原帖:[url]http://bbs.2dai.com/thread-660164-1-1.html[/url]
作者:nhxycfans
样本来源:
[病毒样本] 11-01下午的
病毒样本:SetupHide.exe
病毒名称:Trojan.Win32.Agent.clt
中文名称:
病毒类型: 木马类
文件 MD5: f862a0976b57f97cf94a63c5cc3f0297
公开范围: 完全公开
危害等级: 4
文件长度: 脱壳前192,512 字节,脱壳后504,832 字节
感染系统: Windows9x以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: PECompact 2.x -> Jeremy Collake
病毒描述:
该病毒运行后,衍生病毒体到system32下并激活,后台启动IE,修改IE设置,DLL注入系统进程,添加服务实现开机自动启动。
行为分析:
本地行为:
1、文件运行后衍生:
%systemroot%\system32\CesMain.exe
%systemroot%\system32\CesMain.dll
%systemroot%\system32\CesMain2.dll
%systemroot%\TEMP\mc21.tmp
CesMain.exe激活,
CesMain.dll、CesMain2.dll注入系统进程
SetupHide.exe衍生dsetup.bat实现自杀。
CesMain.exe启动 IEXPLORE.EXE about:blank
命令行:"C:\Program Files\Internet Explorer\iexplore.exe" about:blank
CesMain.exe 修改系统进程内存
2、新增注册表:
注册表键:HKLM\SYSTEM\CurrentControlSet\Services\CesMain
注册表值: Type
类型: REG_DWORD
值: 00000110
注册表键:HKLM\SYSTEM\CurrentControlSet\Services\CesMain
注册表值: Start
类型: REG_DWORD
值: 00000002 (注:启动类型:自动启动)
注册表键:HKLM\SYSTEM\CurrentControlSet\Services\CesMain
注册表值: ErrorControl
类型: REG_DWORD
值: 00000000
注册表键:HKLM\SYSTEM\CurrentControlSet\Services\CesMain
注册表值: ImagePath
类型: REG_EXPAND_SZ
值: C:\WINDOWS\system32\CesMain.exe
注册表键:HKLM\SYSTEM\CurrentControlSet\Services\CesMain
注册表值: DisplayName
类型: REG_SZ
值: IE Security Service
注:创建 服务名称:CesMain,显示名称:IE Security Service 的服务
注册表键: HKLM\SYSTEM\CurrentControlSet\Services\CesMain
注册表值: ObjectName
类型: REG_SZ
值: LocalSystem
注册表键: HKLM\SYSTEM\CurrentControlSet\Services\CesMain\Security
注册表值: Security
类型: REG_BINARY
值: 01001480900000009C00000014000000...
注册表键: HKLM\SYSTEM\CurrentControlSet\Services\CesMain\Enum
注册表值: 0
类型: REG_SZ
值: Root\LEGACY_CESMAIN\0000
注册表键: HKLM\SYSTEM\CurrentControlSet\Services\CesMain\Enum
注册表值: Count
类型: REG_DWORD
值: 00000001
注册表键: HKLM\SYSTEM\CurrentControlSet\Services\CesMain\Enum
注册表值: NextInstance
类型: REG_DWORD
值: 00000001
注册表键: HKLM\SYSTEM\CurrentControlSet\Services\mchInjDrv
注册表值: DeleteFlag
类型: REG_DWORD
值: 00000001
注册表键: HKLM\SYSTEM\CurrentControlSet\Services\mchInjDrv
注册表值: ErrorControl
类型: REG_DWORD
值: 00000000
注册表键: HKLM\SYSTEM\CurrentControlSet\Services\mchInjDrv
注册表值: ImagePath
类型: REG_SZ
值: \??\C:\WINDOWS\TEMP\mc21.tmp
注册表键: HKLM\SYSTEM\CurrentControlSet\Services\mchInjDrv
注册表值: Start
类型: REG_DWORD
值: 00000004
注册表键: HKLM\SYSTEM\CurrentControlSet\Services\mchInjDrv
注册表值: Type
类型: REG_DWORD
值: 00000001
其他:
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CESMAIN]
"NextInstance"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CESMAIN\0000]
"Service"="CesMain"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000000
"Class"="LegacyDriver"
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc"="IE Security Service"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CESMAIN\0000\Control]
"*NewlyCreated*"=dword:00000000
"ActiveService"="CesMain"
以下修改注册表(没有实现,因为被系统进程svchost.exe还原)
进程:
路径: C:\Program Files\Internet Explorer\IEXPLORE.EXE
PID: 1336
信息: Internet Explorer (Microsoft Corporation)
注册表群组: User Shell Settings
对象:
注册表键: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
注册表值: Favorites
新的值:
类型: REG_SZ
值: C:\Documents and Settings\LocalService\Favorites
先前值:
类型: REG_SZ
值:
注册表键: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
注册表值: Cache
新的值:
类型: REG_SZ
值: C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files
先前值:
类型: REG_SZ
值: C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files
注册表键: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
注册表值: Cookies
新的值:
类型: REG_SZ
值: C:\Documents and Settings\LocalService\Cookies
先前值:
类型: REG_SZ
值:
注册表键: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
注册表值: History
新的值:
类型: REG_SZ
值: C:\Documents and Settings\LocalService\Local Settings\History
先前值:
类型: REG_SZ
值: C:\Documents and Settings\NetworkService\Local Settings\History
注册表键: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
注册表值: AppData
新的值:
类型: REG_SZ
值: C:\Documents and Settings\LocalService\Application Data
先前值:
类型: REG_SZ
值: C:\Documents and Settings\NetworkService\Application Data
增加键:
注册表键: HKCU\Software\Microsoft\Internet Explorer\Security
注册表键: HKCU\Software\Microsoft\Internet Explorer\Security\P3Sites
注册表键: HKCU\Software\Microsoft\Internet Explorer\Security\P3Global
注册表键: HKCU\Software\Microsoft\Internet Explorer\Security\P3Global
注册表值: Enabled
类型: REG_DWORD
值: 00000001
注册表键: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar
......
