恶意网站16a.us(svchost.exe,romdrivers.dll)的分析

出处:DSW Avert 时间:2007年6月01日
一、事件分析:
  
  近日,数据安全实验室监测到恶意网站16a.us危害用户。如果存在ANI漏洞的机器访问过该网站,那么该机器所在局域网内的其他机器访问大多数网站时,页面显示都会异常,并会下载木马程序Trojan-Downloader.JS.Agent.gd。当查看HTML源码,用户会发现在所有网页内会被嵌入“http://16a.us/2.js”字符串。该网站利用ANI漏洞使存在漏洞的用户下载病毒文件。 它传播的病毒还会进ARP欺骗,使用户下载其他木马程序,进而盗取用户敏感信息,同时造成局域网内经常掉线,网络极不稳定。
  病毒地址:http://16a.us/ok/mytest2.jpg和http://16a.us/oK/svchost.exe。
二、16a.us病毒分析如下:
   
1、病毒描述:
    病毒文件包括svchost.exe和mytest2.jpg。mytest2.jpg为ANI溢出文件,它利用ANI漏洞,使存在该漏洞的机器下载并运
  行svchost.exe。运行svchost.exe后,会下载大量病毒,进行ARP欺骗、盗取用户个人信息、网络游戏帐号和密码、连接远程
  机器接受控制等。并且病毒更新非常频繁,会更改下载病毒文件的路径(现在替换路径ok为sign)。但域名还是16a.us。
2、病毒标签:
    病毒名称:virus.win32.autorun.am //svchost.exe文件
    //病毒名称:exploit.win32.IMG-ANI.gen mytest2.jpg文件
    病毒别名:16a.us
    病毒类型:病毒
    危害级别:5
    感染平台:Windows 平台
    病毒大小:19,506 (字节)
        SHA1:a5af7d96c47127b44fb976319ce389deec0b8334
    加壳类型:upx
    开发工具:Delphi
3、病毒分析:
    (1) 运行文件后
      新建 %ProgramFiles%\Internet Explorer\romdrivers.bak  19,506 bytes
      新建 %ProgramFiles%\Internet Explorer\romdrivers.dll  13,874 bytes
      新建 %ProgramFiles%\Internet Explorer\romdrivers.bkk  13,874 bytes
      romdrivers.dll插入进程explore.exe进行自我保护,监控系统,进行ARP欺骗。
    (2) 删除文件 %system32%\drivers\etc\hosts解除对恶意网站的屏蔽,然后每16分钟左右查询是否已经存在将要下载的
      病毒文件,如果存在就运行病毒,如果没有就从16a.us上下载回来。
    (3) 下载到目录 %Temp%如下13个文件
      csrss.exe 45,963 bytes  
      svchost32.exe 46,073 bytes
      smss.exe 45,512 bytes
      services.exe 44,889 bytes
      svchost.exe 44,152 bytes
      ctfmon.exe 46,736 bytes
      mmc.exe 45,197 bytes
      IEXPLORE.EXE 45,105 bytes
      stpgldk.exe 45,916 bytes
      srogm.exe 46,366 bytes
      spglsdr.exe 45,524 bytes
      copypfh.exe 47,017 bytes
      conime.exe 45,197 bytes
      //以上文件均为游戏盗号木马(属于Trojan-PSW.Win32.OnLineGames),它们还会被进行免杀处理。 因为系统环境问
      题或没有安装相关游戏文件,有的文件会不能运行或运行出错。
    (4) 运行以上文件会释放以下文件:
      fyso.exe,jtso.exe,mhso.exe,qjso.exe,qqso.exe,wgso.exe,wlso.exe,wmso.exe,
      woso.exe,ztso.exe,daso.exe,tlso.exe,rxso.exe 和(“相应文件名”+0).dll
      例:
      fyso.exe 对应dll文件为fyso0.dll
    (5) 并把文件名中的“o”改为“a” 做为注册表启动项的键名,添加到注册表中。
      例:  
      键路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
       键名:wosa
       键值:"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\woso.exe"
    (6) 其中wlso0.dll插入所有非系统进程。

4、该病毒解决方案:
    手动清除步骤:
      (1) 结束病毒进程,用超级巡警的“进程管理”功能中的“强制卸载标记模块”“删除标记模块文件”卸载并删除
        插入explorer.exe的DLL
      (2) 删除其他病毒文件
      (3) 删除启动项目
      (4) 安装ANI补丁
      (5) 使用使用超级巡警中“恶意网站屏蔽”功能,在该功能下单击右键,然后单击“添加恶意网站”屏蔽该网站

    推荐使用超级巡警来查杀此病毒,步骤如下:
      (1) 将特征库升级到最新
      (2) 对系统进行全面扫描
      (3) 删除所有的增加的注册表键
      (4) 安装ANI补丁
      (5) 使用使用超级巡警中“恶意网站屏蔽”功能,在该功能下单击右键,然后单击“添加恶意网站”屏蔽该网站

5、ANI补丁下载: 
     各版本操作系统补丁(KB925902)下载地址:

