Backdoor.DarkHole.2004 & Trojan.PSW.Heidong2004.dll,qq.dll 病毒分析&清除
2007-05-10 14:09
459 查看
Backdoor.DarkHole.2004 & Trojan.PSW.Heidong2004.dll 病毒分析&清除
作者:东毒君 2005.3.18
病毒分析:
1,该病毒使用了远程线程创建技术,将病毒DLL(kv2004.dll && QQ.dll)注入到Explorer.exe进程中;
2,病毒体QQ.exe采用了ASPack 2.12加壳处理,并且修改了壳的特征,具有反抗自动脱壳机能力,这里采用手工脱壳,但亦无法修复正常
而且均将这些文件的属性设置为只读和隐藏,加强了其隐蔽性;
3,病毒通过记录窗体名称其键盘键入来记录感染病毒者系统中的私人信息,如QQ密码,邮件密码,BBS密码、、、针对QQ聊天内容,其只记录英文及数字, 不含中文 , 然后将其写入 %windir%/norton.dll 中,适时的将这个含有个人信息的文件发送出去;(极度愤怒写病毒之人用心之狠与无聊...)
4, 在kv2004.dll中提供输出函数功能,用于捕获键盘内容的处理,StopkeySpy、StartkeySpy ;
5, 估计是病毒程序未经过多测试,感染的系统会出现多个程序的内存访问异常;从病毒中可知,该病毒编译于2004.12.23也算是个较新的病毒了,也许还有其变种。。。
病毒相关的一些信息:(自个理解吧...)
cmd_ConnectMark:
cmd_ServerPswVerify
cmd_ServerLogin
cmd_GetDriverList
str_ReceiveDriverList
cmd_GetDirFilesList
str_ReceiveDirFilesList
cmd_DownLoadFile
str_ReceiveFile
cmd_UpLoadFile str_SendFile
cmd_DownLoadDirectory
cmd_DownLoadAllSrcFile
str_ReciveDirectory
cmd_UpLoadDirectory
str_DirectoryDataFinish
cmd_SearchFile
str_ReciveSearchFile
str_FileManagerResult
str_FileOpenSucc
str_FileOpenFail
str_DeleteFileSucc
str_DeleteFileFail
str_DeleteDirectorySucc
str_DeleteDirectoryFail
str_CreateDirectorySucc
str_CreateDirectoryFail
str_RenameFileDirectorySucc
str_RenameFileDirectoryFail
cmd_remoteOpen
cmd_OpenModeHide
cmd_OpenModeMax
cmd_OpenModeMin
cmd_OpenModeNor
cmd_DeleteFile
cmd_DeleteDirectory
cmd_CreateDirectory
cmd_RenameFileDirectory
cmd_GetScreen
str_ReciveScreen
cmd_MousePostion
cmd_MouseLeftUp
cmd_MouseLeftDown
cmd_MouseRightUp
cmd_MouseRightDown
cmd_KeyBoardUp
cmd_KeyBoardDown
cmd_GetAllProcess
str_ReciveAllProcess
cmd_KillProcess
cmd_GetAllForms
str_ReciveAllForms
cmd_FormsCommand cmd_FormHide
cmd_FormMin
cmd_FormMax cmd_FormShow
cmd_FormClose cmd_FormKill
cmd_GetAllPassword
str_SysPswDisable
str_ReciveAllPassword
cmd_GetKeyLog
str_ReciveKeyLog
str_KeySpyDisable
str_KeyLogNotFound
cmd_ClearKeyLog
cmd_GetSystemInfo
str_ReciveSystemInfo
cmd_StartTelNet
str_ReciveTelNet
cmd_CheckUsbCamExists
str_CheckUsbCamResult
cmd_StartSendUsbCamData
str_ReciveUsbCamData
cmd_UsbCamCap
cmd_CheckVoiceInCanUses
str_CheckVoiceInResult
cmd_StartSendVoiceData cmd_PowerOff
cmd_PowerReset
cmd_PowerLogout
cmd_Uninstall
cmd_RegEditGetKeyValueInfo
