NSDownLoader木马下载器 (U盘病毒system.dll,替换appmgmts.dll等文件)

这是一个结合了机器狗，AV终结者和利用MS08067漏洞攻击的复合型下载者病毒。近几天非常流行，并且预计该病毒在近期会成泛滥之势，希望大家注意！

以下是该病毒的某一变种的分析：

1.病毒运行后，会调用检测是否有调试器存在
并遍历是否存在ImportREC.exe，C32Asm.exe，LordPE.exe，PEditor.exe，OllyICE.exe，OllyDbg.exe等进程，如果是则自身退出。

2.停止如下服务Application Management，Task Scheduler，System Restore Service，Windows Image Acquisition (WIA)，Windows Time

3.之后生成如下文件：
%temp%\dll???.dll(???为随机数字)

4..Dll??.dll注入到svchost.exe中，并创建远程线程。(之前会获得系统时间，如果系统年份大于2008则不注入svchost.exe)
Dll??.dll注入svchost.exe后有如下行为：

(1)创建一个事件NSDownLoader20Vip02。

(2)创建多个线程执行不同的操作

a.读取一个txt格式的下载列表（本例为http://tk...3.********.cn/pk/tk123.txt），将木马和病毒下载到%temp%文件夹。

b.映像劫持如下进程pccguide.exe,ZONEALARM.exe,zonealarm.exe,wink.exe,windows优化大师.exe,WFINDV32.exe,webtrap.exe,WEBSCANX.exe,WEBSCAN.exe,vsstat.exe,VSSCAN40,VSHWIN32.exe
,vshwin32.exe
,VSECOMR.exe
,VPC32.exe
,vir.exe
,VETTRAY.exe
,VET95.exe
,vavrunr.exe
,UlibCfg.exe
,TSC.exe
,tmupdito.exe
,tmproxy.exe
,TMOAgent.exe
,Tmntsrv.exe
,TDS2-NT.exe
,TDS2-98.exe
,TCA.exe
,TBSCAN.exe
,symproxysvc.exe
,SWEEP95.exe
,spy.exe
,SPHINX.exe
,smtpsvc.exe
,SMC.exe
,sirc32.exe
,SERV95.exe
,secu.exe
,SCRSCAN.exe
,scon.exe
,SCANPM.exe
,SCAN32.exe
,scan.exe
,scam32.exe
,safeweb.exe
,safeboxTray.exe
,rn.exe
,Rfw.exe
,rescue32.exe
,regedit.exe
,RavTask.exe
,RavStub.exe
,RavMonD.exe
,RavMon.exe
,rav7win.exe
,RAV7.exe
,ras.exe
,pview95.exe
,prot.exe
,program.exe
,PpPpWallRun.exe
,pop3trap.exe
,PERSFW.exe
,PCFWALLICON.exe
,pccwin98.exe
,pccmain.exe
,pcciomon.exe
,PCCClient.exe
,pcc.exe
,PAVCL.exe
,PADMIN.exe
,OUTPOST.exe
,office.exe
,NVC95.exe
,NUPGRADE.exe
,norton.exe
,NORMIST.exe
,NMAIN.exe
,nisum.exe
,nisserv.exe
,NAVWNT.exe
,navwnt.exe
,NAVW32.exe
,NAVW.exe
,NAVSCHED.exe
,navrunr.exe
,NAVNT.exe
,NAVLU32.exe
,navapw32.exe
,navapsvc.exe
,N32ACAN.exe
,ms.exe
,MPFTRAY.exe
,MOOLIVE.exe
,moniker.exe
,mon.exe
,microsoft.exe
,mcafee.exe
,LUCOMSERVER.exe
,luall.exe
,LOOKOUT.exe
,lockdown2000.exe
,lamapp.exe
,kwatch.exe
,KVPreScan.exe
,KVMonXP.exe
,KRF.exe
,KPPMain.exe
,kpfwsvc.exe
,kpfw32.exe
,KPFW32.exe
,kissvc.exe
,kavstart.exe
,kav32.exe
,Kasmain.exe
,Kabackreport.exe
,JED.exe
,iomon98.exe
,iom.exe
,ICSSUPPNT.exe
,ICMOON.exe
,ICLOADNT.exe
,ICLOAD95.exe
,IceSword.exe
,ice.exe...
,指向svchost.exe

c.在%SystemRoot%\system32\目录下生成Nskhelper2.sys恢复SSDT并结束某些杀毒软件进程。

d.释放与机器狗功能类似的驱动NSPASS?.sys(?代表数字)，直接访问磁盘并替换如下dll文件
%SystemRoot%\system32\schedsvc.dll
%SystemRoot%\System32\appmgmts.dll
%SystemRoot%\System32\srsvc.dll
%SystemRoot%\System32\w32time.dll
%SystemRoot%\system32\wiaservc.dll
替换为病毒的dll。

