资深黑客带您全面解剖“木马下载者”(5)

作者: 子明出处:51CTO.com　2008-03-11 15:55　砖好评论条　进入论坛

阅读提示：特洛伊木马(Trojan)病毒，是指隐藏在正常程序中的一段具有特殊功能的恶意代码，具备破坏和删除文件，发送密码，记录键盘和攻击等功能，会使用户系统被破坏甚至瘫痪。恶意的木马程序也具有计算机病毒的特征。

5．Trojan-Downloader.VBS.Psyme.ap 分析
病毒名称： Trojan-Downloader.VBS.Psyme.ap
病毒类型：木马
危害等级：中
文件长度： 3,143 字节
感染系统： windows 9x 以上版本
开发工具： Visual Basic Script

病毒描述：
该脚本被运行后会从网络上下载其他木马程序，病在感染主机上运行。该脚本试图终止某些程序的进程，复制自身到 %system% 目录下，下载四个病毒到 %system% 目录下，大量修改、新建注册表，加入数十个 iexplore.exe 到系统进程，修改IE浏览器首页地址。

行为分析：
（1）该 VBS 病毒运行后会终止试图终止 outlook.exe 、 drweb.exe 的进程
（2）病毒运行后，会从网络上下载四个木马到感染主机运行。该病毒被下载到 %system%下，病毒明分别为：
dstart.exe 病毒名： Trojan.Win32.Dialer.gd
dstart1.exe 病毒名： Trojan-Proxy.Win32.Sobit.e
dstart2.exe 病毒名： Trojan.Win32.Dialer.ht
dstart3.exe 病毒名： Trojan.Downloader.Win32.Small.rd
修改 %system% system.ini 文件。
（3）修改IE设置，首页地址被修改为http://bbs.sejie.com/
（4）大量修改、新建注册表，举例如下：

HKEY_USERS\S-1-5-21-1960408961-413027322-839522115-500\Software\Microsoft\
Windows\CurrentVersion\Run\xp_system 
键值 : 字串 : "C:\WINNT\inet10065\winlogon.exe" 
HKEY_USERS\S-1-5-21-1960408961-413027322-839522115-500\Software\Microsoft\
Windows\CurrentVersion\Explorer
\RecentDocs\.htm\MRUList
键值 : 字串 : "a" 
HKEY_USERS\S-1-5-21-1960408961-413027322-839522115-500\Software\Microsoft\
Windows\CurrentVersion\Explorer
\FileExts\.htm\OpenWithList\a
键值 : 字串 : "iexplore.exe" 
HKEY_USERS\S-1-5-21-1960408961-413027322-839522115-500
\Software\Microsoft\Windows NT\CurrentVersion\Windows\run 
键值 : 字串 : "C:\WINNT\inet10065\winlogon.exe" 
HKEY_USERS\S-1-5-21-1960408961-413027322-839522115-500
\Software\Microsoft\Internet Explorer
\Main\Error Dlg Displayed On Every Error
键值 : 字串 : "no" 
HKEY_USERS\S-1-5-21-1960408961-413027322-839522115-500
\Software\Microsoft\Internet Explorer\Main\Enable Browser Extensions 
键值 : 字串 : "yes" 
HKEY_USERS\S-1-5-21-1960408961-413027322-839522115-500
\Software\Microsoft\Internet Explorer\Main\Error Dlg Details Pane Open
键值 : 字串 : "no" 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root
\LEGACY_RASMAN\0000\DeviceDesc 
键值 : 字串 : "Remote Access Connection Manager" 
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
{5321E378-FFAD-4999-8C62-03CA8155F0B3}\InprocServer32\@ 
键值 : 字串 : "C:\WINNT\inet10065\3.00.05.dll" 
其中，在如下注册表位置，大量新键键值 
HKEY_USERS\S-1-5-21-1960408961-413027322-839522115-500
\Software\Microsoft\Internet Explorer\Keywords\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Tracing\BAP\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Tracing\RASMAN\
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\RasMan\Enum\
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\PerfProc\Performance\
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\Fax\Performance\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface
\{FD1302BD-4080-11D1-A3AC-00C04FB950DC}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\ContentFilter\Performance\
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root
\LEGACY_RASMAN\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip
\Performance\WbemAdapFileTime
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\Spooler\Performance\WbemAdapFileSize
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\TapiSrv\Performance\WbemAdapFileSize
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\RasMan\Parameters\IpOutLowWatermark
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\RemoteAccess\Performance\WbemAdapStatus

清除方案：
（1）终止掉病毒相对应的进程。
（2）删除病毒对应文件
（3）恢复系统设置。

6．Trojan downloader.JS.Phel.f分析
病毒名称：Trojan downloader.JS.Phel.f
中文名：“肥饵”变种f
病毒长度：可变
病毒类型：木马下载器
危害等级：严重
影响平台：Win XP

病毒描述：
Trojan downloader.JS.Phel.f“肥饵”变种f是一个利用微软MS05-001漏洞进行传播的木马下载器。“肥饵”变种f运行后，在系统目录下创建病毒文件。修改注册表，实现开机自启。利用ADODB控件从指定站点下载特定文件，保存在系统盘下，文件名是My.hta，实现.hta文件的开机自启。侦听黑客指令，连接特定站点，在被感染计算机上下载并执行其它病毒。