str_RegEditReciveKeyValueInfo
str_RegEditResult
cmd_RegEditCreateKey
str_RegEditCreateKeySucc
str_RegEditCreateKeyFail
cmd_RegEditCreateString
str_RegEditCreateStringSucc
str_RegEditCreateStringFail
cmd_RegEditCreateDWORD
str_RegEditCreateDWORDSucc
str_RegEditCreateDWORDFail
cmd_RegEditCreateBinary
str_RegEditCreateBinarySucc
str_RegEditCreateBinaryFail
cmd_RegEditDeleteKey
str_RegEditDeleteKeySucc
str_RegEditDeleteKeyFail
cmd_RegEditDeleteValue
str_RegEditDeleteValueSucc
str_RegEditDeleteValueFail
cmd_RegEditRenameKey
str_RegEditRenameKeySucc
str_RegEditRenameKeyFail
cmd_RegEditRenameValue
str_RegEditRenameValueSucc
str_RegEditRenameValueFail
cmd_RegEditModifValue
str_RegEditModifValueSucc
str_RegEditModifValueFail
cmd_GetRecordList
str_ReceiveRecordList
病毒解决:
由于病毒用到了远程线程创建将病毒体注入到Explorer.exe进程,所以,我们必要先处理Explorer.exe, 打开“任务管理器”,终止Explorer.exe的进程,然后[创建新任务]:输入cmd.exe,打开CMD,切换目录到cd/windows/ system32到%system32%目录下:
在cmd下的操作指令:
1, 输入查找病毒的命令, dir qq.exe & dir qq.dll & dir /a kv2004.dll 回车后,如果存在,则显示:
驱动器 X 中的卷是 Win XP
卷的序列号是 ****-****
X:/WINDOWS/system32 的目录
2005-03-12 17:16 269,992 QQ.exe
1 个文件 269,992 字节
0 个目录 869,531,648 可用字节
驱动器 G 中的卷是 Win XP
卷的序列号是 8038-FE5D
X:/WINDOWS/system32 的目录
2005-03-18 13:52 200,850 QQ.dll
1 个文件 200,850 字节
0 个目录 869,531,648 可用字节
驱动器 G 中的卷是 Win XP
卷的序列号是 8038-FE5D
X:/WINDOWS/system32 的目录
2005-03-18 13:52 11,264 Kv2004.dll
1 个文件 11,264 字节
0 个目录 869,531,648 可用字节
2, 如果你的系统中也有这些文件存在的话,那么,基本上可以确定,你也中招了。。。接着,我们再继续输入指令:
attrib -s -h -r kv2004.dll ;去除该程序的隐藏,只读属性
del qq.exe & del qq.dll & del kv2004.dll ;同时删除三个病毒体,结果显示:
X:/WINDOWS/system32/Kv2004.dll
拒绝访问。
3, 先不管他了,这是为什么呢,因为这个KV2004.DLL不止注入到Explorer.exe进程中了,还有其他的程序被其注入了,我们先删除那个被记录的信息文件吧,切换到%windir%目录下,del norton.dll 吧!
4,无风不起浪! 我们把他的加载源也给处理掉!删除注册表以下的键值:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/policies/explorer/Run
"QQ"="x://WINDOWS//System32//QQ.exe"
5, OK, 重新启动一下, 接着再按着第2步,Del Kv2004.dll !
作者:东毒君 2005.3.18
病毒分析:
1,该病毒使用了远程线程创建技术,将病毒DLL(kv2004.dll && QQ.dll)注入到Explorer.exe进程中;
2,病毒体QQ.exe采用了ASPack 2.12加壳处理,并且修改了壳的特征,具有反抗自动脱壳机能力,这里采用手工脱壳,但亦无法修复正常
而且均将这些文件的属性设置为只读和隐藏,加强了其隐蔽性;
3,病毒通过记录窗体名称其键盘键入来记录感染病毒者系统中的私人信息,如QQ密码,邮件密码,BBS密码、、、针对QQ聊天内容,其只记录英文及数字, 不含中文 , 然后将其写入 %windir%/norton.dll 中,适时的将这个含有个人信息的文件发送出去;(极度愤怒写病毒之人用心之狠与无聊...)
