南瓜园

 找回密码
 注册
查看: 1950|回复: 0

分析EXE木马文件关联报告

[复制链接]
发表于 2011-8-5 14:07:09 | 显示全部楼层 |阅读模式
(01)木马文件描述:
木马文件(原名是什么,已不重要,因为文件名可以随时改变),大小;264848;字节,
呈IE图标形状。   来源:DOS命令大全
请大家看看C:\Program;Files\Internet;Explorer里面的IEXPLORE.EXE的形状,与之极
为相似,不过该木马文件比IEXPLORE.EXE颜色略深(不作对比很难看得出来),而且IE
XPLORE.EXE右上角有点泛白,而该木马文件没有。
从图标来看,具有相当大的迷惑性。
(02)文件改变监控:
双击运行该木马文件,无任何现象
——我一声冷笑:笨马!连出错显示都没有!细心的人都会问:这是怎么回事?
半分钟后,LOCKDOWN2000报警,显示注册表系统自动启动程序已作出改变:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
(默认)=";C:\WINDOWS\KERENL32.EXE";
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
(默认)=";C:\WINDOWS\KERENL32.EXE";
(03)《KVW3000;技术支持信息文件》的自动启动程序增添两项内容:
========================================
[自动运行程序]
系统自动启动程序(Run):
;;;;;;;;;1.;ScanRegistry=C:\WINDOWS\scanregw.exe;/autorun
;;;;;;;;;2.;SystemTray=SysTray.Exe
;;;;;;;;;3.;LoadPowerProfile=Rundll32.exe;powrprof.dll,LoadCurrentPwrScheme
;;;;;;;;;4.;VoodooBanshee=rundll32.exe;3DfxVBps.dll,BansheeLoadSettings
;;;;;;;;;5.;TaskMonitor=C:\WINDOWS\taskmon.exe
;;;;;;;;;6.;RavMon=C:\PROGRAM;FILES\RISING\RAV\RavMon.exe
;;;;;;;;;7.;internat.exe=internat.exe
;;;;;;;;;8.;=C:\WINDOWS\KERENL32.EXE——(新增加的内容)
系统自动启动服务(RunService):
;;;;;;;;;1.;LoadPowerProfile=Rundll32.exe;powrprof.dll,LoadCurrentPwrScheme
;;;;;;;;;2.;RavMon=C:\PROGRAM;FILES\RISING\RAV\RavMon.exe
;;;;;;;;;3.;=C:\WINDOWS\KERENL32.EXE——(新增加的内容)
(04)木马文件:
C:\WINDOWS\目录下增加两个文件:
KERENL32.EXE(264848;B、呈IE图标形状,与该木马文件一样,开头已描述得很详细了

——是不是想混淆视听?WINDOWS的系统文件是KERENL32.DLL!看清楚咯!
Expleror.EXE(264848;B、呈IE图标形状,与该木马文件一样,开头已描述得很详细了

——是不是想混淆视听?WINDOWS的系统文件是Explorer.EXE!看清楚咯!
(05)注册表记录:
运行REGEDIT,打开注册表,查找“KERENL32.EXE”、“Expleror.EXE”的痕迹,共有四
条记录:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
(默认)=";C:\WINDOWS\KERENL32.EXE";
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
(默认)=";C:\WINDOWS\KERENL32.EXE";
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
(默认)=";C:\WINDOWS\Expleror.exe;%1;%*";
[HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command]
(默认)=";C:\WINDOWS\Expleror.exe;%1;%*";
——我不禁倒抽一口冷气:这是一个恶毒的EXE文件关联木马,在注册表里实行连锁。如
果贸然将木马清除的话,嘿嘿,等着重装系统吧
(06)清除问题:
打开C:\WINDOWS\目录,其中,Expleror.exe可以删除,而KERENL32.EXE不能删除(访问
被拒绝)
(07)进程察看:
(A)以CTRL+ALT+DELETE三键弹出关闭程序列表,关闭程序列表中不见有“KERENL32.E
XE”进程
(B)打开网络卫兵共享版,在“系统进程监察”,赫然发现“KERENL32.EXE”进程的存
在;而且在右上角的“进程信息”中,明显看见一个IE形状的图标(KERENL32.EXE的图
标)。
(C)打开WINDOWS优化大师(Ver;3.6;Build;0423;标准版),在“系统安全优化”——
“进程管理”中,同样发现“KERENL32.EXE”进程的存在。
(08)贸然删除木马的后遗症:
由于Expleror.exe可以删除,我将其丢入回收站,再打开EXE文件,出现如下提示:
“WINDOWS无法找到;Expleror.exe。该程序用于打开‘应用程序’类型的文件”,同时
需要用户手工定位Expleror.exe的位置所在,否则无法打开任何EXE文件。
——这只是丢入回收站,尚有反悔的机会,如果是永久性删除的话……不用我废话了吧

