警告     自启动: [hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]-d:\windows\system32\ravext.dll#O4  低风险   自启动: [hkey_local_machine\software\microsoft\windows\currentversion\shell extensions\approved]-c:\program files\winrar\rarext.dll#O4  低风险   自启动: [hkey_local_machine\software\microsoft\windows\currentversion\explorer\shell folders]-d:\documents and settings\all users\「开始」菜单\程序\启动\adobe gamma loader.lnk#O4  低风险   自启动: [hkey_local_machine\software\microsoft\windows\currentversion\shell extensions\approved]-deskpan.dll [file not found]#O4  低风险   自启动: [hkey_local_machine\software\microsoft\windows\currentversion\shell extensions\approved]-d:\progra~1\micros~2\office\olkfstub.dll#O4  低风险   自启动: [hkey_local_machine\software\microsoft\windows\currentversion\shell extensions\approved]-c:\program files\techsmith\snagit 8\snagitieaddin.dll#O4  低风险   自启动: [hkey_local_machine\software\microsoft\windows\currentversion\shell extensions\approved]-c:\program files\techsmith\snagit 8\snagitshellext.dll#O2  警告     BHO: {F79B2338-A6E7-46D4-9202-422AA6E74F43} - D:\WINDOWS\EagleFlt.dll// 网络爸爸软件中用到控件#O2  警告     BHO: {54EBD53A-9BC1-480B-966A-843A333CA162} - c:\Program Files\Tencent\QQ\QQIEHelper.dll#O2  低风险   BHO: {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll#O2  低风险   BHO: {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program Files\TechSmith\SnagIt 8\SnagItBHO.dll#O3  低风险   Toolbar: {E0E899AB-F487-11D5-8D29-0050BA6940E3} - FlashGet Bar - C:\PROGRA~1\FLASHGET\fgiebar.dll#O3  低风险   Toolbar: {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} -  - C:\Program Files\TechSmith\SnagIt 8\SnagItIEAddin.dll#P0  危险     进程: c:\program files\techsmith\snagit 8\tschelp.exe#P0  警告     进程: c:\病毒测试样本\测试工具\peid v.94\peid.exe#HP0 低风险   隐藏进程: D:\Program Files\tuEagles\EagleSvr.exe// 网络爸爸软件的隐藏进程!#S0  危险     NT 服务: RsCCenter - 启动方式: 手动 - 当前状态: 已停止 - "c:\Program Files\Rising\Rav\CCenter.exe"#O18 警告     Protocol: text/html - {F79B2338-A6E7-46D4-9201-422AA6E74F43} - D:\WINDOWS\EagleFlt.dll// 网络爸爸软件中的网络过滤控件您的电脑整体安全风险为低(19分),有空的话,请进行安全优化处理!灰鸽子 隐藏进程服务 测试#T0 SecAnalyst 分析报告 版本:0, 3, 4, 0 #操作系统 : Microsoft Windows XP Professional Service Pack 1 (Build 2600) (CHS)#系统目录 : D:\WINDOWS\System32#浏览器   : Internet Explorer 6.0.2800.1106#生成时间 : 2006-4-27 16:19:12#T2 请把报告贴到安全救援中心bbs.s-sos.net,我们的专家会为你做出诊断,另外,报告中的安全风险值仅仅表示可疑程度。#Q1 (请在此输入你的电脑遇到的问题和异常情况..)#O4  警告     自启动: [hkey_local_machine\software\microsoft\windows\currentversion\shell extensions\approved]-d:\windows\system32\ravext.dll#O4  警告     自启动: [hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]-d:\windows\system32\ravext.dll#O4  低风险   自启动: [hkey_local_machine\software\microsoft\windows\currentversion\shell extensions\approved]-c:\program files\winrar\rarext.dll#O4  低风险   自启动: [hkey_local_machine\software\microsoft\windows\currentversion\shell extensions\approved]-c:\program