【原创】SPI HOOK 木马
SPI HOOK 木马
篇首:
这是在05 中秋之际发现的一个从分析角度来看还算是较新颖的木马病毒!
现将其简单分析张帖出来,以供大家分析、参考
关键字: API HOOK SPI HOOK
详细的讨论链接来自:
[url]http://bbs.nsfocus.net/index.php?act=ST&f=3&t=167771&page=all[/url]
skyxnet
搜索一些国外软件时,当时杀毒软件就发出警告,提示有网页病毒. 只是似乎杀毒软件并未来得及处理就已经大面积感染了..(后来一扫描时发现的结果)
系统自动安装SPYWARE软件,和一些不良信息网内容!
现象:
电脑中的显示属性被修改! 注册表被禁! 背景面被修改成SPYWARE的广告页! 注册表被监视!...
清除一些杀毒软件能识别的病毒倒是没有问题. 问题在于注册表被监视,修复的值随即被更改.而该病毒采用远程线程注入到多个系统进程中,如svchost.exe \ lsass.exe \ explorer.exe等多个进程中,可疑的DLL为: %system32%\flsmngr.dll)
检测并修复:
由于当时并不清楚是那个进程向注册表循环监视并写入键值,所以,这里采用 RegMon v4.32 监视注册表操作情况,以特征NoDispBackgroundPage(等于1时表示背景属性页被禁止,防止用户修改背景页面)(注:这里直接修改是没有效果的.随即亦会被撰改成原样!这里不再做无功之作,发现源,清除源才是根本!)
我们来看看 RegMon v4.32 监视注册表操作的一特征:
序号 时间 进程:ID 操作类型(设置值)
11307 42.76107913 svchost.exe:656 SetValue
具体注册表位置 键值 结果 写入值
HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage SUCCESS 0x1
重点在于进程及其ID,OK, 我们知道是那个进程写入了. svchost.exe 进程属于服务级进程,其权限为SYSTEM,!
接下来,我们拿出 IceSword v1.12
在 IceSword 主界面中选择"进程"查看系统中的运行进程, 我们可以看到"可疑"进程的详细信息:
进程映像名称 进程ID 程序名称
svchost.exe 656 C:\WINDOWS\system32\svchost.exe (其他的信息略过....)
再来看看这个属于那个服务... 点击左边工具栏"服务",打开服务列表...
我们可以看到这是个多个服务共享单个进程的服务程序.(相关SVCHOST.EXE进程的相关信息,可以通过搜索网络找到更详细的说明)
这些都是系统所需要的服务,我们不能通过停止服务来终止病毒对注册表的监视,只能通过其他的方式解除...
PS: 其实 IceSword 作者早就为广大的反病毒及系统安全爱好者考虑周到了. 开发了 IsHelp.exe 辅助工具!
在"进程模块"框中,亦有详细的进程列表信息,更为详细的是其中包含了每个进程的模块信息.这对于监测采用"远程线程注入DLL"是很有帮助的!
不过. 初学者也许会问,这么多的DLL,如何判断那个是病毒DLL呢? 这确实也是,不过,对于系统的安全检测,相关的一些进程模块就需要有个大概的了解.排除可靠的DLL(可靠的路径),剩余的就需要着重分析了...
有了 IsHelp.exe ,检测的工作就简单多了..因为,都有作者为您考虑好了...
选中进程列表中"进程ID"为:656 的进程,右键弹出功能菜单,选择"线程分析",嗯... 结果出来啦...
线程ID 线程状态 入口 分析
716 StateWait 0x1000A450 C:\WINDOWS\system32\flsmngr.dll --可疑***
点击关闭后,返回主界面中.其入口基址为0x1000A450,简单的从此点判断,可以认为该DLL是可疑(作者的判断因素也许会考虑到更多,更详细..这点我就不清楚了.)
那我们再次来判断该DLL是否为可疑!
点击主界面的"查找模块",输入 flsmngr.dll 然后搜索...
模块路径名 所在进程 (再通过核对当时的进程列表,我们可知以下的进程ID所对应的进程名称)
C:\WINDOWS\system32\flsmngr.dll 448 lsass.exe
C:\WINDOWS\system32\flsmngr.dll 612 svchost.exe
C:\WINDOWS\system32\flsmngr.dll 656 svchost.exe
C:\WINDOWS\system32\flsmngr.dll 724 svchost.exe
C:\WINDOWS\system32\flsmngr.dll 1132 explorer.exe
这里也只是确实了其他进程中亦含有此DLL,但现在还不能完全确认这就是病毒DLL...
