黑色海岸线论坛 - Powered by Discuz! Board

标题: [原创]无敌攻略之——幽灵再现 [打印本页]

作者: 孤独浪子 时间: 2003-11-16 16:20 标题: [原创]无敌攻略之——幽灵再现

　前段时间，在网络上出现了一个专门窃取密码的新木马，叫做“广外幽灵3.0”。我一听名字就马上联想起数月前风靡一时、专杀某种反病毒软件和某个网络防火墙的“广外女生”，于是我马上想一见其庐山真面目。尤其是知道它们都是广州的几个妹妹写的就更加的有精神：）不知道是不是贞子HOHOHO~~~~~~~~
　　废话不多少了，下载“广外幽灵”后解压缩，从介绍中发现这个的确是“广外女生网络小组”的又一新作品，于是就更加迫不及待地尝试了一下。
　　“广外幽灵3.0”的压缩包解压后生成了4个文件分别是：
　　SETGHOST.exe　161785k设置程序，用于生成“广外幽灵”的主程序
　　Config　92-110字节设置文件，保存上一次的设置
　　Readme.txt　3.074kb“广外幽灵”的说明文件
　　还有一个“使用帮助.HTM”是下载网站提供的说明文件
　　
　　主程序SETGHOST.exe的作用就是配置生成“广外幽灵”,上边可以配置SMTP发件服务器的域名、接收邮箱、发送邮件的时间间隔、为对方所设的标识（用于分辨出中木马后不同人寄给木马使用者的密码邮件）、需要进行键盘记录的程序。当本人配置好设置以后，于是就生成了名字为“测试”的、大小为35.2K木马服务器端文件。
　　然后本人就马上双击木马“测试”来进行测试。本人的机器安装的是Winme操作系统，运行木马以后，我发现木马在c:\windows\system下面增加了两个文件GST00.TMP20K和SCANREGW.EXE36K 。
　　随后机器很快就出现了“explorer出现非法操作”的提示，然后蓝屏，于是只好重启。开始我以为这个是偶然的现象，但是在后来我曾经多次清除木马以后再一次加载木马，也是经常出现这样的提示；有时候不会有这个提示，但是机器却从正常途径重启失败，windows不断报错，最后只可以用CTRL+ALT+DEL重启，后来在一台win98SE的机器上试验也是如此。
　　双击木马运行、重启机器以后，我马上打开windows优化大师内置的“进程管理工具”查看进程，看看有没有可疑的进程在后台运行。这一招对木马的查看一直非常简单、直接、有效，以前我遇到的木马全部栽在这位“安全卫士”手上（当然，前提是用户对系统进程需要有一定的了解）。岂料，这一次万试万灵的绝招居然也有失灵的时候。我左看右看，就是没有发现一个可疑的进程，全部都是正常的系统进程。这时我再一次看了“广外幽灵”的介绍有这么一句话：“......该软件的特点是使用了先进的“线程插入”技术，可以越过防火墙，系统中也不会新增任何任务进程......”难道真的这么厉害，不会新增任何任务进程？虽然我对这句话半信半疑，但是事实摆在眼前，我的优化大师失效了。