files\alwil software\avast4\ashshell.dll#O4  低风险   自启动: [hkey_local_machine\software\microsoft\windows\currentversion\explorer\shell folders]-d:\documents and settings\all users\「开始」菜单\程序\启动\adobe gamma loader.lnk#O4  低风险   自启动: [hkey_local_machine\software\microsoft\windows\currentversion\shell extensions\approved]-deskpan.dll [file not found]#O4  低风险   自启动: [hkey_local_machine\software\microsoft\windows\currentversion\shell extensions\approved]-d:\progra~1\micros~2\office\olkfstub.dll#O4  低风险   自启动: [hkey_local_machine\software\microsoft\windows\currentversion\shell extensions\approved]-c:\program files\techsmith\snagit 8\snagitieaddin.dll#O4  低风险   自启动: [hkey_local_machine\software\microsoft\windows\currentversion\shell extensions\approved]-c:\program files\techsmith\snagit 8\snagitshellext.dll#O2  警告     BHO: {54EBD53A-9BC1-480B-966A-843A333CA162} - c:\Program Files\Tencent\QQ\QQIEHelper.dll#O2  低风险   BHO: {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll#O2  低风险   BHO: {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program Files\TechSmith\SnagIt 8\SnagItBHO.dll#O3  低风险   Toolbar: {E0E899AB-F487-11D5-8D29-0050BA6940E3} - FlashGet Bar - C:\PROGRA~1\FLASHGET\fgiebar.dll - [file not found]#O3  低风险   Toolbar: {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} -  - C:\Program Files\TechSmith\SnagIt 8\SnagItIEAddin.dll#M0  危险     DLL: D:\WINDOWS\system32\Telnets.DLL#M0  警告     DLL: D:\WINDOWS\system32\TelnetsKey.DLL//两个坏家伙,灰鸽子用到的DLL#M0  警告     DLL: c:\Program Files\Tencent\QQ\QQIEHelper.dll#M0  低风险   DLL: C:\PROGRA~1\FLASHGET\jccatch.dll#M0  低风险   DLL: C:\Program Files\TechSmith\SnagIt 8\SnagItBHO.dll#M0  低风险   DLL: C:\Program Files\TechSmith\SnagIt 8\SnagItIEAddin.dll#M0  低风险   DLL: C:\Program Files\TechSmith\SnagIt 8\SnagItIEAddinRes.dll#HS0 警告     隐藏服务: telnets // 隐藏服务! 灰鸽子用到服务名称。// 你可以发现,在下面的正常服务列表中并没有发现其服务存在。// 并非“安全分析专家”漏报,其实是新版灰鸽子所采用“隐藏服务”手段,一般的服务管理器查询不到的。#S0  警告     NT 服务: RsCCenter - 启动方式: 手动 - 当前状态: 已停止 - "c:\Program Files\Rising\Rav\CCenter.exe"#S0  低风险   NT 服务: aswUpdSv - 启动方式: 自动 - 当前状态: 已停止 - "c:\Program Files\Alwil Software\Avast4\aswUpdSv.exe"#S0  低风险   NT 服务: avast! Web Scanner - 启动方式: 手动 - 当前状态: 已停止 - "c:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service您的电脑整体安全风险为低(44分),有空的话,请进行安全优化处理!--------------------------------------------------------------------------------------------------------行之有效的QQ尾巴拦截器http://bbs.s-sos.net/viewthread. ... 1%26filter%3Ddigest--- 安全专家 杀毒应用一例  篇首语:拿到”安全专家”已经有好几天了, 在这几天时间里,也大概了解了安全专家的功能与用法. 碰巧不久前有个客户系统中感染的QQ尾巴难以清除, 预留了一个病毒样本. 现在正好用”安全专家”来智能分析一番.找到我原来遗漏的地方,加上补进原有的分析方法…(由于本文只是在测试, 所以,在最大程度上所有的提示\警告均选择” 允许 “ ,以最大程度了解病毒动作.)