● Backdoor.DarkHole.2004 & Trojan.PSW.Heidong2 - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: skyxnet (陈宇青), 信区: Security
标  题: Backdoor.DarkHole.2004 & Trojan.PSW.Heidong2004.dll 病毒分?
发信站: 荔园晨风BBS站 (Thu Sep 15 10:14:26 2005) , 站内信件

Backdoor.DarkHole.2004 & Trojan.PSW.Heidong2004.dll 病毒分析&清除

作者：东毒君 2005.3.18

病毒分析：

1，该病毒使用了远程线程创建技术，将病毒DLL(kv2004.dll  && QQ.dll)注入到Explorer.
exe进程中；

2，病毒体QQ.exe采用了ASPack 2.12加壳处理，并且修改了壳的特征，具有反抗自动脱壳机
能力，这里采用手工脱壳，但亦无法修复正常 :(  而且均将这些文件的属性设置为只读和
隐藏，加强了其隐蔽性；

3，病毒通过记录窗体名称其键盘键入来记录感染病毒者系统中的私人信息，如QQ密码，邮
件密码，BBS密码、、、针对QQ聊天内容，其只记录英文及数字，不含中文，然后将其写
入 %windir%\norton.dll 中，适时的将这个含有个人信息的文件发送出去；(极度愤怒写病
毒之人用心之狠与无聊...)

4，在kv2004.dll中提供输出函数功能，用于捕获键盘内容的处理，StopkeySpy、Startkey
Spy ；

5，估计是病毒程序未经过多测试，感染的系统会出现多个程序的内存访问异常；从病毒中
可知，该病毒编译于2004.12.23也算是个较新的病毒了，也许还有其变种。。。

病毒相关的一些信息：(自个理解吧...)

cmd_ConnectMark:
cmd_ServerPswVerify
cmd_ServerLogin
cmd_GetDriverList
str_ReceiveDriverList
cmd_GetDirFilesList
str_ReceiveDirFilesList
cmd_DownLoadFile
str_ReceiveFile
cmd_UpLoadFile str_SendFile
cmd_DownLoadDirectory
cmd_DownLoadAllSrcFile
str_ReciveDirectory
cmd_UpLoadDirectory
str_DirectoryDataFinish
cmd_SearchFile
str_ReciveSearchFile
str_FileManagerResult
str_FileOpenSucc
str_FileOpenFail
str_DeleteFileSucc
str_DeleteFileFail
str_DeleteDirectorySucc
str_DeleteDirectoryFail
str_CreateDirectorySucc
str_CreateDirectoryFail
str_RenameFileDirectorySucc
str_RenameFileDirectoryFail
cmd_remoteOpen
cmd_OpenModeHide
cmd_OpenModeMax
cmd_OpenModeMin
cmd_OpenModeNor
cmd_DeleteFile
cmd_DeleteDirectory
cmd_CreateDirectory
cmd_RenameFileDirectory
cmd_GetScreen
str_ReciveScreen
cmd_MousePostion
cmd_MouseLeftUp
cmd_MouseLeftDown
cmd_MouseRightUp
cmd_MouseRightDown
cmd_KeyBoardUp
cmd_KeyBoardDown
cmd_GetAllProcess
str_ReciveAllProcess
cmd_KillProcess
cmd_GetAllForms
str_ReciveAllForms
cmd_FormsCommand cmd_FormHide
cmd_FormMin
cmd_FormMax cmd_FormShow
cmd_FormClose cmd_FormKill
cmd_GetAllPassword
str_SysPswDisable
str_ReciveAllPassword
cmd_GetKeyLog
str_ReciveKeyLog
str_KeySpyDisable
str_KeyLogNotFound
cmd_ClearKeyLog
cmd_GetSystemInfo
str_ReciveSystemInfo
cmd_StartTelNet
str_ReciveTelNet
cmd_CheckUsbCamExists
str_CheckUsbCamResult
cmd_StartSendUsbCamData
str_ReciveUsbCamData
cmd_UsbCamCap
cmd_CheckVoiceInCanUses
str_CheckVoiceInResult
cmd_StartSendVoiceData cmd_PowerOff
cmd_PowerReset
cmd_PowerLogout
cmd_Uninstall
cmd_RegEditGetKeyValueInfo
str_RegEditReciveKeyValueInfo
str_RegEditResult
cmd_RegEditCreateKey
str_RegEditCreateKeySucc
str_RegEditCreateKeyFail
cmd_RegEditCreateString
str_RegEditCreateStringSucc
str_RegEditCreateStringFail
cmd_RegEditCreateDWORD
str_RegEditCreateDWORDSucc
str_RegEditCreateDWORDFail
cmd_RegEditCreateBinary
str_RegEditCreateBinarySucc
str_RegEditCreateBinaryFail
cmd_RegEditDeleteKey
str_RegEditDeleteKeySucc
str_RegEditDeleteKeyFail
cmd_RegEditDeleteValue
str_RegEditDeleteValueSucc
str_RegEditDeleteValueFail
cmd_RegEditRenameKey
str_RegEditRenameKeySucc
str_RegEditRenameKeyFail
cmd_RegEditRenameValue
str_RegEditRenameValueSucc
str_RegEditRenameValueFail
cmd_RegEditModifValue
str_RegEditModifValueSucc
str_RegEditModifValueFail
cmd_GetRecordList
str_ReceiveRecordList

