Safe3 Network Center

作者：清新阳光                                                            ( http://hi.baidu.com/newcenturysun)
日期：2008/06/19                                                         (转载请保留此声明)

这是一个具有多种传播功能和反杀毒软件功能的下载者病毒，传播方式新颖独特，需要严密防范！

下面是该病毒的详细分析报告：

病毒初始化过程：
1.创建一个互斥量：中华吸血鬼2.2
2.删除SOFTWARE\Microsoft\Active Setup\Installed Components\{H9I12RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}

3.释放如下副本或文件：
%systemroot%\Tasks\绿化.bat
%systemroot%\Tasks\csrss.exe
%systemroot%\Tasks\wsock32.dll

4.之后创建很多线程，执行多种病毒功能：

(1)通过GetWindowTextA函数获得窗口标题，并比较是否含有如下字样
worm
卡巴斯基
江民
金山
Anti
anti
Virus
virus
Firewall
Mcafee
查杀
主动防御
微点
系统保护
主 动
主动
杀马
木马
上报
举 报
举报
进 程
进程
系统安全
Process
NOD32
专 杀
专 杀
专杀
安全卫士
绿鹰
...

如果含有则使用PostMessage函数会发送消息给他们：
首先发送一个WM_Destroy，之后发送两个WM_Close 最后发一个WM_Destroy 的消息。并把窗口标题名保存下来。
之后会调用Messageboxa函数弹出一个标题为"Windows盗版验证为"的窗口 并显示如下字样“安全提示：您正在使用的(刚刚获得的窗口标题名称)是盗版软件，可能您是盗版软件的受害者，为了给合法用户提供保证，我们无法继续给您提供服务，请到指定销售商购买我们的正版软件,如果有任何疑问,请到我们微软主页查看http://www.microsoft.com”

(2) 破坏冰刃
查找类名为Afxcontrolbar423s的窗口
然后发送WM_Close关闭 再模拟键盘输入按一下回车键

(3) U盘传播功能
检测可移动存储中是否有autorun.inf文件，如果有将其改名
之后向里面写入autorun.inf
创建recycle.{645FF040-5081-101B-9F08-00AA002F954E}文件夹，在该文件夹内写入GHOSTBAK.exe（病毒文件）

(4) 病毒感染统计
搜集被感染主机的mac地址，并把被感染主机的mac地址和感染的病毒版本发送给http://www.*******.cn/tj/ct.asp页面

(5) 修改hosts文件
获得%programfiles%的环境变量，接着查找\\drivers\etc\\hosts文件
写入如下数据：
127.0.0.0 360.qihoo.com
127.0.0.1 qihoo.com
127.0.0.1 www.qihoo.com
127.0.0.1 www.qihoo.cn
127.0.0.1 124.40.51.17
127.0.0.1 58.17.236.92
127.0.0.1 www.kaspersky.com
127.0.0.1 60.210.176.251
127.0.0.1 www.cnnod32.cn
127.0.0.1 www.lanniao.org
127.0.0.1 www.nod32club.com
127.0.0.1 www.dswlab.com
127.0.0.1 bbs.sucop.com
127.0.0.1 www.virustotal.com
127.0.0.1 tool.ikaka.com
127.0.0.1 www.jiangmin.com
127.0.0.1 www.duba.net
127.0.0.1 www.eset.com.cn
127.0.0.1 www.nod32.com
127.0.0.1 shadu.duba.net
127.0.0.1 union.kingsoft.com
127.0.0.1 www.kaspersky.com.cn
127.0.0.1 kaspersky.com.cn
127.0.0.1 virustotal.com
127.0.0.1 www.360.cn
127.0.0.1 www.360safe.cn
127.0.0.1 www.360safe.com
127.0.0.1 www.chinakv.com
127.0.0.1 www.rising.com.cn
127.0.0.1 rising.com.cn
127.0.0.1 dl.jiangmin.com
127.0.0.1 jiangmin.com

每1秒循环一次

(6) 遍历进程，调用Terminate Process函数结束如下进程：
AST.exe
360tray.exe
ast.exe
FWMon.exe

(7) 遍历磁盘文件删除扩展名为gho,GHO,Gho的文件

(8) arp欺骗功能
获取本机IP地址 然后把所在同网段内的.2~.255的机器作为欺骗对象
由系统目录下的arps.com执行%s -idx 0 -ip %s -port 80 -insert \"%s的命令 对局域网内机器进行arp欺骗

(9) 局域网弱密码猜解传播
以administrator为用户名，对局域网中其他机器进行密码猜解。如果成功则复制到对方机器的共享的C,D,E,F盘中，以hackshen.exe
病毒猜解的密码字典如下：
woaini
baby
asdf
NULL
angel
asdfgh
1314520
5201314
caonima
88888
bbbbbb
12345678
memory
abc123
qwerty
123456
password
enter
hack
xpuser
money
yeah
time
game
user
home
alex
guest
admin
test
administrator
movie
root
love