　　在此，我先解释一下windows优化大师进程管理中的系统进程以及其详细情况：
C:\WINDOWS\SYSTEM\KERNEL32.DLL　536576字节　文件日期：2003-09-28
————Win32 Kernel core component
C:\WINDOWS\SYSTEM\MSGSRV32.EXE　11603字节　文件日期：2003-09-28
————Windows 32-bit VxD Message Server
C:\WINDOWS\SYSTEM\mmtask.tsk　1184字节　文件日期：2003-09-28
————Multimedia background task support module
C:\WINDOWS\SYSTEM\MPREXE.EXE　28672字节　文件日期：2003-09-28
————WIN32 Network Interface Service Process
C:\WINDOWS\EXPLORER.EXE　225280字节　文件日期：2003-09-28
————Windows Explorer
C:\WINDOWS\SYSTEM\INTERNAT.EXE　49152字节　文件日期：2003-09-28
————Keyboard Language Indicator Applet（输入法状态栏图标）
C:\WINDOWS\SYSTEM\SYSTRAY.EXE　36864字节　文件日期：2003-09-28
————System Tray Applet（系统托盘图标管理程序）
C:\WINDOWS\SYSTEM\ANTIFUNLOVE.COM　28672字节　文件日期：2003-09-28
————ANTI-FUNLOVE（北信源funlove病毒免疫程序）
C:\WINDOWS\SYSTEM\WMIEXE.EXE　16384字节　文件日期：2003-09-28
————WMI service exe housing
C:\PROGRAM FILES\WOM\WINDOWS优化大师.EXE　674304字节　文件日期：2003-09-28
————WINDOWS优化大师
　既然优化大师没有找到它的进程，那么它真的在后台运行吗？我马上转到windows\system目录下，尝试把GST00.TMP、SCANREGW.EXE删除，然而windows却提示说源文件正在被使用，这个提示很明显说明了文件正在被调用。
　　虽然windows优化大师内置的“进程管理工具”无法查看该木马的进程，我还是不死心，马上想到了TCA（著名的反木马工具The Cleaner附带的活动程序监视器TCACTIVE）。windows优化大师采用的是静态进程管理，当启动新进程时，需要刷新才能显示新增加的进程；相比之下，TCA采用的动态进程管理更能体现其优越性，当启动新进程时，自动会添加到TCA的进程列表中而无须用户手动干预；当进程终止，其进程名称也自动在TCA的进程列表中消失。
　　此时，我先清除该木马，重启计算机，打开TCA监视器，再一次双击木马运行，然后紧紧盯着屏幕。经近10分钟的观察，TCA的进程列表中始终没有新进程显示。
　　至此，我百分之百相信这个木马是不会被进程软件捕获的了。可以躲避进程软件查看的木马我是第一次见到，这个木马在隐蔽性方面做得很好。
　　躲开进程软件查看是“广外幽灵”的一个“卖”点，那么它又是如何随机启动的呢？
　　木马需要随机启动才可以驻留内存，可以说它的随机启动也是极其隐蔽的。我加载木马以后，查看了system.ini、win.ini以及注册表的有关启动项目，均没有发现木马新增了的随机启动项目，那么它如何启动的呢？它靠什么启动呢？这次“广外幽灵”的随机启动做得很隐蔽，大家先看看的红色框的部分。有没有发现不同之处呢？就是植入木马的系统随机启动程序列表，是正常的系统随机启动程序列表。可能大家已经发现了不同之处，就是"ScanRegistry"这里一项的SCANREGW.EXE，是在WINDOWS\SYSTEM目录下（指向木马），而是在WINDOWS目录下（指向正常的注册表检查程序）。
　　说到这里，很明显WINDOWS\SYSTEM下的木马SCANREGW.EXE（“广外幽灵”）就是靠这一项随机启动的，而原本这一项是系统在开机时调用WINDOWS下的SCANREGW.EXE命令检测注册表以及备份注册表的随机启动项目，就这样被木马的启动所替代了。为了验证我的想法，我马上在开始菜单上运行WINDOWS\SCANREGW.EXE，结果报告为注册表没有损坏，今天已经备份；于是我把计算机的日期调后一天，然后重启，再一次运行WINDOWS\SCANREGW.EXE，结果这一次的报告为没有找到错误，今天没有备份注册表。果然如我所料，木马的启动代替了WINDOWS\SCANREGW.EXE对注册表的检查以及备份。这样的木马随机启动，也可谓是隐蔽之极。

　　既然找到了启动之处，手工清除“广外幽灵3.0”就轻而易举了，手工清除方法如下：
幽灵运行的时候会自动恢复注册表启动项，要在Windows中卸载，必须先关闭幽灵。幽灵的主程序，9x下寄生于MsgSrv32.exe的进程中，因此要关闭这个进程，但这个进程有关Shell VxD，关闭后系统非常不稳定，按Ctrl-Alt-Del会蓝屏，即使成功修改注册表后，系统也可能无法重启，注册表也就保存不了了，如果出现这种情况，就只能重启到DOS方式，把System目录下的Scanregw.exe删除。如果是ME就只能用软盘或者光盘启动了。NT/2000/XP下，幽灵寄生于Explorer.exe的进程里面，方法就简单得多了，只需关闭Explorer就行了，最简单的方法是选择开始->关闭系统，然后按住Shift-Ctrl-Alt，选择对话框中的“否”按钮，Explorer马上就不见了。关闭幽灵后，接着就是打开注册表编辑器，定位到
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
中的ScanRegistry一项，看到的路径应该是 System目录\Scanregw.exe -autorun，改为 "Windows目录\Scanregw.exe" -autorun 就可以了。重启系统后，删除System目录下的Scanregw.exe，卸载就完成了。

　　木马是清除了，但是也给我留下深刻的印象和无尽的思索。最近很多网友问我为什么网页老出错或是开不了，这也许就是原因之一。这个木马的确是十分隐蔽。首先它不可以用优化大师这类进程查看软件查看得到它的进程，其次就是代替了系统的开机扫描、备份注册表的命令，而且木马的名字也是一样SCANREGW.EXE，木马只是修改了随机启动项目的指向目录，这是不容易引起一般用户注意的。就是说如果用户已经中了该木马，一来进程软件察觉不到；二来也不会觉察到这一项原来看似平常的启动项目居然就是木马随机启动的藏身之处。这样的两大的隐蔽性，使得用户中木马以后很难觉察到的。
　　现在的木马是越做越厉害了，实在想不通，南方妹子的心怎么也这么狠（开玩笑：P）如果不想遭到木马的毒手，还是千千万万要注意邮件的附件等不明来历的文件，打开它们也要小心微妙，要不中了木马都不知道就损失惨重了。
　　最后，我要特别感谢小狼（提示），成济（演示），假如不是他们我也不会这么快写好。

广外幽灵下载包
http://www.skycn.com/soft/7032.html

作者: 折别 时间: 2004-2-13 12:51 标题: [原创]无敌攻略之——幽灵再现

多谢~受益

欢迎光临黑色海岸线论坛 (http://bbs.thysea.com/)