NSDownLoader木馬下載器 (U盤病毒system.dll,替換appmgmts.dll等文件)

這是一個結合了機器狗，AV終結者和利用MS08067漏洞攻擊的複合型下載者病毒。近幾天非常流行，並且預計該病毒在近期會成泛濫之勢，希望大家注意！

以下是該病毒的某一變種的分析：

1.病毒運行後，會調用檢測是否有調試器存在
並遍曆是否存在ImportREC.exe，C32Asm.exe，LordPE.exe，PEditor.exe，OllyICE.exe，OllyDbg.exe等進程，如果是則自身退出。

2.停止如下服務Application Management，Task Scheduler，System Restore Service，Windows Image Acquisition (WIA)，Windows Time

3.之後生成如下文件：
%temp%\dll???.dll(???爲隨機數字)

4..Dll??.dll注入到svchost.exe中，並創建遠程線程。(之前會獲得係統時間，如果係統年份大於2008則不注入svchost.exe)
Dll??.dll注入svchost.exe後有如下行爲：

(1)創建一個事件NSDownLoader20Vip02。

(2)創建多個線程執行不同的操作

a.讀取一個txt格式的下載列表（本例爲http://tk...3.********.cn/pk/tk123.txt），將木馬和病毒下載到%temp%文件夾。

b.映像劫持如下進程pccguide.exe,ZONEALARM.exe,zonealarm.exe,wink.exe,windows優化大師.exe,WFINDV32.exe,webtrap.exe,WEBSCANX.exe,WEBSCAN.exe,vsstat.exe,VSSCAN40,VSHWIN32.exe
,vshwin32.exe
,VSECOMR.exe
,VPC32.exe
,vir.exe
,VETTRAY.exe
,VET95.exe
,vavrunr.exe
,UlibCfg.exe
,TSC.exe
,tmupdito.exe
,tmproxy.exe
,TMOAgent.exe
,Tmntsrv.exe
,TDS2-NT.exe
,TDS2-98.exe
,TCA.exe
,TBSCAN.exe
,symproxysvc.exe
,SWEEP95.exe
,spy.exe
,SPHINX.exe
,smtpsvc.exe
,SMC.exe
,sirc32.exe
,SERV95.exe
,secu.exe
,SCRSCAN.exe
,scon.exe
,SCANPM.exe
,SCAN32.exe
,scan.exe
,scam32.exe
,safeweb.exe
,safeboxTray.exe
,rn.exe
,Rfw.exe
,rescue32.exe
,regedit.exe
,RavTask.exe
,RavStub.exe
,RavMonD.exe
,RavMon.exe
,rav7win.exe
,RAV7.exe
,ras.exe
,pview95.exe
,prot.exe
,program.exe
,PpPpWallRun.exe
,pop3trap.exe
,PERSFW.exe
,PCFWALLICON.exe
,pccwin98.exe
,pccmain.exe
,pcciomon.exe
,PCCClient.exe
,pcc.exe
,PAVCL.exe
,PADMIN.exe
,OUTPOST.exe
,office.exe
,NVC95.exe
,NUPGRADE.exe
,norton.exe
,NORMIST.exe
,NMAIN.exe
,nisum.exe
,nisserv.exe
,NAVWNT.exe
,navwnt.exe
,NAVW32.exe
,NAVW.exe
,NAVSCHED.exe
,navrunr.exe
,NAVNT.exe
,NAVLU32.exe
,navapw32.exe
,navapsvc.exe
,N32ACAN.exe
,ms.exe
,MPFTRAY.exe
,MOOLIVE.exe
,moniker.exe
,mon.exe
,microsoft.exe
,mcafee.exe
,LUCOMSERVER.exe
,luall.exe
,LOOKOUT.exe
,lockdown2000.exe
,lamapp.exe
,kwatch.exe
,KVPreScan.exe
,KVMonXP.exe
,KRF.exe
,KPPMain.exe
,kpfwsvc.exe
,kpfw32.exe
,KPFW32.exe
,kissvc.exe
,kavstart.exe
,kav32.exe
,Kasmain.exe
,Kabackreport.exe
,JED.exe
,iomon98.exe
,iom.exe
,ICSSUPPNT.exe
,ICMOON.exe
,ICLOADNT.exe
,ICLOAD95.exe
,IceSword.exe
,ice.exe...
,指向svchost.exe

c.在%SystemRoot%\system32\目錄下生成Nskhelper2.sys恢複SSDT並結束某些殺毒軟件進程。

d.釋放與機器狗功能類似的驅動NSPASS?.sys(?代表數字)，直接訪問磁盤並替換如下dll文件
%SystemRoot%\system32\schedsvc.dll
%SystemRoot%\System32\appmgmts.dll
%SystemRoot%\System32\srsvc.dll
%SystemRoot%\System32\w32time.dll
%SystemRoot%\system32\wiaservc.dll
替換爲病毒的dll。

