只能說超機車的木馬! 從去年的12月30號(印象中),搞到今年的1月1號...(還跨年)
不過到今天才大概的塵埃落定! 畢竟這種木馬沒有趕盡殺絕的話,換句話說也就是春風吹又生阿!
不過藉由這次的研究之後發現了不少好玩的東西,不過也不是很深入啦! 所以希望看官們不要太過於失望... 可以抱著大家互相學習、教學相長的心來增進彼此的技術喔!
此次的木馬可以從一位鄉民手邊傳過來的,也是我故意請他傳過來讓我研究研究! 其實在X1上面就已經有人探討這個類型的木馬,不過這次傳過來的檔案屬於變種的木馬... 根據我拜問孤狗大神的結果,竟然原始種是從2008年5~6月發現到的木馬,而這個木馬應該是晚了幾個月發展出來的! 不過解決的方法應該是大同小異,其實用文字的方式說明的話,可能就會幾行帶過去! 這樣就代表我的篇幅太少啦! 這樣不好... 讓我多灌點水好了~~~
呵呵... 畢竟最近除了忙這個之外,也有忙其他的事情~~~
OK~ 這次的廢話也是多了一些~ 呼呼~ 別見怪阿~! 好啦!回歸正題 開始來進行故意中毒的測試階段吧!
這是當初還沒有中毒的狀態! 個人我比較強烈建議 "active port" 、 "Tcp View" 、 "CurrPorts"...
至於有興趣的話,也順便可以使用 process explorer ... 功能還比工作管理員強上許多,不過有發現這個木馬搞怪的東西還真多哩! 啥?! 這有點像是 rookit 的方面...
目前乾淨執行狀態,可以參考看看...
這是另外一套可以查看記憶體常駐的相關程式的執行狀況
這是新收到的釣餌 + 機車木馬 ...
解開之後... 給她用力的執行下去吧~~~~~~~~
這... 不知道啥個鬼東西~~~
執行之後... 就準備開始暗中搞破壞了... 出現這個畫面! 只是釣餌... 一個超級無用處的釣餌~~~
只能說好奇心殺死貓啊!(偶素故意的!
)
可以注意一下 救護車 的 icon ~~~ 當然這個檔名要注意一下,這也是木馬的呼叫程式!
這時候除了 winupgro.exe 在執行之外,那個 setup.exe 就開始解開木馬並且進行登錄檔的破壞與加強木馬的繁殖能力~~~
這時候就開始發現一堆莫名奇妙的連線吧~~~
這時候會越來越多...
由於我實驗了最少不下十多次~~~ 所以我知道該木馬的核心大概落在這個位置之外,還有另外一個位置!
這個木馬很好心的... 會順便讓你的OS重新開機,以便更佳讓木馬來深入植入這個作業系統當中!!
一樣重新開機之後,開啟 TCP View ...
就會發現另外一個木馬的核心,這個還會主動幫你向外連線之外,還順便幫你download一拖拉股的木馬回來...
這個也要注意,這叫 wintems.exe ..
同時開啟兩套來觀察這個木馬...
這時候依然會開啟一拖拉股的對外連線... 真的是...
這個不知名的連線越來越多~~~ 越來越多~~~
來看看其他也是木馬的核心...
這也是其他的木馬核心...
誇不誇張~~~ 有沒有搞錯阿! 除了 wintems.exe 的大量傳輸之外,還有這個 flec006.exe 也會主動對外大量連線~~~
無聊看看有沒有辦法能夠直接從小傘網站下載下來之後進行安裝的動作...
哈哈哈~~~~ 沒有用~~~~ 這種機車的木馬都會抵制那些防毒軟體的常駐以及執行等等...
換這套呢? 那就 Try 看看吧~~~
一樣安裝完成之後,還是發生錯誤訊息! 這依然是木馬的阻擋不給掃描~~~
先下載 spyware terminator...
一樣發生無法安裝的狀況~~~~
先來看看 登錄檔吧... 可以搜尋一下 flec006.exe 所在的位置! 但是不建議刪除,因為刪除是沒有用的... 重新開機之後,依然會啟動木馬,依然的改寫你的系統登錄檔~~~~
這是啥?! 可以先記錄一下檔名~~~ 賣個關子先~~~
我先匯出中毒過後的系統登錄檔案... 這個地方你就算刪除匯入... 還會發生匯入失敗的狀況~~~
其實在這邊就可以發現,這算是更核心的木馬控制主程式~ 這也是為什麼這個木馬執行過後沒有多久,就必須要重新開機的狀況! 因為... 該木馬就是要偽裝成某個裝置的驅動程式,所以就算你刪除隻前所提到的木馬執行的檔案,卻是沒有用... 依然會繼續產生與繁殖~~~ 那刪除呢?! 對不起... 由於這屬於驅動程式的部份,除了安全模式之外... 就不能刪除了... 因為那是屬於專用的驅動程式,是不可以隨便刪除...
其實這個 srosa.sys 不只是存在一個地方... 還放在一些地方~~~
這個也是重點之一~~~ 沒有根除這個木馬,你再怎麼刪除也都沒有用啦!
其實這個部份算是有點沒有標明好... 不過後面也就很容易知道這個目錄是幹麻的~~~
好啦! 說破就是... 木馬多加去下載別種的木馬所放置的其中位置之一...