激活病毒screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window';}" border=0>安全专家 进程防护 检测到 该病毒样本的危险等级为: 高 screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window';}" border=0>病毒所采用的伪装信息,其实病毒已经在内存中激活了…screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window';}" border=0>写入注册表,病毒常用的自启动加载方式注册表位置:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run注册表键名及键值:"WMI Manager For NT"="D:\\WINDOWS\\System32\\wmimgrnt.exe"screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window';}" border=0>访问网络, 看来这个样本是个负责”里应外合”的重要角色. (这里,先顺着病毒的意思,选择允许)随即生成好几个病毒体… 危险均为: 高 screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window';}" border=0>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window';}" border=0>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window';}" border=0>启动QQ时, 安全专家 提示” 进程防护”进程ID:2016父进程ID:svchost.exe(672)文件版本:5.01.2600创建日期:2006-03-17 13:40所属公司:Microsoft Corporation文件描述:TopFox SoftWare文件路径:C:\Program Files\Tencent\qq\TIMPlatform.exe命令行参数:"c:\program files\tencent\qq\timplatform.exe" -embedding激活了它, 随即又激活了wmimgrnt.exe 达到了双保护目的!所谓的”生生不息”也许就这个道理了…screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window';}" border=0>进程ID:1736父进程ID:TIMPlatform.exe(2016)文件版本:5.01.2600创建日期:2006-03-17 13:40所属公司:Microsoft Corporation文件描述:TopFox SoftWare文件路径:\WINDOWS\system32\wmimgrnt.exe命令行参数:wmimgrnt.exe病毒还将反复将自己加载到自启动中,造成系统资源被过多占用.我们可以从”事件列表管理”中查看得到screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window';}" border=0>事件日志就这样. 结合”安全专家”的 进程防护(实时进程防护) \\ 自启动防护(实时注册表防护) \\ 事件列表管理器 我们理清了该病毒的感染思想. screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window';}" border=0>安全专家设置选项顺便整理一下自己的思路:?        进程?        当我们不小心感染该病毒时,病毒体被激活, 病毒进行一连串动作,为的是更好的打造适合自己生存的环境.?        注册表?        为了实现病毒自己永远霸占别人的系统,采用注入注册表进行自我启动加载.?        文件?        不仅在%systemroot%\system32(系统目录)中生成病毒体,更巧妙地替换了正常的几个QQ模块. 实现一旦QQ启动即可再次重新激活病毒自身,一石二鸟哦!?        破坏?        QQ锁在腾讯为用户帐口及密码防盗而设置的一个安全功能.现在失效了.( 键盘加密技术启动失败,出现红叉标示 )screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window';}" border=0>QQ锁失效灭掉病毒知道了怎么回事了. 接下来就不能再让病毒呆下去了.. 否则我的Q号可就要离我而去了…打开”安全专家”主界面, 点击”安全重启”按钮, 接着再点击”运行安全重启” 选择立即重启”…screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window';}" border=0>安全重启控制台启动后,我们可以看到,安全专家已经禁止掉该病毒的主体!screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window';}" border=0>至此,我们可以看到 安全专家 通过程序内建的异常行为分析智能地分析了每一个启动程序,当发现并分析定义为危险等高的程序予以提示, 以供用户最终判断处理.大部分情况下,当我们看到有异常程序写入到某些敏感的注册表位置时,应该予以警惕,选择” 禁止” 写入 , 或当某程序创建文件写入到系统目录(%windows% 或 %systemroot%\system32) 时,也应该选择”禁止” 或 “删除”!针对本文所测试的样本及刚才所说, 我们也可以看到该样本所具有的特殊性, 它将病毒体不但写入到系统目录中,还把病毒附本创建到QQ程序的目录下, 利用QQ程序启动时必要启动某些功能模块时使其载入病毒体本身. 达到再次感染系统的目的! 如, Timwp.exe        正常的程序.TimCp.exe        病毒程序.TIMPlatform.exe                正常的本程序已经被病毒所替换QQexternal.exe                正常的本程序已经被病毒所替换按照上面安全专家所拦截的信息,逐个清除, 清除注册表加载项, 删除本次感染的若干个病毒体!再次重启后,运行QQ即不再出现烦人的Q尾巴了…-------------------------------------------------------------------------------------------------------使用安全重启来删除 Hxdef 后门http://bbs.cnns.net/viewthread.p ... 1%26filter%3Ddigest简介:   hxdef 是一款隐藏进程, 隐藏注册表, 隐藏连接, 隐藏文件的后门, 运行以后,你用任务管理器无法看到相应的进程,注册表这些。 