computer 版 (精华区)

发信人: neverbw (浪子~期待黑色七月), 信区: network
标  题: 以身试毒：测试冰河5.5LFP病毒感染专版(2)
发信站: 听涛站 (2001年09月26日11:08:40 星期三), 站内信件

是狐狸，就一定会露出它的尾巴。经过多番查找，木马的运行方式慢慢浮出水面（图３
）
图３
　　顺藤摸瓜，抽丝剥茧，再次仔细查找注册表，木马的启动运行原理暴露无遗！
（4）
[HKEY_CLASSES_ROOT\dllfile\shell\Open\Command]
@="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\dllfile\shell\Open\Command]
@="\"%1\" %*"
（5）
[HKEY_CLASSES_ROOT\.lfp]
@="lfpfile"
[HKEY_LOCAL_MACHINE\Software\CLASSES\.lfp]
@="lfpfile"
（6）
[HKEY_CLASSES_ROOT\lfpfile]
@="http://lffffp.yeah.net"
[HKEY_CLASSES_ROOT\lfpfile\DefaultIcon]
@="C:\\WINDOWS\\SYSTEM\\shell32.dll,-154"
[HKEY_CLASSES_ROOT\lfpfile\shell\Open\Command]
@="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\lfpfile]
@="http://lffffp.yeah.net"
[HKEY_LOCAL_MACHINE\Software\CLASSES\lfpfile\DefaultIcon]
@="C:\\WINDOWS\\SYSTEM\\shell32.dll,-154"
[HKEY_LOCAL_MACHINE\Software\CLASSES\lfpfile\shell\Open\Command]
@="\"%1\" %*"
　　看到以上注册表更改的结果，我不禁倒抽一口冷气。
　　我测试的木马样本也有十来个，像本次对注册表改动之多是从来未见过的，着实令
我感到震惊。
现将其“人无我有”的优点逐一“公开表扬”：
（A）该启动方式是见所未见、闻所未闻：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\durrentVersion\Run]
C:\WINDOWS\SYSTEM\system32.dll
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\durrentVersion\
RunServices]
C:\WINDOWS\SYSTEM\system32.dll
　　如果不知道system32.dll是木马文件，从常规途径查木马，是永远无法清除。
（B）该木马将DLL文件和LFP文件的打开方式转化为直接执行，在木马史上也极其罕见。
（图４ VS 图５，前者是种上木马文件的系统，后者是已恢复注册表的系统）
图４
图５
（C）对于自启动“木马进程”lfp.dll来说，更是一个幌子！
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"system"="lfp.dll"
　　开机后马上以Windows优化大师自带的Windows进程管理工具查看进程，只发现syst
em32.dll进程存在；甚至我打开木马所在目录，多次双击运行lfp.dll，进程管理工具列
表经多次刷新，却没有发现lfp.dll进程存在。再对比它与另外三个木马文件的大小，大
致可判定lfp.dll并非真正的木马，只是一个掩人耳目的骗局。当受害者发觉后，将注意
力集中在lfp.dll身上并采取一系列措施时，真正的木马system32.dll就可以高枕无忧，
继续偷偷运行，在适当时候由客户端实施滋扰和破坏。
（D）使所有无关联的文件打开方式直接调用tel.lfp，为木马的复活埋下伏笔。（将te
l.lfp丢到回收站，无关联的文件如VXD、DEF、DAT等就无法打开了。图６）
图６
　　……
木马复活：
　　既然该木马一分为四（lfp.dll、lfp.exe、tel.lfp、system32.dll），我们且看看
该木马的复活能力.
　　测试方式是在注册表不改变的情况下删除三个保留一个并双击运行之，查看哪些木
马文件重新生成，并观察进程列表看哪个程序驻留。
　　（1）保留lfp.dll并双击运行之，不见其它三个木马文件复活，而lfp.dll并不驻留
在进程列表中；对应上文，再次证实lfp.dll并非真正的木马，只是一个掩人耳目的幌子
；
　　（2）保留lfp.exe并双击运行之，马上生成两个木马文件tel.lfp、system32.dll，
且system32.dll驻留在进程列表中；
　　（3）保留tel.lfp并双击运行之，马上生成木马文件system32.dll，且tel.lfp驻留
在进程列表中；
　　（4）保留system32.dll并双击运行之，马上生成木马文件tel.lfp，且system32.d
ll驻留在进程列表中
　　回头再看看作者的介绍和站长的评论，我很想知道这个冰河5.5究竟感染了哪些EXE
文件。
　　这时，我们就可以依靠微软的法宝——SFC（系统文件检查器）来检验哪些文件被改
动过。
　　在测试前，我已将SFC设置为最严格的标准：增加检查已修改的文件、范围是系统目
录WINDOWS和Program Files，同时包含所有子文件夹。先以SFC扫描全系统，并且选择为
“更新所有已更改文件的验证信息”。扫描完成后，运行冰河5.5，再以SFC扫描全系统
，结果如下（它成功捕获了lfp.dll、lfp.exe、system32.dll的增加，只差没有查到te
l.lfp。图７）
图７
　　由此可知，该“冰河5.5”并没有像作者的介绍和站长的评论一般附加、捆绑、覆盖
取代WINDOWS的系统文件。所以，只要全部删除木马文件，并将已改动的注册表逐一修复
，是可以安全清除且没有后遗症的。
　　至此，木马文件和所作改动已分析完毕，就让马儿从哪来就回到哪去吧。


--
当爱情不再完美我宁愿选择无悔不管来生多么美丽我无法失去今生对你的记忆!

※ 来源:·听涛站 tingtao.dhs.org·[FROM: 匿名天使的家]