[注:请不要转载本文]

5月2日服务器受到了ARP攻击,本站由于也是寄存在该服务器的,故同样受到了攻击,早9:05~10:27发现挂马、午12:09~12:48发现挂马,其他时段暂未发现挂马。目前情况来看挂马大概已经修复了。本文为挂马者所挂木马的一种可能的解决方案。

挂马者:mail.qq.com.wwvv.us 相关信息(数据来自whois.hichina.com与ip138.com)
Register: Zhou Jingliang / nihuo13@live.cn (音/周敬良)
Location: 202.103.221.20 广西省河池市电信 (HeChi City,GuangXi Province)

挂马地址:mail.qq.com.wwvv.us/images/css/swf.swf

代码分析:该页面会判断,如果网址中含有“gov”字样则不执行任何操作,否则指向www.hao123.com.wwvv.us子域名下许多挂马地址,其利用的漏洞有(以下以补丁包名代替):
KB979352(极光漏洞、Aurora)[jg.htm]
KB981374(极风漏洞)[jf.htm]
KB972260(MPEG-2视频漏洞)[mepeg.htm]
KB973472(Office Spreadsheet ActiveX漏洞)[of.htm]
暴风影音2009缓冲区溢出漏洞(StormCodec buffer overflow exploit)[bf.htm]
KB980182(MS10018漏洞)[018.htm]
以及一个统计代码tj.htm

每个漏洞都指向hxxp://www.baidu.cn.wwvv.us/images/css/css.exe


文件: css.exe
语言: Microsoft Win32 Cabinet Self-Extractor
类型: TR/Dropper
MD5 : A19BF44658B3E00D9428261D374CA748
加壳: -
大小: 86,016 字节
时间: 2010-5-2 11:29:27
sacour.cn 本文禁止转载

包含rar.exe、winrar.exe

文件: RAR.exe
语言: Microsoft Visual C++ 6.0/7.0
类型: TR/Downloader
MD5 : D95F2228D25AFEE5E062837F02110F9D
加壳: Morphine v2.7 --> Holy_Father & Ratter/29A
大小: 9,216 字节
时间: 2010-3-17 1:55:04
sacour.cn 本文禁止转载

OEP:00401000/imagebase=00400000

程序使用InternetOpenA启动一个sAgent名为Shell的网络链接,用GetTempFileNameA获取一个临时文件名,如.\33.tmp,调用InternetOpenUrlA访问hxxp://www.baidu.com.wwvv.us/images/css/updates/1.swf并保存到.\33.tmp(之前的文件名),如果33.tmp大小小于15字节,则程序退出。
如果列表大于15字节,则程序会将里面的内容抽出,建立线程(CreateThread)下载它们。

线程动作:
线程首先使用GetTempFileNameA获取一个临时文件名(如.\34.tmp),然后程序休眠1000毫秒,执行下载动作。

程序会下载如下文件到本地的临时目录:
hxxp://www.163.com.wwvv.us/images/css/updates/ie.exe
hxxp://www.163.com.wwvv.us/images/css/updates/82.exe
hxxp://www.163.com.wwvv.us/images/css/updates/13.exe
hxxp://www.163.com.wwvv.us/images/css/updates/ah.exe
hxxp://www.163.com.wwvv.us/images/css/updates/hosts.exe

下载完毕后,程序会使用CreateProcessA执行这些文件。

附:该程序的ImportREC的IAT树,可以监测文件对这些函数的调用:
Target: C:\Sandbox\blast\DefaultBox\drive\C\RAR.exe
OEP: 00001000 IATRVA: 000013EA IATSize: 000000A8

FThunk: 000013EA NbFunc: 0000002E
1 000013EA kernel32.dll 0032 CloseHandle
1 000013F0 kernel32.dll 0050 CreateFileA
1 000013F6 kernel32.dll 0051 CreateFileMappingA
1 000013FC kernel32.dll 0063 CreateProcessA
1 00001402 kernel32.dll 006D CreateThread
1 00001408 kernel32.dll 00B7 ExitProcess
1 0000140E kernel32.dll 015C GetFileSize
1 00001414 kernel32.dll 0198 GetProcAddress
1 0000141A kernel32.dll 01AD GetStartupInfoA
1 00001420 kernel32.dll 01C7 GetTempFileNameA
1 00001426 kernel32.dll 0242 LoadLibraryA
1 0000142C kernel32.dll 0258 MapViewOfFile
1 00001432 kernel32.dll 02C6 RtlZeroMemory
1 00001438 kernel32.dll 02FE SetEndOfFile
1 0000143E kernel32.dll 0340 Sleep
1 00001444 kernel32.dll 035C UnmapViewOfFile
1 0000144A kernel32.dll 038D WriteFile
1 00001450 kernel32.dll 03AF lstrcpyA
1 00001456 advapi32.dll 01CC RegCloseKey
1 0000145C advapi32.dll 01E6 RegOpenKeyExA
1 00001462 advapi32.dll 01F0 RegQueryValueExA
1 00001468 wininet.dll 00CE HttpQueryInfoA
1 0000146E wininet.dll 00E0 InternetCloseHandle
1 00001474 wininet.dll 00F7 InternetGetConnectedState
1 0000147A wininet.dll 010C InternetOpenA
1 00001480 wininet.dll 010D InternetOpenUrlA
1 00001486 wininet.dll 0114 InternetReadFile
1 0000148C wininet.dll 0121 InternetSetOptionA

文件: WinRAR.exe
语言: Borland Delphi 6.0 - 7.0 (PEiD)
类型: TR/
MD5 : BEEA1A7D48BC07A2E78A22022A4CA979
加壳: Packman V0.0.0.1 -> Bubbasoft
大小: 20,758 字节
时间: 2010-3-17 3:01:42
sacour.cn 本文禁止转载

OEP:131470F8/imagebase=13140000,ESP定律可脱。

启动后程序查找(FindWindowA)是否有Shell_TrayWnd类的窗体,如果有则GetWindowThreadProcessId获取其线程id,并试图写入程序进程。
程序会复制自己到%WINDIR%\xydzyh.exe,然后建立一个bat删除自身(winrar.exe)。

然后程序设置xydzyh.exe的属性为HS,在HKLM\Software\Microsoft\Windows\CurrentVersion\Run建立一个启动项,名为xydzyh,指向xydzyh.exe,这样程序就可以在每次开机时启动了。


需要清理的文件列表/Files need to be removed:
*:\snow.exe
*:\autorun.inf
c:\windows\CTFM0N.exe
c:\windows\system32\FastUserSwitchingCompatibilityex.dll
c:\windows\system32\Remember.dll
c:\windows\system32\snowfall.exe
c:\windows\system32\xydzyh.exe
c:\windows\system32\1.inf
c:\windows\system32\beep.sys (仅当出现上述文件应删除)
c:\windows\system32\hosts (仅当出现上述文件应清空)
c:\windows\temp\13259562_ex.tmp
C:\Program Files\Common Files\Microsoft Shared\MSINFO\iejore.exe

请使用Unlocker(http://www.skycn.com/soft/23022.html)删除以上文件,如果您确信是因为本站早间被挂马导致了您中毒且无法清除的话,请加QQ 50189695,我将尽力清除病毒。