     Windows XP 安全更新程序 (KB925902)
     http://download.microsoft.com/download/5/8/3/58324bce-00c5-42b7-bd05-1353c0604dab/
     WindowsXP-KB925902-x86-CHS.exe
     Windows XP x64 Edition 安全更新程序 (KB925902)
     http://download.microsoft.com/download/c/9/8/c9801bd3-60f1-4d7f-9059-57786b2e0fb6/
     WindowsServer2003.WindowsXP-KB925902-x64-CHS.exe
     Windows Vista 安全更新程序 (KB925902)
     http://download.microsoft.com/download/0/4/7/0472557e-05f2-471e-a018-3286d63c51c3/
     Windows6.0-KB925902-x86.msu
     Windows Vista x64 Edition 安全更新程序 (KB925902)
     http://download.microsoft.com/download/e/c/6/ec655640-a995-436a-895a-5997bd3a7552/
     Windows6.0-KB925902-x64.msu
     Windows Server 2003 安全更新程序 (KB925902)
     http://download.microsoft.com/download/d/8/f/d8fc1f92-a8a3-490a-b8c1-70258436e37f/
     WindowsServer2003-KB925902-x86-CHS.exe
     Windows Server 2003 x64 Edition 安全更新程序 (KB925902)
     http://download.microsoft.com/download/3/e/f/3ef26e17-4a40-4a26-afe9-806fc06c4135/
     WindowsServer2003.WindowsXP-KB925902-x64-CHS.exe
     Windows 2000 安全更新程序 (KB925902)
     http://download.microsoft.com/download/d/4/d/d4d5b707-58a9-4fbc-ab58-e20cc86db7bb/
     Windows2000-KB925902-x86-CHS.EXE
三、附:ARP病毒总结       //部分内容转自网络   

1、病毒症状:
    当局域网内某台主机运行ARP欺骗的病毒程序时,会欺骗局域网内所有主机和路由器,让所有上网的流量必须经过病毒主
  机。 病毒发作时其症状表现为计算机网络连接正常,却无法打开网页、经常强行访问某些网页,或局域网用户上网不稳定、
  无故掉线,极大地影响了同局域网内用户的正常使用。

2、病毒原理:  
    在局域网中,是通过ARP协议来完成IP地址转换为MAC地址的。 ARP协议对网络安全具有重要的意义。 每个主机都用一个
  ARP高速缓存存放最近IP地址到MAC硬件地址之间的映射记录。默认情况下,ARP从缓存中读取映射记录,缓存中的映射记录是
  根据ARP响应包动态变化的。ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候,就会对
  本地的ARP缓存进行更新,将应答中的IP和MAC地址存储在ARP缓存中。 因此,只要网络上有ARP响应包发送到本机,即会更新
  ARP高速缓存中的映射记录。攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中映射记录。当攻击源大
  量向局域网中发送虚假的ARP信息后,就会造成局域网中的机器ARP缓存的出错。 通过伪造IP地址和MAC地址实现ARP欺骗,能
  够在网络中产生大量的ARP通信量使网络阻塞或者实现中间人攻击, 进行ARP重定向和嗅探攻击。

3、解决方案
    对于ARP病毒,即使你的机器没有感染病毒,但你所在的局域网中有机器感染了病毒。你仍然会被不能忍受的网速、无故
  掉线以及网址的重定向所困扰。在ARP欺骗病毒开始运行的时候,局域网所有主机的MAC地址更新为病毒主机的MAC地址( 即所
  有信息的MAC New地址都一致为病毒主机的MAC地址),同时在路由器的“用户统计”中看到所有用户的MAC地址信息都一样。
    (1)在命令行下输入并执行以下命令:ipconfig /all记录网关 IP 地址,即Default Gateway对应的值。
    (2)再输入并执行以下命令:arp –a
    (3)在Internet Address下找到上步记录的网关IP地址,记录其对应的物理地址,即Physical Address 值。 在网络正常
  时这就是网关的正确物理地址,在网络受ARP欺骗病毒影响而不正常时,它就是病毒所在计算机的网卡物理地址。也可以扫描
  本子网内的全部IP地址,然后再查ARP表。如果有一个IP对应的物理地址与网关的相同,那么这个IP地址和物理地址就是中毒
  计算机的IP地址和网卡物理地址。本方法可在一定程度上减轻中木马的其它计算机对本机的影响。 用上边介绍的方法确定正
  确的网关 IP地址和网关物理地址。
    (4) 输入并执行以下命令:arp –s 网关 IP 网关物理地址 。
    (5) 对感染病毒的机器进行杀毒处理。

4、安全建议:
    (1) 安装防病毒软件,并更新至最新病毒库,然后对内存和硬盘进行全面扫描。
    (2) 更新操作系统补丁,修复弱口令。
    (3) 使用文件共享功能,应先设置好权限并加上一定强度的密码,尽量不设置可写或可控制。
    (4) 打开防病毒软件的邮件监控功能,不要随意打开不熟悉的电子邮件,尤其是邮件附件。
    (5) 不要随便登陆不明网站,输入个人或计算机敏感信息时,要对网站可信度进行确认。
    (6) 先对移动存储介质其进行病毒扫描,再进行文件访问。
    (7) 做好系统和重要数据的备份。

 

    超级巡警:彻底查杀各种木马,全面保护系统安全。
    更多免费工具下载:http://www.dswlab.com
    专业的桌面与内容安全产品:http://www.unnoo.com

Copyright(c) DSW Lab All rights reserved