4, 在kv2004.dll中提供输出函数功能,用于捕获键盘内容的处理,StopkeySpy、StartkeySpy ;
5, 估计是病毒程序未经过多测试,感染的系统会出现多个程序的内存访问异常;从病毒中可知,该病毒编译于2004.12.23也算是个较新的病毒了,也许还有其变种。。。
病毒相关的一些信息:(自个理解吧...)
cmd_ConnectMark:
cmd_ServerPswVerify
cmd_ServerLogin
cmd_GetDriverList
str_ReceiveDriverList
cmd_GetDirFilesList
str_ReceiveDirFilesList
cmd_DownLoadFile
str_ReceiveFile
cmd_UpLoadFile str_SendFile
cmd_DownLoadDirectory
cmd_DownLoadAllSrcFile
str_ReciveDirectory
cmd_UpLoadDirectory
str_DirectoryDataFinish
cmd_SearchFile
str_ReciveSearchFile
str_FileManagerResult
str_FileOpenSucc
str_FileOpenFail
str_DeleteFileSucc
str_DeleteFileFail
str_DeleteDirectorySucc
str_DeleteDirectoryFail
str_CreateDirectorySucc
str_CreateDirectoryFail
str_RenameFileDirectorySucc
str_RenameFileDirectoryFail
cmd_remoteOpen
cmd_OpenModeHide
cmd_OpenModeMax
cmd_OpenModeMin
cmd_OpenModeNor
cmd_DeleteFile
cmd_DeleteDirectory
cmd_CreateDirectory
cmd_RenameFileDirectory
cmd_GetScreen
str_ReciveScreen
cmd_MousePostion
cmd_MouseLeftUp
cmd_MouseLeftDown
cmd_MouseRightUp
cmd_MouseRightDown
cmd_KeyBoardUp
cmd_KeyBoardDown
cmd_GetAllProcess
str_ReciveAllProcess
cmd_KillProcess
cmd_GetAllForms
str_ReciveAllForms
cmd_FormsCommand cmd_FormHide
cmd_FormMin
cmd_FormMax cmd_FormShow
cmd_FormClose cmd_FormKill
cmd_GetAllPassword
str_SysPswDisable
str_ReciveAllPassword
cmd_GetKeyLog
str_ReciveKeyLog
str_KeySpyDisable
str_KeyLogNotFound
cmd_ClearKeyLog
cmd_GetSystemInfo
str_ReciveSystemInfo
cmd_StartTelNet
str_ReciveTelNet
cmd_CheckUsbCamExists
str_CheckUsbCamResult
cmd_StartSendUsbCamData
str_ReciveUsbCamData
cmd_UsbCamCap
cmd_CheckVoiceInCanUses
str_CheckVoiceInResult
cmd_StartSendVoiceData cmd_PowerOff
cmd_PowerReset
cmd_PowerLogout
cmd_Uninstall
cmd_RegEditGetKeyValueInfo
str_RegEditReciveKeyValueInfo
str_RegEditResult
cmd_RegEditCreateKey
str_RegEditCreateKeySucc
str_RegEditCreateKeyFail
cmd_RegEditCreateString
str_RegEditCreateStringSucc
str_RegEditCreateStringFail
cmd_RegEditCreateDWORD
str_RegEditCreateDWORDSucc
str_RegEditCreateDWORDFail
cmd_RegEditCreateBinary
str_RegEditCreateBinarySucc
str_RegEditCreateBinaryFail
cmd_RegEditDeleteKey
str_RegEditDeleteKeySucc
str_RegEditDeleteKeyFail
cmd_RegEditDeleteValue
