Messenger病毒机理分析 （转自剑盟）

顽石不泪

Messenger病毒机理分析：(IE首页被锁定为htp:///7b.com.cn为防止误点，特做处理）


●病毒样本：  Messenger.exe
●病毒诞生于：2006年10月20日, 20:14:07
●病毒作用机理分析：
1.病毒执行后，生成三个文件：
  C:\\Program Files\\Tencent\\QQ\\Messenger.exe  属性：-HS-
  C:\\Program Files\\Tencent\\QQ\\UpdateUI.dll  属性：----
  C:\\WINDOWS\\system32\\Maxthonz.dll  属性：-HS-
2.病毒将打开计算机的两个端口后门：UDP 1025 、UDP 1900 。
3.设置IE首页为：http://7b.com.cn/  ，并予以锁定。
4.Hosts文件重定向：
  Hosts: 60.191.60.114 www.7322.com
  Hosts: 60.191.60.114 www.4199.com
  Hosts: 60.191.60.114 www.9505.com
  Hosts: 60.191.60.114 www.2345.com
  Hosts: 218.5.76.175 www.huoche.com.cn
  Hosts: 218.5.76.175 www.lieche.cn
  Hosts: 218.5.76.175 www.ipiao.com.cn
  Hosts: 218.5.76.175 train.hepost.com
  Hosts: 218.5.76.175 www.huochepiao.com
5.通过Maxthonz.dll进行IE浏览器协议劫持：
  Filter: text/html - {0EB00690-8FA1-11D3-96C7-829E3EA50C29} - C:\\WINDOWS\\system32\\Maxthonz.dll
6.添加7处注册表键值，企图自启动激活病毒体：
  [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft NT\\Windows\\CurrentVersion\\Winlogon]
  \"Shell\"=\"Explorer.exe C:\\\\Program Files\\\\Tencent\\\\QQ\\\\Messenger.exe\"
  [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]
  \"Messenger.exe\"=\"C:\\\\Program Files\\\\Tencent\\\\QQ\\\\Messenger.exe\"
  \"Realplayer.exe\"=\"C:\\\\Program Files\\\\Tencent\\\\QQ\\\\Messenger.exe\"
  \"Messager.exe\"=\"C:\\\\Program Files\\\\Tencent\\\\QQ\\\\Messenger.exe\"
  [HKEY_USERS\\S-1-5-21-299502267-1035525444-725345543-500\\Software\\Microsoft\\Windows\\CurrentVersion\\Run]
  \"ctfmon.exe\"=\"C:\\\\WINDOWS\\\\system32\\\\ctfmon.exe\"
  \"Messenger.exe\"=\"C:\\\\Program Files\\\\Tencent\\\\QQ\\\\Messenger.exe\"
  \"Realplayer.exe\"=\"C:\\\\Program Files\\\\Tencent\\\\QQ\\\\Messenger.exe\"
  \"Messager.exe\"=\"C:\\\\Program Files\\\\Tencent\\\\QQ\\\\Messenger.exe\"
  （注：S-1-5-21-299502267-1035525444-725345543-500是与账号相关的字符串，不同的计算机该字符串略有差别）
7.Messenger.exe 病毒体主程序，守护上述注册表项目。一旦上述键值被修改或删除则立即恢复。
  UpdateUI.dll 从其名称猜测为病毒体的自动升级，至于真实情况是否确实如此暂时没有进行验证。
  Maxthonz.dll 进行IE浏览器协议劫持，前面已经论述了。
●手动杀毒步骤：
1.拔除网线(断网)，并重新启动计算机，按F8选择“安全模式”登陆。
2.找到下列三个文件，将其删除：
  C:\\Program Files\\Tencent\\QQ\\Messenger.exe
  C:\\Program Files\\Tencent\\QQ\\UpdateUI.dll
  C:\\WINDOWS\\system32\\Maxthonz.dll
  注意：Messenger.exe、Maxthonz.dll是系统、隐藏属性，需要在文件夹选项中设置其可见。
3.设置IE浏览器首页为空白(about:blank)或者是你所喜欢的安全的站点(例如：http://www.baidu.com)
4.采用工具：HijackThis.exe 修复下列项目：(网上很多站点提供该工具的下载，最新版本v1.991)
  O1 - Hosts: 60.191.60.114 www.7322.com
  O1 - Hosts: 60.191.60.114 www.4199.com
  O1 - Hosts: 60.191.60.114 www.9505.com
  O1 - Hosts: 60.191.60.114 www.2345.com
  O1 - Hosts: 218.5.76.175 www.huoche.com.cn
  O1 - Hosts: 218.5.76.175 www.lieche.cn
  O1 - Hosts: 218.5.76.175 www.ipiao.com.cn
  O1 - Hosts: 218.5.76.175 train.hepost.com
  O1 - Hosts: 218.5.76.175 www.huochepiao.com
  O18 - Filter: text/html - {0EB00690-8FA1-11D3-96C7-829E3EA50C29} - C:\\WINDOWS\\system32\\Maxthonz.dll

●点评：
1#.该程序从作用机理方面看，——浏览器劫持、Hosts文件重定向、IE首页锁定……，这和流氓软件同出一辙。
但从其本质来说，更贴近病毒的特征，——开启额外的端口后门。
2#.病毒体的释放路径特殊，恰巧是QQ的默认安装路径：
C:\\Program Files\\Tencent\\QQ\\
暂时还没有测试和验证该病毒与QQ之间是否有关联，会否造成QQ的密码或者聊天纪录的泄漏。3#.幸好该病毒体通过注册表：
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft NT\\Windows\\CurrentVersion\\Winlogon
加载，
而并不是Windows系统负责登陆验证机制的：
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon
不然处理不当的话，很可能导致的会将是灾难。



PS：谁有样本 传个上来看看有多厉害

喜喜哈哈

楼猪的帖太高深了
都 不知道怎么顶……