望麓自卑—湖南大学最具潜力的校园传媒

 找回密码
 注册

QQ登录

只需一步,快速开始

查看: 1264|回复: 1

Messenger病毒机理分析 (转自剑盟)

[复制链接]
发表于 2006-10-22 00:32:08 | 显示全部楼层 |阅读模式
Messenger病毒机理分析:(IE首页被锁定为htp:///7b.com.cn为防止误点,特做处理)


●病毒样本:  Messenger.exe
●病毒诞生于:2006年10月20日, 20:14:07
●病毒作用机理分析:
1.病毒执行后,生成三个文件:
  C:\\Program Files\\Tencent\\QQ\\Messenger.exe  属性:-HS-
  C:\\Program Files\\Tencent\\QQ\\UpdateUI.dll  属性:----
  C:\\WINDOWS\\system32\\Maxthonz.dll  属性:-HS-
2.病毒将打开计算机的两个端口后门:UDP 1025 、UDP 1900 。
3.设置IE首页为:http://7b.com.cn/  ,并予以锁定。
4.Hosts文件重定向:
  Hosts: 60.191.60.114 www.7322.com
  Hosts: 60.191.60.114 www.4199.com
  Hosts: 60.191.60.114 www.9505.com
  Hosts: 60.191.60.114 www.2345.com
  Hosts: 218.5.76.175 www.huoche.com.cn
  Hosts: 218.5.76.175 www.lieche.cn
  Hosts: 218.5.76.175 www.ipiao.com.cn
  Hosts: 218.5.76.175 train.hepost.com
  Hosts: 218.5.76.175 www.huochepiao.com
5.通过Maxthonz.dll进行IE浏览器协议劫持:
  Filter: text/html - {0EB00690-8FA1-11D3-96C7-829E3EA50C29} - C:\\WINDOWS\\system32\\Maxthonz.dll
6.添加7处注册表键值,企图自启动激活病毒体:
  [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft NT\\Windows\\CurrentVersion\\Winlogon]
  \"Shell\"=\"Explorer.exe C:\\\\Program Files\\\\Tencent\\\\QQ\\\\Messenger.exe\"
  [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]
  \"Messenger.exe\"=\"C:\\\\Program Files\\\\Tencent\\\\QQ\\\\Messenger.exe\"
  \"Realplayer.exe\"=\"C:\\\\Program Files\\\\Tencent\\\\QQ\\\\Messenger.exe\"
  \"Messager.exe\"=\"C:\\\\Program Files\\\\Tencent\\\\QQ\\\\Messenger.exe\"
  [HKEY_USERS\\S-1-5-21-299502267-1035525444-725345543-500\\Software\\Microsoft\\Windows\\CurrentVersion\\Run]
  \"ctfmon.exe\"=\"C:\\\\WINDOWS\\\\system32\\\\ctfmon.exe\"
  \"Messenger.exe\"=\"C:\\\\Program Files\\\\Tencent\\\\QQ\\\\Messenger.exe\"
  \"Realplayer.exe\"=\"C:\\\\Program Files\\\\Tencent\\\\QQ\\\\Messenger.exe\"
  \"Messager.exe\"=\"C:\\\\Program Files\\\\Tencent\\\\QQ\\\\Messenger.exe\"
  (注:S-1-5-21-299502267-1035525444-725345543-500是与账号相关的字符串,不同的计算机该字符串略有差别)
7.Messenger.exe 病毒体主程序,守护上述注册表项目。一旦上述键值被修改或删除则立即恢复。
  UpdateUI.dll 从其名称猜测为病毒体的自动升级,至于真实情况是否确实如此暂时没有进行验证。
  Maxthonz.dll 进行IE浏览器协议劫持,前面已经论述了。
●手动杀毒步骤:
1.拔除网线(断网),并重新启动计算机,按F8选择“安全模式”登陆。
2.找到下列三个文件,将其删除:
  C:\\Program Files\\Tencent\\QQ\\Messenger.exe
  C:\\Program Files\\Tencent\\QQ\\UpdateUI.dll
  C:\\WINDOWS\\system32\\Maxthonz.dll
  注意:Messenger.exe、Maxthonz.dll是系统、隐藏属性,需要在文件夹选项中设置其可见。
3.设置IE浏览器首页为空白(about:blank)或者是你所喜欢的安全的站点(例如:http://www.baidu.com)
4.采用工具:HijackThis.exe 修复下列项目:(网上很多站点提供该工具的下载,最新版本v1.991)
  O1 - Hosts: 60.191.60.114 www.7322.com
  O1 - Hosts: 60.191.60.114 www.4199.com
  O1 - Hosts: 60.191.60.114 www.9505.com
  O1 - Hosts: 60.191.60.114 www.2345.com
  O1 - Hosts: 218.5.76.175 www.huoche.com.cn
  O1 - Hosts: 218.5.76.175 www.lieche.cn
  O1 - Hosts: 218.5.76.175 www.ipiao.com.cn
  O1 - Hosts: 218.5.76.175 train.hepost.com
  O1 - Hosts: 218.5.76.175 www.huochepiao.com
  O18 - Filter: text/html - {0EB00690-8FA1-11D3-96C7-829E3EA50C29} - C:\\WINDOWS\\system32\\Maxthonz.dll

●点评:
1#.该程序从作用机理方面看,——浏览器劫持、Hosts文件重定向、IE首页锁定……,这和流氓软件同出一辙。
但从其本质来说,更贴近病毒的特征,——开启额外的端口后门。
2#.病毒体的释放路径特殊,恰巧是QQ的默认安装路径:
C:\\Program Files\\Tencent\\QQ\\
暂时还没有测试和验证该病毒与QQ之间是否有关联,会否造成QQ的密码或者聊天纪录的泄漏。3#.幸好该病毒体通过注册表:
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft NT\\Windows\\CurrentVersion\\Winlogon
加载,
而并不是Windows系统负责登陆验证机制的:
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon
不然处理不当的话,很可能导致的会将是灾难。



PS:谁有样本 传个上来看看有多厉害
发表于 2006-11-17 23:10:14 | 显示全部楼层
楼猪的帖太高深了
都 不知道怎么顶……
您需要登录后才可以回帖 登录 | 注册

本版积分规则

关闭

每日推荐上一条 /1 下一条

小黑屋|手机版|湖南大学望麓自卑校园传媒 ( 湘ICP备14014987号 )

GMT+8, 2024-11-24 08:07 , Processed in 0.062001 second(s), 20 queries , Gzip On.

Powered by Discuz! X3.4

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表