一个下载者病毒vip.exe的分析
这是一个使用VB编写的下载者病毒，具有一定的反安全软件作用，并下载大量盗号木马。

 

File: vip.exe
Size: 10824 bytes
File Version: 1.00
Modified: 2007年11月16日, 0:39:10
MD5: A483E66E05F598876DE908135EE13C09
SHA1: 6E40B21B50C44F42FA3EE0E31A6F58CC07A3E0E8
CRC32: 17ADD3C3
编写语言:VB

技术细节：
1.该病毒为一个网站挂马所得，不释放任何副本以及修改注册表项目，这可能会成为以后一些木马下载者病毒的趋势，下载之后即立即“毁尸灭迹”

2.对抗安全软件
调用ntsd结束如下进程，对抗安全软件（瑞星防火墙）
rfwmain.exe
rfwsrv.exe

3.结束一些游戏的进程，为了之后的盗号木马做准备
调用ntsd结束如下游戏进程
wow.exe
my.exe
xy2.exe
soul.exe
patchupdate.exe
elementclient.exe
auncher.exe
mir.exe

4.连接网络
通过http://*/tj/post.asp?pcname=*&id=1提交被感染机器的名称
做感染统计

5.连接网络下载http://*/down.jpg 读取里面的木马下载列表，下载木马
http://*/down/my.exe
http://*/down/mh.exe
http://*/down/dh.exe
http://*/down/dh3.exe
http://*/down/wd.exe
http://*/down/wl.exe
http://*/down/qq.exe
http://*/down/wow.exe
到vip.exe当前文件夹

下载的木马会盗取如下网络游戏的帐号和密码
QQ
魔兽世界
梦幻西游
大话西游OnlineII
魔域
征途
完美世界
热血江湖
传奇世界
...

木马和病毒普遍采用的是asp发信方式，下图为截获的木马发送的帐号密码信息：

木马和病毒植入完毕后的sreng日志如下：
启动项目
注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\ShellExecuteHooks]
{{8E32FA58-3453-FA2D-BC49-F340348ACCE8}}{%systemroot%\system32\rsmyhpm.dll}  []
{{8D47B341-43DF-4563-753F-345FFA3157D8}}{%systemroot%\system32\kvmxhma.dll}  []
{{AC87A354-ABC3-DEDE-FF33-3213FD7447CA}}{%systemroot%\system32\kvdxjma.dll}  []
{{9D561258-45F3-A451-F908-A258458226D9}}{%systemroot%\system32\kvdxsima.dll}  []
{{58907901-1416-3389-9981-372178569985}}{%systemroot%\system32\kawdezy.dll}  []
{{4960356A-458E-DE24-BD50-268F589A56A4}}{%systemroot%\system32\avwldmn.dll}  []
 {{A12C8D43-AC10-4C17-9136-E3E2FC9B3D21}}{%\Program Files%\Internet Explorer\PLUGINS\Wn_Sys8x.Sys}  []
==================================
正在运行的进程
[PID: 1736][%systemroot%\Explorer.EXE]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [%systemroot%\system32\kvdxsima.dll]  [N/A, ]
    [%systemroot%\system32\rsmyhpm.dll]  [N/A, ]
    [%systemroot%\system32\kvmxhma.dll]  [N/A, ]
    [%systemroot%\system32\kvdxjma.dll]  [N/A, ]
    [%systemroot%\system32\kawdezy.dll]  [N/A, ]
    [%systemroot%\system32\avwldmn.dll]  [N/A, ]
    [%\Program Files%\Internet Explorer\PLUGINS\Wn_Sys8x.Sys]  [N/A, ]
    [%systemroot%\system32\videodevice.dll]  [N/A, ]

    [%systemroot%\system32\gdmsi32.dll]  [N/A, ]
==================================
Winsock 提供者
MSAPI Tcpip [TCP/IP]
    %systemroot%\system32\videodevice.dll(, N/A)
MSAPI Tcpip [UDP/IP]
    %systemroot%\system32\videodevice.dll(, N/A)
    {{A12C8D43-AC10-4C17-9136-E3E2FC9B3D21}}{%\Program Files%\Internet Explorer\PLUGINS\Wn_Sys8x.Sys}  []

解决办法：
下载sreng ，Xdelbox: http://secure.itdigger.com/tool

1.安全模式下(开机后不断 按F8键  然后出来一个高级菜单 选择第一项 安全模式 进入系统)
打开sreng
系统修复-高级修复－重置winsock

2.解压Xdelbox所有文件到一个文件夹
在 添加旁边的框中 分别输入
%systemroot%\system32\kvdxsima.dll
%systemroot%\system32\rsmyhpm.dll
%systemroot%\system32\kvmxhma.dll