病毒解决：

由于病毒用到了远程线程创建将病毒体注入到Explorer.exe进程，所以，我们必要先处理Ex
plorer.exe, 打开“任务管理器”，终止Explorer.exe的进程，然后[创建新任务]：输入cm
d.exe，打开CMD,切换目录到cd\windows\system32到%system32%目录下：

在cmd下的操作指令：
1, 输入查找病毒的命令， dir qq.exe & dir qq.dll & dir /a kv2004.dll  回车后，如
果存在，则显示：
驱动器 X 中的卷是 Win XP
卷的序列号是 ****-****

X:\WINDOWS\system32 的目录

2005-03-12  17:16           269,992 QQ.exe
               1 个文件        269,992 字节
               0 个目录    869,531,648 可用字节
驱动器 G 中的卷是 Win XP
卷的序列号是 8038-FE5D

X:\WINDOWS\system32 的目录

2005-03-18  13:52           200,850 QQ.dll
               1 个文件        200,850 字节
               0 个目录    869,531,648 可用字节
驱动器 G 中的卷是 Win XP
卷的序列号是 8038-FE5D

X:\WINDOWS\system32 的目录

2005-03-18  13:52            11,264 Kv2004.dll
               1 个文件         11,264 字节
               0 个目录    869,531,648 可用字节

2, 如果你的系统中也有这些文件存在的话，那么，基本上可以确定，你也中招了。。。接
着，我们再继续输入指令：
attrib -s -h -r kv2004.dll ；去除该程序的隐藏，只读属性
del qq.exe & del qq.dll & del kv2004.dll ;同时删除三个病毒体，结果显示：
X:\WINDOWS\system32\Kv2004.dll
拒绝访问。

3, 先不管他了，这是为什么呢，因为这个KV2004.DLL不止注入到Explorer.exe进程中了，
还有其他的程序被其注入了，我们先删除那个被记录的信息文件吧，切换到%windir%目录下
，del norton.dll 吧！

4，无风不起浪！我们把他的加载源也给处理掉！删除注册表以下的键值：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\R
un
"QQ"="x:\\WINDOWS\\System32\\QQ.exe"

5, OK, 重新启动一下，接着再按着第2步，Del Kv2004.dll  ！

--
修身养性治国平天下      心有多高,天空就有多高!
※ 来源:．荔园晨风BBS站 http://bbs.szu.edu.cn [FROM: 211.148.214.191]

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店