(10)删除HKLM\SOFTWARE\Microsoft\Windows Script Host\Settings键
释放一个hackchen.vbs到%systemroot%\Tasks
hackchen.vbs内容：
On Error Resume Next
Set rs=createObject("Wscript.shell")
rs.run "%windir%\Tasks\csrss.exe",0
并且注册HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{H9I12RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK} 指向%systemroot%\Tasks\hackchen.vbs

(11) 病毒自动更新功能。在系统目录下释放meupdate.ini文件，并且和http://www.*******.cn/22.txt做比较，如果不同则下载http://www.*******.cn/server.exe（最新版病毒程序）到c:\_default.pif，并且每600ms执行一次

(12)通过查找%ProgramFiles%的环境变量获得程序文件夹路径，之后查找\\WinRAR\\Rar.exe获得winrar安装路径。
遍历所有分区的.rar,.zip,.tgz,.cab,.tar文件 找到后
后台调用winrar执行"（winrar路径）" -ep a "（找到的rar等文件路径）" %systemroot%\Tasks\绿化.bat 命令
将绿化.bat压缩进压缩包，绿化.bat即为病毒本身，诱使用户点击中毒。

(13)（此方法十分新颖）
遍历所有文件夹并且将%systemroot%\Tasks\wsock32.dll 复制到每个文件夹下
当该文件夹下的exe文件的导入表含有wsock32.dll的时候，会首先调用同文件夹下的wsock32.dll，也就是病毒释放的文件。此时会从下载http://www.*******.cn/server.exe（病毒最新版本）并执行！！！

(14) 查找某些类名为#32770的窗口，并且试图发送"我做了快一个月了,每天2个小时有40-50元的收入,你也来看看吧,长期大量招聘网络兼职http://www.*******.cn/jianzhi.htm"的消息给对方(应该是通过QQ之类的聊天工具传播)

(15) 遍历非系统分区的html,aspx，htm等文件 写入iframe代码

(16)下载木马功能
下载http://www.*******.cn/ft/qq.exe
http://www.*******.cn/cj/qq.exe
并执行

清除方法不作赘述，安全模式下清理所有文件夹下的wsock32.dll，
并利用工具清理%systemroot%\Tasks\绿化.bat
%systemroot%\Tasks\csrss.exe
并打开所有压缩包文件 删除里面的绿化.bat。
最后使用杀毒软件全盘杀毒

这也是一个浩大的工程吧~~

综观此病毒有很多新颖之处，首先是在关闭杀软之后弹出窗口，容易给不知情者以迷惑；其次病毒释放的wsock32.dll会使得任意该目录下的exe文件成为下载病毒文件的傀儡；再次由于windows的某些保护，tasks目录下的文件无法直接看到，这又给病毒了一个绝佳的藏身之地；最后，病毒还会将自己压缩到压缩包中，起一个诱惑的名字诱使用户再次中毒。

最近恶性病毒以及木马群肆虐，但此类行为特征新颖的病毒也有所猖獗，望大家做好防范！

病毒简介：

这是一个下载者病毒，会关闭一些安全工具和杀毒软件并阻止其运行运行，并会不断检测窗口来关闭一些杀毒软件及安全辅助工具，破坏安全模式，删除一些杀毒软件和实时监控的服务，远程注入到其它进程来启动被结束进程的病毒，反复写注册表来破坏系统安全模式，病毒会在每个分区下释放 AUTORUN.INF 来达到自运行。

病毒功能：

一、病毒通过修改系统默认加载的DLL 列表项来实现DLL 注入，并在注入后设置全局钩子.通过远程进程注入，并检测是否有相应安全软件和管理工具。通过枚举进程名，通过搜索以下关键字来关闭进程：

Rav avp   twister   kv   watch   kissvc scan     guard

找到带有关键字的窗口后，就往目标窗口发送大量的垃圾消息，是其无法处理而进入假死的状态，当目标窗口接受到退出、销毁和WM_ENDSESSION消息就会异常退出。 通过查找窗口文字和和获得窗口线程进程ID等函数（GetWindowThreadProcessID）监控指定文字的窗口，之后会发送消息关闭窗口或者通过Terminate process函数结束进程，病毒关闭杀毒软件的方法没有什么创新，但关键字变的更短，使一些名字相近的进程或窗口也被关闭。
病毒运行后，生成如下文件
C:\WINDOWS\system32\Com\LSASS.EXE
C:\WINDOWS\system32\Com\netcfg.000
C:\WINDOWS\system32\Com\netcfg.dll
C:\WINDOWS\system32\Com\SMSS.EXE
C:\WINDOWS\system32\894729.log
C:\WINDOWS\system32\dnsq.dll
C:\WINDOWS\system32\ntfsus.exe
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\~.exe
或者在C:\Documents and Settings\用户名\「开始」菜单\程序\启动下面

netcfg.dll负责注入IE并连接网络下载木马
并注册为浏览器加载项
[IfObj Control]
{D9901239-34A2-448D-A000-3705544ECE9D} <C:\WINDOWS\system32\com\netcfg.dll, 506>

dnsq.dll会插入一些进程，并监控C:\WINDOWS\system32\Com\LSASS.EXE，如果该进程被结束，则立即恢复。
而且会监控~.exe，如果该文件被删除，立即重写。