作者还推出了黄金版的hxdef, 这个版本据说可以躲过iceword, knlps, rootkitreveal 这些内核级后门检测工具, 黄金版的是要付钱的, 呵呵。但我相信,无论他怎么改, 使用安全重启一定可以把他找出来。下面是我做的一个简单的介绍, 教你如何使用安全重启的。 一、运行我电脑里面一个病毒样本,hxdef然后安全专家会拦截掉他, 为了描述安全重启的功能, 我们在这里面允许这个进程运行.screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window';}" border=0>二、点击主窗口上面的安全重启按钮界面如下:screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window';}" border=0>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window';}" border=0>三、重新启动电脑完成后, 会弹出一个窗口,显示安全专家帮你拦截的进程列表在这儿我们看到了  hxdef.exe 被拦截了。screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window';}" border=0>四、你可以选择编辑列表,screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window';}" border=0>下面这个就是我的启动列表#0SecExpert FirstArrest 0.1 Scan export #Date:2006-4-2 10:28:1#1FileName:    hxdef100.exeCompany:           δ?.Descript:           δ?.SecLevel:       High riskPathName: c:\hxdef100.exe#2FileName:    totalcmd.exeCompany:C. Ghisler & Co.Descript:Total Commander 32 bit international version, file manager replacement for WindowsSecLevel:        Low riskPathName:c:\totalcmd\totalcmd.exe 你可以直接把 hxdef这个进程给禁止掉, 也可以双击列表上面的hxdef,  然后定位到文件, 将这个文件删除掉, 就可以了。------------------------------------------------------------------------------------------------------终截者实战免杀版QQ大盗By Kang转帖来自:http://bbs.s-sos.net/viewthread.php?tid=9034&extra=page%3D1前言今天有同事告诉我,黑基论坛上有人发布了最新的免杀版的QQ盗取工具---浩哥6.24免杀QQ盗好奇之下,下载下来一试,果然Kaspersky对其毫无反应,其他的杀软我暂时没有尝试.正好手头下刚下载了终截者,其密码锁的功能最近广为传播,正好用来测试一下其防御功能木马行为PEID检测了一下, 该木马加了FSG2.0的壳1. 创建C:\WINDOWS\system32\SVOHOST.exe,并启动该进程        2. 写入HKLM\Software\Microsoft\Windows\CurrentVersion\Run\SoundMam,实现svohost.exe的自启动3. 创建C:\WINDOWS\system32\winscok.dll,并将该DLL注入到QQ进程中去,进行QQ密码的截取screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window';}" border=0>4. 截取到密码后发送到远程指定邮箱环境Windows XP SP2 QQ2005Kaspersky Personal Pro 5.0.388 病毒库升级到最新实验过程未安装终截者的情况运行Ethereal进行网络抓包监控启动QQ2005正常登陆一切看起来都似乎很正常,Kaspersky也悄无声息但打开Ethereal就明白,一切都已经晚了…以下是监控到的部分数据包screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window';}" border=0 resized="true">从上面可以看出在你输入密码完毕,点击登录的时候,木马就将密码给截获了下来(即使腾讯已经对密码框控件做了保护),然后第一时间发送到 [email protected]这个邮箱就这样,用户的密码在不知不觉中已经在别人的邮箱里面趴着了.已安装终截者的情况第一防御线----进程防御该木马启动时,终截者的进程拦截即报告高危行为,如果在这个时候拦截的话,悲剧将永远不会发生了…screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window';}" border=0>就算你不相信终截者,坚持要启动该进程,不要紧,请接着看终截者的防御screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window';}" border=0>参见木马行为1可以知道,SVOHOST.exe是由先前启动的木马进程创建的,先前的进程在创建完SVOHOST后,就会删除自身的文件,达到隐藏的目的.如果你是一个有一定系统经验的人就应该知道这个文件是仿造SVCHOST.EXE进程名来伪装自己的,所以这个时候就会点击禁止来阻止该进程的运行.这是终截者提供的第一道防御---进程防御这个时候大概有人会说”我对电脑什么都不懂,这些进程名我看不出危险,那我怎么办呢?”放心吧,如果终截这就这么两下的话,那就太对不起终截者这个名称的意义了.