共7页: 上一页 [1] [2] [3] [4] 5 [6] [7] 下一页

【内容导航】

第 1 页：什么是Trojan-Downloader木马？	第 2 页：Trojan-Downloader木马分析（1）
第 3 页：Trojan-Downloader木马分析（2）	第 4 页：Trojan-Downloader木马分析（3）
第 5 页：Trojan-Downloader木马分析（4）	第 6 页：如何防范Trojan-Download类木马病毒
第 7 页：当今病毒技术的发展

关于木马下载者木马黑客的

文章

博文

帖子

· 警惕：中国电子政务网(www.e-gov.org.cn)被黑..(03/10)

· 节后上班应升级杀毒软件防范木马和黑客(02/14)

· 木马大盗：盗银行密码只是好奇(01/23)

· 黑客的最爱：木马Rootkits和僵尸Botnets(01/22)

· “网页挂马”新形态初现木马传播数量激增(01/15)

· 中国黑客否认受雇于政府

· 企业网络的安全保障 - 新的防病毒木马体系的建..

· 病毒预警：AUTO病毒与木马下载器

· Windows Server2003防木马权限设置IIS服务器安..

· 黑客谈国内僵尸网络的现状与发展

· 玩家本周当心木马病毒线上游戏窃取者变种

· 中国黑客否认受雇于政府

· 流行应用软件成为黑客/病毒的攻击重点

· 【防木马小常识】修复第三方软件漏洞，掐断木..

· 病毒防治：木马病毒的万能查杀方法

专题

我也说两句

叫好

拍砖

中国领先的 IT 技术网站 ·
技术成就梦想

·简单驱动编写与windbg调试
·浅谈国内的渗透评估过程

· PC安全隐患：29%僵尸电..
· 安全宝典：六条建议帮..
· 通过路由器基础设置使..
· 发现新病毒 ntldr.exe ..
· J0ker的CISSP之路：系..
· J0ker的CISSP之路：复..

· Forefront与企业安全架..
· 安全技巧：用CAR控制思..
· 认清网页恶意代码教你..
· 玩家本周当心木马病毒 ..
· 中国黑客否认受雇于政府
· 流行应用软件成为黑客/..

排行榜

·ARP攻击防范与解决方案 (查看200720次)
·ARP病毒攻击技术分析与防御 (查看41126次)
·远程控制软件VNC教程和对内网机.. (查看36062次)
·2007年八款高性价比杀毒软件对.. (查看34364次)
·我是黑客我怕谁——讲述黑客的.. (查看32985次)

·ARP攻击防范与解决方案 (567个砖)
·51CTO安全专访：信息安全的基石—安全操作系统 (443个砖)
·51CTO调查：七成技术人员不相信“可杀未知病毒” (431个砖)
·身份认证技术 (185个砖)
·病毒查杀专题 (168个砖)

·清除流氓软件——51CTO特别专题 (707个好)
·ARP攻击防范与解决方案 (536个好)
·51CTO调查：七成技术人员不相信“可杀未知病毒” (483个好)
·51CTO安全专访：信息安全的基石—安全操作系统 (461个好)
·深入了解PGP加密技术 (198个好)

·安全防范与策略 (12月)
·网络技术经典基础教程 (09月)
·CISSP认证成长之路 (09月)
·国内安全厂商新排名出炉谁是你心中的第一 (08月)
·冷眼旁观2007年半年安全报告 (07月)

·编程之美——微软技术面试心得
·企业网络管理员如何有效通过路由器..

· 经典之作：Flickr.com..
· Google开放源码提供An..
· IBM未来三年将投资统一..
· 用速率控制CAR管理非法..
· 巧用ESX实现文件和打印..
· 实例讲解用Cisco 3550..
· 2007全球交换机销售收..
· 详解5个典型Linux字符..

· 华为深圳坠亡员工之前..
· EMC出价1.78亿美元与长..
· 2008年计算机等级考试..
· 信息产业部或将调整？1..
· IBM日立联手32纳米芯片..
· 最新资料抢先读：Windo..
· 51CTO 独家翻译图书：..
· 博客园开发者征途：.NE..

订阅技术快讯

电子杂志下载

名称：SQL Server数据库管理精品黄皮书
简介：书中文章经过精挑细选，便于用户能根据自己的实际工作和学习，快速在本书寻找到相关资料。内容涵盖了SQL Server的安装与升级、语句查询、数据备份和恢复、自动化任务、数据同步、数据字典、安全和预防、性能和优化、集群等各方面应用信息，以及DBA管理人员在数据库管理工作中

名称：2007路由技术大全
简介：《2007路由技术大全》由51CTO.com网站特别策划制作，该书包括路由器技术、路由器产品、路由器配置、安全设置、路由器故障处理、路由器密码恢复，以及广大网友在实践使用中的心得经验和技巧文章，内容注重实用性，适用于初学者入门，也适合多年从业者提高，是一本实践和理论完

名称：网络安全精品应用黄皮书
简介：《2007精品网络安全黄皮书》包括了9个大类24个小类， 800余篇文章，内容包含了熊猫烧香病毒、DDOS攻击、ARP病等热点问题的介绍及解决方案。从病毒查杀、防范、系统、数据等各方面的安全设置到黑客技术的了解、防范，涉及到了安全应用的全部领域, 由浅至深内容全面。

专题

最多好

最多砖