str_RegEditDeleteValueSucc
str_RegEditDeleteValueFail
cmd_RegEditRenameKey
str_RegEditRenameKeySucc
str_RegEditRenameKeyFail
cmd_RegEditRenameValue
str_RegEditRenameValueSucc
str_RegEditRenameValueFail
cmd_RegEditModifValue
str_RegEditModifValueSucc
str_RegEditModifValueFail
cmd_GetRecordList
str_ReceiveRecordList
病毒解决:
由于病毒用到了远程线程创建将病毒体注入到Explorer.exe进程,所以,我们必要先处理Explorer.exe, 打开“任务管理器”,终止Explorer.exe的进程,然后[创建新任务]:输入cmd.exe,打开CMD,切换目录到cd/windows/ system32到%system32%目录下:
在cmd下的操作指令:
1, 输入查找病毒的命令, dir qq.exe & dir qq.dll & dir /a kv2004.dll 回车后,如果存在,则显示:
驱动器 X 中的卷是 Win XP
卷的序列号是 ****-****
X:/WINDOWS/system32 的目录
2005-03-12 17:16 269,992 QQ.exe
1 个文件 269,992 字节
0 个目录 869,531,648 可用字节
驱动器 G 中的卷是 Win XP
卷的序列号是 8038-FE5D
X:/WINDOWS/system32 的目录
2005-03-18 13:52 200,850 QQ.dll
1 个文件 200,850 字节
0 个目录 869,531,648 可用字节
驱动器 G 中的卷是 Win XP
卷的序列号是 8038-FE5D
X:/WINDOWS/system32 的目录
2005-03-18 13:52 11,264 Kv2004.dll
1 个文件 11,264 字节
0 个目录 869,531,648 可用字节
2, 如果你的系统中也有这些文件存在的话,那么,基本上可以确定,你也中招了。。。接着,我们再继续输入指令:
attrib -s -h -r kv2004.dll ;去除该程序的隐藏,只读属性
del qq.exe & del qq.dll & del kv2004.dll ;同时删除三个病毒体,结果显示:
X:/WINDOWS/system32/Kv2004.dll
拒绝访问。
3, 先不管他了,这是为什么呢,因为这个KV2004.DLL不止注入到Explorer.exe进程中了,还有其他的程序被其注入了,我们先删除那个被记录的信息文件吧,切换到%windir%目录下,del norton.dll 吧!
4,无风不起浪! 我们把他的加载源也给处理掉!删除注册表以下的键值:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/policies/explorer/Run
"QQ"="x://WINDOWS//System32//QQ.exe"
5, OK, 重新启动一下, 接着再按着第2步,Del Kv2004.dll !
相关文章推荐
- 清除Trojan.PSW.WoWar.qq等木马
- QQ自动发送文件病毒消息的手动清除方法正文分析错误
- winfoams.dll,auto.exe,450381EC.EXE病毒的手动清除方法
- Ghost Push —— Monkey Test & Time Service病毒分析报告
- Trojan.StartPage 生成%temp%/se.dll的清除方法
- dhapri.dll病毒的手工清除
- [转载]手动清除DLL后门(DLL backdoor)
- C++ extern "C" __declspec(dllexport) __declspec(dllinport) 修饰符分析
- QQ2004的Rich句柄查找方法以及尾巴病毒的实现
- 有关lpk.dll病毒的清除方法
- 解决病毒Trojan.DL.Small.azt、Trojan.DL.QQHelper.dsb、Dropper.Agent.bba等
- [06-26] 关于病毒Trojan.DL.Agent.alb的一点分析(第3版)
- Trojan-Downloader.HTML.IFrame.dm 卡巴报病毒清除办法
- 分析:为什么McAfee报告QQ程序是病毒
- Trojan.PSW.Jianghu.ak分析报告
- ztdll.dll病毒如何清除
- 【病毒分析】一份通过IPC$和lpk.dll感染方式的病毒分析报告
- test.exe,vista.exe,a.jpg,Flower.dll病毒分析解决
- fun.xls.exe病毒分析、查杀及批处理清除
- 盗取QQ密码的Trojan.PSW.QQPass.rky正通过QQ信息中的网址传播