第二防御线----自启动防御我们这里假设未发现异常,还是点击允许,启动了SVOHOST这个进程接下来该进程会每隔几秒写入注册表HKLM\Software\Microsoft\Windows\CurrentVersion\Run\SoundMam这个值[参见木马行为2]终截者是能够监控注册表的自启动区域一有异常,立刻就会报警所以当用户发现报警时,稍微用心一点就能发现异常SVOHOST.exe这个进程的行为非常可疑再者,一个进程频繁在注册表里面相同的位置写相同的值,这种行为可能是正常的吗?screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window';}" border=0>这是终结者的第二道防御线—自启动防御,如果你的神经迟钝到对此还是毫无反应的话,也没问题,看看终截者后面表现第三防御线----密码防御现在该木马程序已经完全启动,也已经生成了winscok.dll这个文件,就等着你启动QQ程序了.好,满足它的愿望,我们立刻运行QQscreen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window';}" border=0>如果你的QQ未保护,终截者会提醒你加入保护名单.以后在你启动QQ的时候,在桌面的右下角会出现密码锁的标志screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window';}" border=0>也可以点击主界面查看密码锁内容screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window';}" border=0>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window';}" border=0>   从我登陆QQ开始,直到QQ退出,共监控了167个数据包,未再发现一个SMTP相关的数据包screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window';}" border=0 resized="true">对比一下就可以知道了这里的第一个数据包就是未安装终截者情况中的第31个数据包少了什么? 就是发送密码邮件的那部分可以看出,终截者成功地拦截木马盗取QQ号的行为退出QQ的时候,终截者会弹出一个提示,可以点击详细信息来查看其他进程对QQ的访问情况screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window';}" border=0>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window';}" border=0>终截者准确地显示了木马的非法的操作,在这里即使你什么都不懂,终截者还是在底层为你的密码默默守护者这就是终截者提供的第三道防护—密码防御结束言整个终截者针对QQ密码盗取构建了三层防御体系,而且在易用性上也提供了很大的便利性.可以说,即使用户对电脑一无所知,只要使用终截者,启动了密码锁,极大提高了用户密码的安全性,而且这一切都是自动在底层进行的,不会对用户的其他操作造成影响,不需要用户专业的计算机使用经验.   当然终截者不会仅仅只有这么多内容,它的安全回归也是一项特有的专利技术,为用户手工解决系统故障提供了简便的手段.   这在以后会更加详细地介绍--------------------------------------------------------------------------------------------------------使用安全专家清除灰鸽子2006转帖来源:http://bbs.cnns.net/viewthread.php?tid=631&extra=page%3D1从网友那儿拿到一个灰鸽子2006的VIP账号和密码, 立即就测试一下安全专家的清除能力.screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window';}" border=0>1、安装灰鸽子服务端运行setup.exe, 这时候安全专家会拦截到,但为了测试安全专家的清除能力, 我们点击允许然后还会弹出一个进程提示,名字叫 g_server2006.exe我们也点击允许screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window';}" border=0>2、点击窗口上面的安全重启screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window';}" border=0>3、重新启动后, 安全专家提示拦截了进程screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window';}" border=0>4、我们在编辑框中,发现有二个高风险的进程,screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window';}" border=0>这二个就是灰鸽子的主程序文件了, 双击文件,把这二个文件删除掉。顺便把c:\WINNT\G_Server2006Key.DLLc:\WINNT\G_Server2006.DLLc:\WINNT\Win_ServerKey.DLLc:\WINNT\Win_Server_HOOk.DLLc:\WINNT\Win_Server.DLL删除掉, 就可以清除掉灰鸽子了。 整个过程非常简单,不需要用户太多的交互。可以看出,使用安全重启这个功能, 可以非常方便用户清除病毒和后门。 注: 安全专家最新版 已经改名为: 终截者入侵阻止 www.s-sos.net-------------------------------------------------------------------------------------------------------尊敬的管理员,各位版主:  你好!  我是skyxnet,以前也称为"东毒君",我的Blog是:http://skyxnet.blogdriver.com ,在本站的一个"转载精华"中看到我的原创帖既然被帖上他人之名,详细请看以下链接:http://bbs.hackbase.com/viewthread-2969528-1.html (打造个性化免杀版防火墙、杀毒软件)  仅此声明一下而已.  现在我重新发的这几篇帖都属于我和我的团队(Terminator Lab 终截者入侵阻止实验室).希望大家在转载之时,请勿清除声明信息及尊敬原作者的一番辛苦! 谢谢!
小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论


新出炉

返回顶部