e.每隔15分钟启动一次本机的lanmanserver与Browser服务，扫描本网段内的其他机器，打开对方的4444端口。在本机临时文件夹内创建一个???????.txt的文件（?代表随机数字），并写入一些代码，利用批处理和debug将其“重组”成dll文件，利用 rundll32.exe加载，并利用MS08-067漏洞攻击其他机器，同时将该病毒文件复制过去。

f.释放appwinproc.dll到系统目录，设置窗口挂钩，查找带有如下字样的窗口“金山毒霸，360安全卫士, 江民, 木马, 专杀,下载者，NOD32，卡巴斯基…”，找到后调用TerminateProcess函数结束相应进程。

g.修改hosts文件屏蔽常见安全网站
127.0.0.1 360.cn...
127.0.0.1 360safe.cn...
127.0.0.1 360safe.com...
127.0.0.1 chinakv.com...
127.0.0.1 rising.com.cn...
127.0.0.1 rising.com.cn
127.0.0.1 dl.jiangmin.com
127.0.0.1 jiangmin.com
127.0.0.1 jiangmin.com...
127.0.0.1 duba.net...
127.0.0.1 eset.com.cn...
127.0.0.1 nod32.com...
127.0.0.1 shadu.duba.net
127.0.0.1 union.kingsoft.com
127.0.0.1 kaspersky.com.cn...
127.0.0.1 kaspersky.com.cn
127.0.0.1 virustotal.com
127.0.0.1 kaspersky.com...
127.0.0.1 cnnod32.cn...
127.0.0.1 lanniao.org...
127.0.0.1 nod32club.com...
127.0.0.1 dswlab.com...
127.0.0.1 bbs.sucop.com
127.0.0.1 virustotal.com...
127.0.0.1 tool.ikaka.com
127.0.0.1 360.qihoo.com

h.向除了A,B盘之外的盘符中创建autorun.inf和system.dll(即dll??.dll),
autorun.inf内容如下：
[autorun]
shell\open\command=rundll32 system.dll,explore
shell\explore\command=rundll32 system.dll,explore
利用rundll32.exe加载该dll

i.获得本机的mac地址，操作系统版本等信息发送到http://tk...3.********.cn/pk/123/count.asp

判别方法：通过sreng日志判断：
1.IFEO项目可以看到很多杀毒软件被劫持
2.查看系统服务发现如下服务的dll版本变为N/A(被病毒替换所致)
如[Application Management / AppMgmt][Stopped/Manual Start]
<C:\WINDOWS\system32\svchost.exe -k netsvcs-->%SystemRoot%\System32\appmgmts.dll><N/A>
[Task Scheduler / Schedule][Stopped/Auto Start]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\system32\schedsvc.dll><N/A>
[System Restore Service / srservice][Stopped/Auto Start]
<C:\WINDOWS\system32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\srsvc.dll><N/A>
[Windows Image Acquisition (WIA) / stisvc][Stopped/Manual Start]
<C:\WINDOWS\system32\svchost.exe -k imgsvc-->%SystemRoot%\system32\wiaservc.dll><N/A>
[Windows Time / W32Time][Stopped/Auto Start]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\w32time.dll><N/A>

解决方法：
下载sreng工具,XDelbox工具。
1.断开网络，开始—运行—输入services.msc，把下列服务设置为“禁用”：Application Management，Task Scheduler，System Restore Service，Windows Image Acquisition (WIA)，Windows Time

2.使用Xdelbox删除如下文件
%temp%\dll???.dll（???代表随机数字）
%SystemRoot%\System32\Nskhelper2.sys
%SystemRoot%\System32\NSPASS?.sys (?代表数字，不止一个)
%SystemRoot%\System32\appwinproc.dll
以及各个分区下面的system.dll,autorun.inf文件

3.重启计算机，打开我的电脑>>菜单栏>>工具>>文件夹选项>>查看
选择显示所有文件和文件夹，并把隐藏受保护的操作系统文件的钩去掉。

4.打开%SystemRoot%\system32\dllcache文件夹 依次找到
schedsvc.dll
appmgmts.dll
srsvc.dll
w32time.dll
wiaservc.dll
文件
分别覆盖掉%SystemRoot%\system32\schedsvc.dll
%SystemRoot%\System32\appmgmts.dll
%SystemRoot%\System32\srsvc.dll
%SystemRoot%\System32\w32time.dll
%SystemRoot%\system32\wiaservc.dll
5.使用sreng删除所有IFEO映像劫持项目
6.使用杀毒软件全盘杀毒清除其他木马和病毒