注: %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的
位置。
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% \Documents and Settings
\当前用户\Local Settings\Temp
%System32% 系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\Winnt\System32
windows95/98/me中默认的安装路径是C:\Windows\System
windowsXP中默认的安装路径是C:\Windows\System32
清除方案:
手工清除请按照行为分析删除对应文件,恢复相关系统设置。
1.建议使用XDelBox删除以下文件:
使用说明:删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择剪贴板导入不检查路径,导入后在要删除文件上点击右键,选择立刻重启删除,电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储设备。
c:\windows\system32\cesmain.exe
c:\windows\system32\cesmain.dll
c:\windows\system32\cesmain2.dll
C:\WINDOWS\TEMP\mc21.tmp
2.删除重启后使用SREng修复下面各项:
启动项目 -- 服务 -- Win32服务应用程序之如下项删除:
[IE Security Service / CesMain] <C:\WINDOWS\system32\CesMain.exe>
注册表清理:
主要部分 (另存为reg文件导入)
Windows Registry Editor Version 5.00
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CesMain]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CESMAIN]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Security\P3Global]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Security\P3Sites]
[病毒样本] 11-01下午的 病毒样本:SetupHide.exe
病毒名称:Trojan.Win32.Agent.clt
中文名称:
病毒类型: 木马类
文件 MD5: f862a0976b57f97cf94a63c5cc3f0297
公开范围: 完全公开
危害等级: 4
文件长度: 脱壳前192,512 字节,脱壳后504,832 字节
感染系统: Windows9x以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: PECompact 2.x -> Jeremy Collake
病毒描述:
该病毒运行后,衍生病毒体到system32下并激活,后台启动IE,修改IE设置,DLL注入系统进程,添加服务实现开机自动启动。
行为分析:
本地行为:
1、文件运行后衍生:
%systemroot%\system32\CesMain.exe
%systemroot%\system32\CesMain.dll
%systemroot%\system32\CesMain2.dll
%systemroot%\TEMP\mc21.tmp
CesMain.exe激活,
CesMain.dll、CesMain2.dll注入系统进程
SetupHide.exe衍生dsetup.bat实现自杀。
CesMain.exe启动 IEXPLORE.EXE about:blank
命令行:"C:\Program Files\Internet Explorer\iexplore.exe" about:blank
CesMain.exe 修改系统进程内存
2、新增注册表:
注册表键:HKLM\SYSTEM\CurrentControlSet\Services\CesMain
注册表值: Type
类型: REG_DWORD
值: 00000110
注册表键:HKLM\SYSTEM\CurrentControlSet\Services\CesMain
注册表值: Start
类型: REG_DWORD
值: 00000002 (注:启动类型:自动启动)
注册表键:HKLM\SYSTEM\CurrentControlSet\Services\CesMain
注册表值: ErrorControl
类型: REG_DWORD
值: 00000000
注册表键:HKLM\SYSTEM\CurrentControlSet\Services\CesMain
注册表值: ImagePath
类型: REG_EXPAND_SZ
值: C:\WINDOWS\system32\CesMain.exe
注册表键:HKLM\SYSTEM\CurrentControlSet\Services\CesMain
注册表值: DisplayName
类型: REG_SZ
值: IE Security Service
注:创建 服务名称:CesMain,显示名称:IE Security Service 的服务
注册表键: HKLM\SYSTEM\CurrentControlSet\Services\CesMain
注册表值: ObjectName
类型: REG_SZ
值: LocalSystem
注册表键: HKLM\SYSTEM\CurrentControlSet\Services\CesMain\Security
注册表值: Security
类型: REG_BINARY
值: 01001480900000009C00000014000000...