这时,我们运行"PEiD v0.93"查询壳类型,搜索C:\WINDOWS\system32\flsmngr.dll的壳特征: UPX 0.80 - 1.24 DLL
(注: 大部分正常的应用程序都不会采用加壳处理.)
在 IceSword 主界面中找到相应的进程ID, 如 448 ,点击右键选择菜单功能"模块信息",然后找到flsmngr.dll,按"卸除" (结果出错.系统被关机了...)
最后, 通过系统的"故障恢复控制台"将该可疑DLL删除!
重新进入,却发现注册表仍然被监视. 而现在还不能上网了...
(经电信部门核实,网络状态正常,在恢复系统后也证明了确实非网络问题而无法上网)
那么. 这是不是表示WOCKS被HOOK了呢???
在网上找不到相关的解决方法...
wacow
Flsmngr.dll
Description: CWS/SearchAnyway Search Hijacker
试一下是不是可以ping 通外面的,
但DNS不能解析.
碰到过类似的问题,估计是winsock Layered service provider(冰刃中的SPI项)被改过了.
wacow
既然还有在监视注册表, 应当还有程序在运行,应当先把这个解决了, 才能解决LSP问题.
不能的话它能监视注册表,也能注册LSP
网上的不少免费软件同时可能带多个spyware.
先用HijackThis查查, 自已手动找很累.
liangyinsh
请把那个病毒网页发给我!这是脚本病毒!你要杀他最好是手功杀!还要你要多种工具软件!查进程和杀进程的软件!改注册表!先要结束病毒进程!进系统的安全模式!改注册表删和病毒进程的信息!在IE禁用控件!再杀毒!
skyxnet
谢谢 wacow
您说到点子上了. 这应该是SPI木马!
提示有网页病毒. 只是似乎杀毒软件并未来得及处理就已经大面积感染了..(后来一扫描时发现的结果)
在发现病毒后,立即杀病毒就发现一大堆. 其中大量是瑞星杀软可识别的病毒!
还涉及到一个Desktop.exe的程序. 该程序负责创建远程线程,将释放出来的DLL亦是注入到Lsass.exe进程中(这是今天下午我重新运行Desktop.exe时查到的一些内容)
可能是因为我手工运行desktop.exe的原因,这时查到注入到Lsass.exe进程中的病毒DLL为 desktop.dll ,这里可以确定是desktop.dll在实时监视注册表键值被修改情况.实时地写入指定的键值.
skyxnet
TO:liangyinsh
是的. 感染时是通过网页导致系统中毒的!
该病毒并无进程,亦无修改其他关联,也未修改服务项!
进入安全模式时,病毒已经加载上去了. 照样无法删除! (我是通过"故障恢复控制台"删除这个 flsmngr.dll 的)
在安全模式中,病毒照样监视着注册表.没有清除源是没有办法个性注册表键值的!
另外, 这个问题.我也有很大的疑惑,所以. 我会尽量再按照原有的搜索看能不能再找到这个网站...
skyxnet
试一下是不是可以ping 通外面的,
但DNS不能解析.
当时时不能Ping能外面. DNS亦无法解析.
由于当时要急着用网. 还特意咨询了电信. 回复是网路一切正常.
那时,就重新用GHOST还原了. 可惜的是没有备份一下感染病毒时的注册表信息..:(
fucker
遇到这种情况一般首先考虑用最新的HIJACKTHIS和最新的CWShredder查杀一遍~~
再做考虑~
另外对付DLL木马推荐APM
reddey
既然flsmngr.dll已经注入了系统关键进程,你可以用REGSRV32 /U 文件名先将其反注册,最后再将其删除,最后尝试修复注册表。
skyxnet
TO: reddey
>>用REGSRV32 /U 文件名先将其反注册,最后再将其删除<<
这个方法我没有试.不过也知道一点点..
问题是最终的解决能否让网络流通
因为删除了这个DLL,原有的WINSOCK链并没有修复.
所以,这样也只是治标不治本...
HIJACKTHIS 与 IceSword 的配合用来检测是蛮好的.!
在此谢谢.各位朋友的热心解答.
通过这一病毒的感染.使我重新温习了一些注册表及系统知识!
也谢谢各位的帮助. 谢谢!
wacow
有工具可以把WINSOCK链删除
lspfix?
w2fix?
怎么用记不清
[color=Red]
这两天再次遭遇了一个SPI木马.
他会过滤一些反病毒软件主页.一旦发现类似金山,瑞星,江民之类的网页. 会自动终止网页.
SPI DLL Name: SRVDLL04.dll
icefire
2006-11-5[/color]
|