來看看 winupgro.exe 的位置...
可以看看... 這個工作管理員有多麼的... 有點給他不夠強大吧!
來看看木馬所在的位置~~~ 不過不用急的刪除~~~ 就算刪除... 一樣清不掉~~~ 哈哈~~~
看一下裡頭有啥檔案~~~ 若是使用不顯示"隱藏檔"的話,就看不到這兩個檔案了!
其實 srosa.sys 也會變來變去,經過我多次的實驗不僅 srosa.sys 也會變成 srosa2.sys 與 srosa1.sys 之類的
切換到另外一個目錄~~~ 發現一些怪怪的副檔名 oct 的檔案~~~ 也不用刪~~~
這只是去下載一些有的沒有的木馬
這個木馬好玩的地方也有一個,也是從X1那邊來的資訊~~~ 一樣都是變種的木馬,相信習性也差不多!
那就來隨便一個地方新增檔案~~~ 不過這個部份可以參考一下~~~ 那就來隨便新增這個檔案吧!
執行一下之後會發現這個好玩的狀況吧! 一執行就消失了~~~ 夠詭異吧~~~~
不信?! 來顯示隱藏檔案~~~ 奇怪~~~ 才剛剛新增的執行檔案就這樣憑空消失了!
來使用這個發現系統被修改什麼東西... 可以發現內建的ICS的防護功能就被關閉了!!!
還有... 內建的安全中心也被關閉了~~~ 真是徹底的搞怪的木馬啊!
不過經過測試,就算你在這裡開啟服務也沒有用... 重新開機又恢復原狀啦!
其實這個也遭受感染與置換了~~~~
開機也會啟動三個"木馬" 執行檔~~~ 這邊刪除也沒有用~~~
總言
目前在木馬的"淫威"之下,怎麼樣抵抗都是沒有用的~~~
那... 開機到安全模式呢?
很抱歉~~~ 你的作業系統會送給你這樣的畫面
中毒後的狀況:
1. 剛中毒的時,是不知覺的強制重新開機!
2. 重新開機之後,就會loading srosa.sys 這個驅動...
3. 記憶體當中最起碼會被執行 winupgro.exe (工作管理員看的到,也可以強制關閉,不過沒有用,因為背後有 srosa.sys 在操控)
4. 若使用 CurrPorts or TCP View 來查看隱藏的執行與該程式的對外連線,若細心的人會發現 flec006.exe 、 wintems.exe 主動大量對外連線,並且這兩個木馬還會幫你下載一拖拉股的木馬程式下來...
5. 若啟動IE之後,會呼叫更多的木馬程式... 這部分應該在我的猜想,應該是要側錄你的鍵盤與上網所傳輸的資料等等相關的資訊~~~
6. 由於這個木馬還會去搞其他的程式 (在X1上面有發現) 以我的測試環境太過於單純,所以只發現 VMWare Tray 會遭受木馬程式的置換
7. 木馬程式主要位置在於
%APPDATA%\m 、 %APPDATA%\drivers <=== 這兩個資料夾
%systemroot%\system32\wintems.exe 、 %systemroot%\system32\mdelk.exe <=== 這兩個執行檔
%USERPROFILE%\Local Settings\Temporary Internet Files\Content.IE5 <====這個資料夾裡頭的東西
%SystemDrive%\System Volume Information <========= 這算是系統還原點
%USERPROFILE%\Cookies <=========== 這是有問題的Cookie
%systemroot%\Prefetch <=== 這個應該是執行所需要預備讀取的紀錄吧
*備註: 還有其他的隱藏地方! 這部份需要看系統登錄檔才有辦法決定該置換的檔案為何! 不過上面已經提到了,可以藉由查看開機時所啟動的程式.... 來慢慢檢視遭受置換或者感染的檔案為何~~~~
8. 進入 安全模式 都會發生藍色畫面,不論是怎麼樣的進去... 就算使用 Antivirus Boot CD 開機掃除木馬之後,還是沒有辦法修復~~~ 這個部份的原因其實很簡單(X1也有提過) 也就是因為安全模式的機碼被刪除了~~~ 所以造成藍色畫面無法進入的狀況,後面則會說明如何修復安全模式。
9. 除了上頭的機碼被修改之外! 還有一些被木馬新增的地方 (大方向)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\Document and Settings\Administrator\Application Data\drivers\downld\xxxxx.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\Document and Settings\Administrator\Application Data\drivers\winupgro.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINNT\system32\wintems.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINNT\system32\mdelk.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\Document and Settings\Administrator\Application Data\drivers\flec006.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\Document and Settings\Administrator\Application Data\drivers\x.bat
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\drvsyskit=C:\Document and Settings\Administrator\Application Data\m\flec006.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\german.exe=C:\WINNT\system32\wintems.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\drvsyskit=C:\Document and Settings\Administrator\Application Data\drivers\winupgro.exe
10. 根據個人的觀察,不少掃毒軟體的BootCD都會將木馬程式變更名稱之外(包含核心與已知),還發現這些掃毒軟體比較不會去更動到系統登錄檔當中的紀錄~~~ 所以依然需要使用手動的方式來加以清除,或者採用一些 SPYWare的軟體來給予清除!
中毒前後的差別
中毒後開啟IE的前後差別
點我則有相關的解毒教學
此文章於 2009-01-05 17:40 由
wst2080 編輯過
