Trojan/Generic.apyqx
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003/Vista
Trojan/Generic.apyqx 是一款信息收集的下载者,针对特定的进程进行恶意病毒的下载,如果当前系统内进程无下载配置文件列表中相同的信息,则不对系统进行下载,初次运行会先检测当前系统环境操作系统系统版本,本机机器名,MAC地址,是否有敏感进程(如QQ)等这些,都会收集发送到黑客自己的服务器上,并将自身复制到软件安装目录下,“C:\Program Files\Common Files”名称为“lsass.exe”,(lsass.exe是微软自身系统文件,它用于本地安全和登陆策略 ),这里病毒伪装成”lsass.exe“是用来欺骗用户。在安全软件发现威胁的时候诱导用户点击放过。并且运行过程程序不会自删,监视系统内进程的创建,发现敏感线程则读取服务器中的病毒进行下载,配置文件为加密的INI文件,Windows提供一组API供操作INI文件,在配置文件解析上变得很简单。在重启后此病毒并不会随系统启动而启动。
样本初次运行后会搭建执行环境,将自身复制到“C:\Program Files\Common Files”目录下并重命名为“lsass.exe”。运行伪装的“lsass.exe”后,便进入遍历当前进程列表的工作流程,将当前进程列表完全保存起来,取得当前系统的机器名,网卡地址,后开始连接网络,下载配置文件到本地,存储在“C:\Program Files\Common Files”目录下名称为“iexplore.ini”,内容被加密,解密后内容存储与相应进程配对的下载文件。
Trojan/Generic.apyqx 执行后会在后台启动“C:\Program Files\Common Files\lsass.exe”一直监视系统进程的创建,更新进程列表,以便对相应的进程进行对应的下载。这么做的目的主要是为了防止大量的截取信息软件的运行导致系统变慢,从而做成针对性的截取,防止用户察觉。
网络行为
http://102.***.***.101:8866/xz.txt 配置文件
http://102.***.***.101:88/count.asp?mac=xxxxx&id=00&explorer=xxxx 将本机信息传递至服务端
Trojan/Generic.apyqx 病毒不是传统病毒那样完成自身任务后会自删除,会添加开机启动项等,这些都没有做,只是初次运行后把自己伪装成系统文件(lsass.exe),以lsass.exe进程运行,用户发现后会搜索此进程功能,系统进程都会有相应的描述,以此来伪装欺骗用户放过。新意的地方是在下载病毒中,并不像以往病毒那样全部下载病毒到本地运行,而是有针对性的选择进行下载,控制了用户机器状态,防止因为过卡导致重启或者重装系统。
Trojan/Generic.apyqx 并没有对开机启动做操作,所以在系统内没有它关注的进程的情况下,只需重启就可以不被干扰了。若是有被关注的进程且已下载病毒的情况下,就需要安全软件进行扫描了。
预防和清除:
在进程列表中找到名为“lsass.exe”的进程,且执行路径是“C:\Program Files\Common Files\lsass.exe”,停止并且删除路径文件lsass.exe。
Trojan.Generic.rnn
警惕程度 ★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003/Vista
Trojan.Generic.rnn 病毒是一个被感染的系统DLL文件,里面被修改了原本的功能,DLL默认的功能是系统lpk.dll的文件,被修改后只保留了其导出表部分是原本dll信息,这是为了防止其他程序加载的时候出现异常,导致系统崩溃。感染lpk后,会在lpk.dll里写入资源文件,资源文件为可执行文件。
当Trojan.Generic.rnn被加载时,首先会检测当前名称是否为"lpk.dll",如果不是则从资源中释放出可执行宿主程序,到临时目录"temp"中,并立即运行。可执行文件执行后进行系统服务的添加,并连接网络下载其他病毒至本地计算机,破坏用户系统安全。
病毒行为流程分析:
一、Trojan.Generic.rnn 病毒其自身不会执行,需要其他可执行程序自动调用完成。系统感染之后,会在每个可执行文件的当前目录存放一个lpk.dll被感染的文件,当可执行文件运行后,会自动优先加载当前目录下的lpk.dll运行。
二、Trojan.Generic.rnn初次执行会检测自身的名称是否是lpk.dll,若不是从资源中加载其宿主执行文件到"temp"目录中,并立即创建进程运行。Dll自身防止多重加载则创建互斥体"Nationalpmm", 当相同一个进程两次加载lpk.dll时,第二次则会跳过相关环境的搭建。
三、Trojan.Generic.rnn 释放的文件在"temp"目录中运行后,会在系统服务器中添加一个服务项,先将自身复制到"c:windowssystem32"目录下,重新命名文件为xxx.exe(xxx为系统时间),调用系统API函数添加服务名称为"Nationalpmm",服务文件名为"c:windowssystem32tsqse.exe",文件名称为随机名称,每次加载服务名称都不会变。完成环境的搭建以后则进行服务启动。
四、当服务启动的时候会创建傀儡进程来完成其他病毒的下载,Svchosts.exe创建时候就把它挂起。然后得到它的装载基址,使用函数ZwUnmapViewOfSection来卸载这个这个基址内存空间的数据,。再用VirtualAllocEx来个Svchosts.exe进程重新分配内存空间,大小为要注入程序的大小(就是自身的imagesize)。使用WriteProcessMemory重新写Svchosts,.exe进程的基址,就是刚才分配的内存空间的地址。再用WriteProcessMemory把自己的代码写入Svchosts,.exe的内存空间。用SetThreadContext设置下进程状态,最后使用ResumeThread继续运行Svchosts,.exe进程。
五、Svchosts.exe的功能完成后自动退出,Svchosts.exe功能遍历当前磁盘的可执行文件,并在可执行文件当前目录释放隐藏的lpk.dll感染文件,保证病毒自身不会被查杀。并且调用UrldownLoadTofile 连接网站并下载其他病毒程序。
病毒技术要点
Trojan.Generic.rnn 对系统具有破坏性,感染的文件和程序在运行过程中会不断自我复制,自我检测,并且一个宿主文件里写了多种用途,自身可执行,并可添加至服务中继续运行,模块可以供其他程序调用,防止查杀,对抗杀毒部分使用傀儡创建"Svchosts.exe"进行寄生,混淆杀软检测,感染EXE的是 相同目录下的lpk.dll的劫持,对EXE文件没有进行修改,比较隐蔽的感染系统。
预防和清除:
1.所有进程中扫描Lpk.dll(感染劫持文件), 内存特征.卸载内存镜象;
2.查找HKLMSYSTEMControlSet001ControlSession Manager键值 PendingFileRenameOperations, 清空;
3.服务Distribukhq, 找到并删除,删除服务的执行体文件.可在HKLMSYSTEMControlSet001ServicesNationalpmm 下ImagePath中看见路径;
4.删除local settingTemp 目录中Hrxx.tmp 删除. 查找windowstemp目录下,查找hrxx.tmp 并删除;
5.遍利所有盘符目录中查找lpk.dll ,其文件属性为系统属性,只读隐藏属性,找到清除;
钓鱼网站提示:
**.**8866866666.com/
www.**7888888888.com/
www.**7888888888.com/analytics.php
www.**7888888888.com/app/member/upupflash.php
**loadoadadd.**pornornrnn.
挂马网站提示:
http://iposchen.**222.org
http://wwwxxx.**666.org
http://nmll.**222.org
http://hj688.**222.org
http://88899.**222.org
请勿打开类似上述网站,保持计算机的网络防火墙打开。
以上信息由上海市网络与信息安全应急管理事务中心提供