本文目录一览:
关于冰河木马病毒
“冰河”木马病毒是国人编写的一种黑客性质的病毒,感染该病毒之后,黑客就可以通过网络远程控制该电脑。
可以采用以下方法清除该病毒:
1. 在DOS或者Windows安全模式下打开\Windows\System目录,删除Kernel32.exe,Sysexplr.exe,Sendme.dll,Sendme.dl_和Sendme.cfg这几个病毒文件。
2. 打开注册表编辑器,搜索含有Kernel32.exe和Sysexplr.exe的键值,全部删除。
3. 重新启动电脑,将TXT文件的关联程序重新设置为Notepad.exe。
注意:“冰河”木马有很多种版本和变种,清除方式不完全一样,建议使用专门清理木马程序的工具进行清理
冰河病毒是什么?
冰河木马开发于1999年,跟灰鸽子类似,在设计之初,开发者的本意是编写一个功能强大的远程控制软件。
但一经推出,就依靠其强大的功能成为了黑客们发动入侵的工具,并结束了国外木马一统天下的局面,跟后来的灰鸽子等等成为国产木马的标志和代名词。HK联盟Mask曾利用它入侵过数千台电脑,其中包括国外电脑。
特征:自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时,监控端的一切键盘及鼠标操作将反映在被控端屏幕(局域网适用);记录各种口令信息:包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息。
清除方法:删除C:\Windows\system下的Kernel32.exe和Sysexplr.exe文件。
扩展资料
冰河病毒原理:
网络客户/服务模式的原理是一台主机提供服务(服务器),另一台主机接受服务(客户机)。作为服务器的主机一般会打开一个默认的端口并进行监听 (Listen), 如果有客户机向服务器的这一端口提出连接请求(Connect Request), 服务器上的相应程序就会自动运行,来应答客户机的请求,
这个程序我们称为守护进程(UNIX的术语,不过已经被移植到了MS系统上)。对于冰河,被控制端就成为一台服务器,控制端则是一台客户机,G_server.exe是守护进程, G_client是客户端应用程序。(这一点经常有人混淆,而且往往会给自己种了木马!)
求冰河木马分析
一、所需工具
1.RegSnap 监视注册表以及系统文件变化的最好工具
2. IceSword 查看程序所打开的端口及进程等的工具
3.PEID 查壳工具
4.upx 加壳工具同时也具有脱壳功能
5.IDA v5.0 反汇编工具
二、分析步骤
将所有工具以及冰河的服务端传至Vmware架设的WINDOWS XP 中,一切工具准备就绪了,我们开始分析这个木马。一般的木马的服务器端一旦运行之后都会对注册表以及系统文件做一些手脚,所以我们在分析之前就要先对注册表以及系统文件做一个备份。
首先打开RegSnap,从file菜单选new,然后点OK。这样就对当前的注册表以及系统文件做了一个记录,一会儿如果木马修改了其中某项,我们就可以分析出来了。备份完成之后把它存为Regsnp1.rgs。
然后在虚拟机上运行“冰河”的服务器端,双击server.exe。现在木马就已经驻留在我们的系统中了。我们来看一看它究竟对我们的做了哪些操作。重新打开RegSnap,从file菜单选new,然后点OK,把这次的snap结果存为Regsnp2.rgs。
从RegSnap的file菜单选择Compare,在First snapshot中选择打开Regsnp1.rgs,在Second snapshot中选择打开Regsnp2.rgs,并在下面的单选框中选中Show modifiedkey names and key values。然后按OK按钮,这样RegSnap就开始比较两次记录有什么区别了,当比较完成时会自动打开分析结果文件Regsnp1-Regsnp2.htm。
看一下Regsnp1-Regsnp2.htm,发现可疑项如下:
File list in C:\WINDOWS\system32\*.*:
Summary info:
Deleted files: 0
Modified files: 0
New files : 2
可见木马在system32下生成了两个新文件.生成的文件信息如下,
New files
kernel32.exe Size: 274 944 , Date/Time: 2004年1月5日 10:00:02
sysexplr.exe Size: 274 944 , Date/Time: 2004年1月5日 10:00:02
生成的文件分别为kernel32.exe,sysexplr.exe,同时修改了文件的日期,从而达到隐藏的目的。
木马一般都会在注册表中设置一些键值以便以后在系统每次重新启动时能够自动运行。我们再来看看Regsnp1-Regsnp2.htm中哪些注册表项发生了变化:
Summary info:
Deleted keys: 0
Modified keys: 28
New keys : 42
修改了28项,新增了42项。
通过查看Regsnp1-Regsnp2.htm,以下信息比较可疑:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command\@
Old value: Type: REG_EXPAND_SZ Length: 37 byte(s)
25 53 79 73 74 65 6D 52 6F 6F 74 25 5C 73 79 73 | %SystemRoot%\sys
74 65 6D 33 32 5C 4E 4F 54 45 50 41 44 2E 45 58 | tem32\NOTEPAD.EX
45 20 25 31 00 | E %1.
New value: String: "C:\WINDOWS\system32\Sysexplr.exe %1"
修改了txt文件的打开方式为先运行木马生成的文件Sysexplr.exe,从而只要用户一打开记事本就会启动木马。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\@
Value: String: "C:\WINDOWS\system32\Kernel32.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\@
Value: String: "C:\WINDOWS\system32\Kernel32.exe"
在以上键值里加入木马的生成文件,从而达到开机自动运行的效果。
下面开始分析它的监听端口:
打开IceSword点击端口,发现:
7626 0.0.0.0:0 LISTENING 1792 C:\WINDOWS\system32\Kernel32.exe
可见其监听端口为7626。
以上冰河基本分析完毕,下面我们进一步分析,看看它是如何实现的。
三、深入研究
PEID查看server.exe文件,显示文件加壳,壳为UPX0.89.6-1.02/1.24,我们直接用相应版本的UPX来脱壳, upx –d脱壳完成。IDA载入木马服务端server.exe。Shift+F7打开段窗口,双击进入idata段,查看引入的函数.发现里面引用了大量的注册表操作函数同时引用了winsock32.dll用来建立网络连接。
首先判断被感染对像机器的系统版本,用GetVersionEx得到系统版本,然后根据各个版本得到系统目录,计算机名,桌面宽度,当前用户之类的信息。释放病毒文件,并修改文件的属性和时间。属性被设为只读和存档。接着修改注册表,用RegOpenKeyEx打开注册表的键,然后用RegSetValue设置相关信息,如启动项之类,最后RegCloseKey关闭句柄.下面建立网络连接,用WSAAsyncSelect创建一个异步事件,然后创建socket连接,用bind绑定,端口7626就是在这里设置的。
四、查杀
通过上述分析,想要查杀此木马可以如下:
1. 进入注册表删除HKLM下的Run及RunServices里的默认项,值为C:\WINDOWS\system32\Kernel32.exe。
2. HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command里把默认项改回%SystemRoot%\system32\NOTEPAD.EXE %1。
3. 进入system32目录删除kernel32.exe和sysexplr.exe。
搞破坏,本人不负责