894729.log即pagefile.pif文件
之中还会在C盘生成一个驱动，该驱动应该是用于提升权限所用
以独占方式禁止读取各盘下面的根目录下面的pagefile.pif,autorun.inf,C:\boot.ini,C:\Windows\system32\drivers\hosts

C:\boot.ini不能写则Xdelbox等软件被废掉。

二、修改注册表破坏文件夹选项的隐藏属性修改，使隐藏的文件无法被显示。
   HKU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden改为0x00000000

三、删除注册表里关于安全模式设置的值，使安全模式被破坏。
删除如下键
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
病毒会反复改写注册表，在病毒被彻底清除之前，使清理专家和AV 终结者专杀等修复安全模式的工具失效。

四、在C: 盘目录下释放一个 NetApi00.sys 的驱动文件，通过该驱动隐藏和保护自身。

五、令软件限制策略失效

删除注册表 HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer 键及其子键，使用户设定组策略中的软件限制策略的设置失效。显然该病毒作者是根据部分技术型网友的清除方法作了改进，因为此前有网友建议配置软件限制策略 令磁碟机病毒无法运行。

六、不断删除注册表的关键键值，来破坏安全模式和杀毒软件和主动防御的服务，使很多主动防御软件和实时监控无法再被开启。

七、病毒在每个硬盘分区和可移动磁盘的根目录下释放autorun.inf和pagefile.pif两个文件，来达到自运行的目的。并以独占方式打开这两个文件，使其无法被直接删除、访问和拷贝。

八、病毒为了不让一些安全工具自启动，把注册表的整个RUN项及其子键全部删除，并且删除全部的映象劫持项(意图不明，大概是为了防止一些利用映象劫持的病毒免疫)。

九、病毒释放以下文件：

%SystemRoot%\system32\Com\smss.exe
            %SystemRoot%\system32\Com\netcfg.000
            %SystemRoot%\system32\Com\netcfg.dll
            %SystemRoot%\system32\Com\lsass.exe

然后运行SMSS.EXE 和 LSASS.EXE，进程中会出现多个smss.exe和LSASS.EXE，和系统正常进程同步，以迷惑管理员查看进程。

十、 病毒通过重启重命名方式加载，位于注册表HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\ BackupRestore\KeysNotToRestore下的Pending Rename Operations字串。

病毒通过修改注册表的来把C:\ 下的0357589.log 文件(0357589是一些不固定的数字 ) 改名到“启动”文件夹下的~.exe.664406.exe (664406 也不固定)。

重启重命名的执行优先级比传统的自启动(一般指HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run)要高，启动完成后又将自己删除或改名回去。这种方式自启动极为隐蔽，现有的安全工具都无法检测的出来。AV终结者专杀无法彻底清除这个磁碟机变种，正是因为这个原因！

十一、 病毒会自动下载最新版本和其它的一些病毒木马到本地运行

十二、 病毒会感染除SYSTEM32 目录外其它目录下的所有可执行文件。

并且会感染压缩包内的文件，若机器安装了WinRAR会调用其中rar.exe释放到临时文件夹，感染压缩包内文件再打包。

这个病毒太有创意了，这个东西可是被很多人忽视的。原来安全的WinRAR压缩包，病毒解压感染过再打包。

感染途径：

1. 可移动磁盘的自运行

2. 其它下载者病毒或受感染带毒文件

3. 恶意网站下载

4. 内网ARP攻击

手动清除：

首先把HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager下的PendingFileRenameOperations 值删除掉，让它的重启重命名失效！(怀疑这一招病毒会很快令其失效，就和前面一样，隔段时间重复检查和删除这个键值。)

然后再把机子断电，或异常重启(总之不能正常关机！)。

啥，你不清楚怎么搞？直接拔电源线就是了。因为该病毒新变种在关机的时候往启动项写病毒，开机的时候自杀，导致一般杀毒软件查不到，但非法关机可以使它关机的时候生不成病毒。

重启后，先别打开盘符，(用好资源管理器，别习惯双击打开盘符)在 CMD 命令行下将各个分区下的 autorun.inf 和 pagefile.pif 文件删除。然后使用专杀或杀毒软件全盘扫描病毒，因为该病毒可以感染除system32目录外的其它EXE程序，导致该病毒很难用手工方法彻底删除，建议升级杀毒软件后进行全盘杀毒。