注册表键: HKLM\SYSTEM\CurrentControlSet\Services\CesMain\Enum
注册表值: 0
类型: REG_SZ
值: Root\LEGACY_CESMAIN\0000
注册表键: HKLM\SYSTEM\CurrentControlSet\Services\CesMain\Enum
注册表值: Count
类型: REG_DWORD
值: 00000001
注册表键: HKLM\SYSTEM\CurrentControlSet\Services\CesMain\Enum
注册表值: NextInstance
类型: REG_DWORD
值: 00000001
注册表键: HKLM\SYSTEM\CurrentControlSet\Services\mchInjDrv
注册表值: DeleteFlag
类型: REG_DWORD
值: 00000001
注册表键: HKLM\SYSTEM\CurrentControlSet\Services\mchInjDrv
注册表值: ErrorControl
类型: REG_DWORD
值: 00000000
注册表键: HKLM\SYSTEM\CurrentControlSet\Services\mchInjDrv
注册表值: ImagePath
类型: REG_SZ
值: \??\C:\WINDOWS\TEMP\mc21.tmp
注册表键: HKLM\SYSTEM\CurrentControlSet\Services\mchInjDrv
注册表值: Start
类型: REG_DWORD
值: 00000004
注册表键: HKLM\SYSTEM\CurrentControlSet\Services\mchInjDrv
注册表值: Type
类型: REG_DWORD
值: 00000001
其他:
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CESMAIN]
"NextInstance"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CESMAIN\0000]
"Service"="CesMain"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000000
"Class"="LegacyDriver"
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc"="IE Security Service"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CESMAIN\0000\Control]
"*NewlyCreated*"=dword:00000000
"ActiveService"="CesMain"
以下修改注册表(没有实现,因为被系统进程svchost.exe还原)
进程:
路径: C:\Program Files\Internet Explorer\IEXPLORE.EXE
PID: 1336
信息: Internet Explorer (Microsoft Corporation)
注册表群组: User Shell Settings
对象:
注册表键: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
注册表值: Favorites
新的值:
类型: REG_SZ
值: C:\Documents and Settings\LocalService\Favorites
先前值:
类型: REG_SZ
值:
注册表键: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
注册表值: Cache
新的值:
类型: REG_SZ
值: C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files
先前值:
类型: REG_SZ
值: C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files
注册表键: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
注册表值: Cookies
新的值:
类型: REG_SZ
值: C:\Documents and Settings\LocalService\Cookies
先前值:
类型: REG_SZ
值:
注册表键: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
注册表值: History
新的值:
类型: REG_SZ
值: C:\Documents and Settings\LocalService\Local Settings\History
先前值:
类型: REG_SZ
值: C:\Documents and Settings\NetworkService\Local Settings\History
注册表键: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
注册表值: AppData
新的值:
类型: REG_SZ
值: C:\Documents and Settings\LocalService\Application Data
先前值:
类型: REG_SZ
值: C:\Documents and Settings\NetworkService\Application Data
增加键:
注册表键: HKCU\Software\Microsoft\Internet Explorer\Security
注册表键: HKCU\Software\Microsoft\Internet Explorer\Security\P3Sites
注册表键: HKCU\Software\Microsoft\Internet Explorer\Security\P3Global
注册表键: HKCU\Software\Microsoft\Internet Explorer\Security\P3Global
注册表值: Enabled
类型: REG_DWORD
值: 00000001
注册表键: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar
......
注: %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的
位置。
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% \Documents and Settings
\当前用户\Local Settings\Temp
%System32% 系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\Winnt\System32
windows95/98/me中默认的安装路径是C:\Windows\System
windowsXP中默认的安装路径是C:\Windows\System32
清除方案:
手工清除请按照行为分析删除对应文件,恢复相关系统设置。
1.建议使用XDelBox删除以下文件:
使用说明:删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择剪贴板导入不检查路径,导入后在要删除文件上点击右键,选择立刻重启删除,电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储设备。
c:\windows\system32\cesmain.exe
c:\windows\system32\cesmain.dll
c:\windows\system32\cesmain2.dll
C:\WINDOWS\TEMP\mc21.tmp
2.删除重启后使用SREng修复下面各项:
启动项目 -- 服务 -- Win32服务应用程序之如下项删除:
[IE Security Service / CesMain] <C:\WINDOWS\system32\CesMain.exe>
注册表清理:
主要部分 (另存为reg文件导入)
Windows Registry Editor Version 5.00
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CesMain]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CESMAIN]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Security\P3Global]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Security\P3Sites]