e.每隔15分鍾啓動一次本機的lanmanserver與Browser服務，掃描本網段內的其他機器，打開對方的4444端口。在本機臨時文件夾內創建一個???????.txt的文件（?代表隨機數字），並寫入一些代碼，利用批處理和debug將其“重組”成dll文件，利用 rundll32.exe加載，並利用MS08-067漏洞攻擊其他機器，同時將該病毒文件複制過去。

f.釋放appwinproc.dll到係統目錄，設置窗口挂鈎，查找帶有如下字樣的窗口“金山毒霸，360安全衛士, 江民, 木馬, 專殺,下載者，NOD32，卡巴斯基…”，找到後調用TerminateProcess函數結束相應進程。

g.修改hosts文件屏蔽常見安全網站
127.0.0.1 360.cn...
127.0.0.1 360safe.cn...
127.0.0.1 360safe.com...
127.0.0.1 chinakv.com...
127.0.0.1 rising.com.cn...
127.0.0.1 rising.com.cn
127.0.0.1 dl.jiangmin.com
127.0.0.1 jiangmin.com
127.0.0.1 jiangmin.com...
127.0.0.1 duba.net...
127.0.0.1 eset.com.cn...
127.0.0.1 nod32.com...
127.0.0.1 shadu.duba.net
127.0.0.1 union.kingsoft.com
127.0.0.1 kaspersky.com.cn...
127.0.0.1 kaspersky.com.cn
127.0.0.1 virustotal.com
127.0.0.1 kaspersky.com...
127.0.0.1 cnnod32.cn...
127.0.0.1 lanniao.org...
127.0.0.1 nod32club.com...
127.0.0.1 dswlab.com...
127.0.0.1 bbs.sucop.com
127.0.0.1 virustotal.com...
127.0.0.1 tool.ikaka.com
127.0.0.1 360.qihoo.com

h.向除了A,B盤之外的盤符中創建autorun.inf和system.dll(即dll??.dll),
autorun.inf內容如下：
[autorun]
shell\open\command=rundll32 system.dll,explore
shell\explore\command=rundll32 system.dll,explore
利用rundll32.exe加載該dll

i.獲得本機的mac地址，操作係統版本等信息發送到http://tk...3.********.cn/pk/123/count.asp

判別方法：通過sreng日志判斷：
1.IFEO項目可以看到很多殺毒軟件被劫持
2.查看係統服務發現如下服務的dll版本變爲N/A(被病毒替換所致)
如[Application Management / AppMgmt][Stopped/Manual Start]
<C:\WINDOWS\system32\svchost.exe -k netsvcs-->%SystemRoot%\System32\appmgmts.dll><N/A>
[Task Scheduler / Schedule][Stopped/Auto Start]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\system32\schedsvc.dll><N/A>
[System Restore Service / srservice][Stopped/Auto Start]
<C:\WINDOWS\system32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\srsvc.dll><N/A>
[Windows Image Acquisition (WIA) / stisvc][Stopped/Manual Start]
<C:\WINDOWS\system32\svchost.exe -k imgsvc-->%SystemRoot%\system32\wiaservc.dll><N/A>
[Windows Time / W32Time][Stopped/Auto Start]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\w32time.dll><N/A>

解決方法：
下載sreng工具,XDelbox工具。
1.斷開網絡，開始—運行—輸入services.msc，把下列服務設置爲“禁用”：Application Management，Task Scheduler，System Restore Service，Windows Image Acquisition (WIA)，Windows Time

2.使用Xdelbox刪除如下文件
%temp%\dll???.dll（???代表隨機數字）
%SystemRoot%\System32\Nskhelper2.sys
%SystemRoot%\System32\NSPASS?.sys (?代表數字，不止一個)
%SystemRoot%\System32\appwinproc.dll
以及各個分區下面的system.dll,autorun.inf文件

3.重啓計算機，打開我的電腦>>菜單欄>>工具>>文件夾選項>>查看
選擇顯示所有文件和文件夾，並把隱藏受保護的操作係統文件的鈎去掉。

4.打開%SystemRoot%\system32\dllcache文件夾 依次找到
schedsvc.dll
appmgmts.dll
srsvc.dll
w32time.dll
wiaservc.dll
文件
分別覆蓋掉%SystemRoot%\system32\schedsvc.dll
%SystemRoot%\System32\appmgmts.dll
%SystemRoot%\System32\srsvc.dll
%SystemRoot%\System32\w32time.dll
%SystemRoot%\system32\wiaservc.dll
5.使用sreng刪除所有IFEO映像劫持項目
6.使用殺毒軟件全盤殺毒清除其他木馬和病毒