日志文章

2006年07月27日 17:10:35

驱动木马覆灭记

驱动木马覆灭记
http://bbs.s-sos.net/viewthread.php?tid=7715&extra=page%3D1%26filter%3Ddigest


篇首语:
  现在的木马越来越厉害,从Ring 3 到期 Ring 0直接杀进来。本文亦是从大概原理出发,配合工具挖掘出这只“千里马”。

测试环境:
  Windows Xp
  终截者入侵阻止 v5.0
  安全分析专家 v0.4
  IceSword v1.16
  反病毒调试程序 v1.2
  Process Explorer v10.11
还有纸和笔…

开始了。。。
  首先,还是要先激活这只“睡马”,醒了之后才会去找主人的。


终截者入侵阻止中的“安全预警“拦截了,正问是否要放过这只“马”呢,一看,既然是自己玩的“马“,当然要“允许”啦
很快,文件监视器生效了,可以在“病毒监控”框中记录下这只马跑过的地方,下过的蛋。。。嘿嘿。。


把记录复制出来看看:

创建时间: 2006-06-15 14:31:37
位   置:d:\windows\system32\yumhyeuj.d1l
>>> 注意, 这个文件的后缀是 .d1l (中间的是 数字 1 )
创建时间: 2006-06-15 14:31:37
位   置:d:\windows\system32\drivers\yumhyeuj.sys
>>> 驱动保护。驱动名:Yumhyeuj

创建时间: 2006-06-15 14:31:37
位   置:d:\windows\system32\yumhyeuj.dll
>>> 注意,这个后经缀是字母 .dll

创建时间: 2006-06-15 14:31:48
位   置:d:\windows\system32\config\systemprofile\local settings\temporary internet files\content.ie5\qg85n3v1\xiaoyin[1].txt
>>>> 内容为:221.235.234.211:80

创建时间: 2006-06-15 14:32:19
位   置:d:\docume~1\cyq\locals~1\temp\yumhyeuj.log


看看还有什么漏网之鱼,拿出“安全分析专家”,GO GO GO





发现了一个隐藏进程和一个隐藏服务
这里没有显示出 “完整的路径名称” 是否为BUG?

注: 在注册表中可以找到具体的而且是完整的路径名称:\??\D:\WINDOWS\System32\drivers\Yumhyeuj.sys <? 马脚露出来了
(是否在编程读取路径时碰到\??导致读取失败)


还有一个dll,则进来这里了。

想要去搜索这些文件,愣是没有找到??? 怎么可能? 难道这是一只“天马”?

在CMD及资源管理器中是看不到这些病毒的存在的。

使用IceSword 查看SDT表, 原来系统被HOOK了文件的查找。


Quote:

d:windowssystem32driversYumhyeuj.sys   0x8058c1f4   NtQuerySystemInformation
d:windowssystem32driversYumhyeuj.sys   0x805961e4   NtQueryDirectoryFile
在这两个函数中无论是从CMD下还是在资源管理器中,实现了隐藏指定文件名的功能!
d:windowssystem32driversYumhyeuj.sys   0x805843fb   NtQueryValueKey
d:windowssystem32driversYumhyeuj.sys   0x805997c4   NtDeviceIoControlFile
d:windowssystem32driversYumhyeuj.sys   0x8057e323   NtEnumerateKey
d:windowssystem32driversYumhyeuj.sys   0x8056b5f7   NtEnumerateValueKey
d:windowssystem32driversYumhyeuj.sys   0x8058372f   NtOpenKEY

再用记事本打开d:\docume~1\cyq\locals~1\temp\yumhyeuj.log看看它里面有什么内容

记录的格式:


Quote:

  时间               窗口       路径名称
[2006-06-15 14:54:21] 口令 C:Program FilesFoxmailFoxmail.exe
****       ç 这里存放记录的口令
[2006-06-15 14:54:25] 口令 C:Program FilesFoxmailFoxmail.exe
****       <= 这里存放记录到邮箱密码
[2006-06-15 14:54:28] 解析主机地址 C:Program FilesFoxmailFoxmail.exe


小结:
  这只马首先会生成以下三个文件 yumhyeuj.d1l 、yumhyeuj.sys 、yumhyeuj.dll
还有一个是yumhyeuj.log,这里记录着你输入的任何一个键盘信息,包括你的帐号与密码
而xiaoyin[1].txt这个文件则记录着这只马的老家地址,发送个指令什么的。偶尔发送些东西什么的。。。
然后,在一瞬间的时间,Process Explorer 中显示,Svchost.exe 正创建一个进程Iexplorer.exe (正常的浏览器进程),只是被注入了两个DLL(yumhyeuj.d1l 、yumhyeuj.dll),实现其隐藏进程功能及监听TCP 1030 端口。
从哪个.sys的文件来看,系统是被创建了驱动服务。






清除:
  打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services,删除服务名为:Yumhyeuj 的驱动服务。
  这里记得不要急着去终止那个具有隐藏进程的Iexplorer.exe进程,一旦被终止,系统会被重启!
恢复
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmserver\Parameters下的ServiceDll =     %SystemRoot%\System32\dmserver.dll
被替换掉的内容参见下图

  最后,重新启动后,删除三个小马(yumhyeuj.d1l 、yumhyeuj.sys 、yumhyeuj.dll)OK。世界清静啦!

完结!

类别: 防病毒技术 |  评论(3) |  浏览(2804) |  收藏
一共有 3 条评论
3楼 [楼主]逆风飞扬 2006年10月01日 10:01:04 Says:
内部版已经经过优化... 把一些无用的信息过滤掉;

不过, 现在的网络... 不适合我如此热心共享...

看到某些网站一转载就打上自家名号. 这个修改标题,那个修改版权的.

哈哈.. 好东西还是自己用着...
2楼 [匿名]guest 2006年09月03日 21:50:48 Says:
那个反病毒调试程序. 无用的监控信息太多.

如果可以的话,请优化下,把一些常用,无用的信息过滤掉. 谢谢. 支持下
1楼 [匿名]guest 2006年08月06日 16:16:49 Says:
好文章,收了
发表评论
看不清楚,换一张