为验证我的猜想,我硬是不恢复,重启计算机后,一切程序可以正常运行。
怪事!!!
我马上又再次彻查,哦,原来Expleror.exe又出现在C:\WINDOWS\目录下!
(09)顽强的木马复活能力:
(A)以进程管理工具(网络卫兵共享版的“系统进程监察”)强行将“KERENL32.EXE”
进程中止,同时删除木马的注册表自动启动键值:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
(默认)=";C:\WINDOWS\KERENL32.EXE";
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
(默认)=";C:\WINDOWS\KERENL32.EXE";
并马上将KERENL32.EXE丢入回收站。
此时,如果再打开任何一个EXE文件,在C:\WINDOWS\目录里马上再生成一个KERENL32.E
XE木马程序,而且,木马的自动启动程序又再次被添加上注册表。同时,在网络卫兵共
享版的“系统进程监察”栏中,赫然发现“Expleror.exe”进程的存在。只要用户重新
启动计算机,木马文件“KERENL32.EXE”将再次启动,生生不息,循环不止。
(B)同期直接运行TXT、JPG、MP3、HTM、DOC、ZIP等文件,未见再有KERENL32.EXE木马
程序的生成。
(C)对某几个文件做右键菜单选择:如“瑞星杀毒”、“金山毒霸”、“KVW3000查毒
”、“添加到;XXX.ZIP”等右键菜单操作,关闭程序后,同样未见再有KERENL32.EXE木
马程序的生成。
(D)对某几个文件做右键菜单“快速查看”,KERENL32.EXE木马程序又再次生成在C:\
WINDOWS\目录下。
(10)表面对比验证:
由于KERENL32.EXE、Expleror.exe两个文件大小、图标相同,我将这两个文件复制到桌
面上,先清除木马在注册表所留下的四处痕迹,然后终止“KERENL32.EXE”进程,并删
除C:\WINDOWS\目录下的KERENL32.EXE、Expleror.exe两个木马文件(还原正常的系统)
,最后逐个试验。
事实证明:无论运行哪一个文件,都会在C:\WINDOWS\目录下一分为二,在注册表所留下
的四处痕迹也完全相同。
——我猜想:这两个文件体是完全相同的,至于一分为二,目的是一个作文件关联,另
一个做随机启动。两者互为犄角,形成连环马阵势。无论哪一方被清除,另一方依然有
复活的机会。
由于我不懂任何编程,更不会反汇编、反编译等手段分析,暂时无法验证了。
(11)乾坤一掷(A@帅捶胸顿足:“OH,MY;MONEY……”)
对木马在注册表所修改的四项不作更改的前提下,我将KERENL32.EXE、Expleror.exe两
个木马删除,重新启动计算机……(模拟反病毒软件在DOS状态下清除木马)
情况并没有我想象中严重。WINDOWS依然能进入,文件夹依然能打开,直接双击TXT、JP
G、MP3、HTM、DOC、ZIP等文件依然可以运行。不过,想运行EXE文件?NO;WAY!
——木马在冷笑:“想抛弃我?没门!我死,你也活不成!”
——我也微微一笑:“这样就想要我重装系统?你还嫩了一点。”
(12)手工去除:
运行REGEDIT,更改注册表:
——慢!既然任何EXE文件无法运行,如何运行REGEDIT?
——哦?无法运行的只是EXE文件,并没有说COM不能运行呀!
——打开C:\WINDOWS\目录,将REGEDIT.EXE改名为REGEDIT.COM,不是可以了么?
删除此自动启动键值:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
(默认)=";C:\WINDOWS\KERENL32.EXE";
删除此自动启动键值:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
(默认)=";C:\WINDOWS\KERENL32.EXE";
更改注册表:
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
";C:\WINDOWS\Expleror.exe;%1;%*";
更改为
";%1";;%*
(13)反思:
本次木马测试可以告一段落了,但并不是结尾,我也高兴不起来。
面对文件关联类的木马,我不禁陷入沉思中。
对于木马文件,反病毒软件一向是删除了事。对于仅仅自启动的木马,对系统尚无影响
;但对于文件关联类(如TXT、ZIP、EXE)的木马呢?前者尚好办,可以有多种方法手工
恢复;后者呢?却不是每一个使用者都会修改注册表的!
请看看受害者的贴子,在清除木马的同时很无奈地重装系统。
您需要登录后才可以回帖 登录 | 注册

本版积分规则

请大家牢记南瓜园网址 www.nan2008.com

QQ|小黑屋|手机版|Archiver|南瓜园

GMT+8, 2024-12-23 22:47 , Processed in 0.092831 second(s), 19 queries .

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表