常在河边走,怎能不湿鞋

先是测试一个avp的crack的时候,HIPS报警说试图启动windows下的temparation.exe。想想估计又是捆绑,直接禁止并且取出temparation.exe。到另一机器上od去。

查了下,Upack 0.39 beta -> Dwing的衣服,还好不是加密的,一路F8下去,快到OEP的时候一时顺手,继续f8了一下,结果,一路飞下去,欲哭无泪。。。。

晚上想想,还是不想重装,GG了一翻,没类似名字的,没办法,手工吧。采用最简单的办法,直接跟踪中马的操作,然后在清除。

在干净的机器上简单的搭建了一个3D的HIPS环境,然后开启ssm的2D加个EQ的FD。开始跟踪。

简单的罗列下对方的运行过程:

启动原始程序A.EXE

释放temparation.exe到%Windir%\temparation.exe并启动

以下是temparation.exe所做的操作:

释放%Windir%\system32\drivers\beep.sys 并进行加载来实现恢复SSDT

在%Windir%下释放以下文件:

FuckAvAndDelMe.bat
autorun.inf
event32.dll
gbk.nls
ntfschk.exe

 然后启动ntfschk.exe和fuckavanddeleme.bat

并且添加ntfschk.exe为activex 启动,值为:{688563BC-7233-43f0-B6ED-9D38C4202D9F}。

这个有个奇怪的东东到最后也没太搞明白。

FuckAvAndDelMe.bat内容如下:

REM Fuck All The Av!

REM The Kaspersky Antivirus is Great!

REM But....

REM I Wrote this ByPass...

:try

del "C:\WINDOWS\system32\ntfschk.exe"

if exist "C:\WINDOWS\system32\ntfschk.exe" goto try

del %0

这个就一直没搞清除为什么要弄个bat一直删除ntfschk.exe 而且。每删除一次,ntfschk.exe就往注册表里面加一个镜像劫持,来让对应的程序无法启动。

其中,各个AV的名字是在gbk.nls中读出来的。类似avp.exe的这种。

然后启动iexplorer.exe 插入event32.dll 开始尝试下载。

同时,释放autorun.inf和winsvcui.exe到系统盘根目录下。

到这里,这个downloader做的事情就差不多完了。

 接下来程序去http://www.sfpkk.cn/umz/z1.txt获取下载列表,弄了个鸽子回来装。

 鸽子比较简单,建立个服务 windowsentmianfeiV08启动释放在%Windir%的Entmian.exe

然后由Entmian.exe启动IE进程主动访问网络上指定的地址。比较奇怪的是,现在鸽子不释放dll出来了?还是,我原来就记错了?

OK。搞定一切,删除也比较简单,直接一个bat搞定了。详细如下:

taskkill ///im ntfschk.exe

taskkill 
///im iexplore.exe

reg delete 
"HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{688563BC-7233-43f0-B6ED-9D38C4202D9F}" /f

for /"delims=" %%i in (%Windir%system32gbk.nls) do (reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\%%i" /f)

del //%Windir%FuckAvAndDelMe.bat

del 
//%Windir%temparation.exe

del 
//%Windir%system32autorun.inf

del 
//%Windir%system32event32.dll

del 
//%Windir%system32gbk.nls

rmdir 
//%Windir%system32ntchecker

del 
//%Windir%system32ntfschk.exe

del 
//%Windir%system32driversntcfg.sys

del 
//%SystemDrive%autorun.inf

del 
//%SystemDrive%winsvcui.exe

del 
//%Windir%system32dllcachebeep.sys

del 
//%Windir%system32driversbeep.sys





sc stop windowsentmianfeiV08

sc delete windowsentmianfeiV08

del 
//%Windir%Entmian.exe

del 
//%Windir%uninstal.bat

搞定,收工,记录下,附件是相关的样本程序和删除用的remove.bat。为保证安全,加密了一下。密码123456

 

附件: 样本.rar (561.26 K, 下载次数:112)

« 上一篇 | 下一篇 »

发表评论

评论内容 (必填):