论坛: 病毒专区 标题: [转]新木马:广外男生测试分析 复制本贴地址    
作者: CyberSpy [cyberspy]    论坛用户   登录
  今天下载了目前刚出炉不久的木马:广外男生
由于该木马与其他木马不大一样,所以我对它进行了测试。
该木马我用瑞星15。29仍然无法查杀。已经上报。
测试报告:[测试环境:win2000SP3]
该木马和前段时间的QQ木马不同,不是通过关联来启动该木马,修改的注册表项目并不是很多,它采用了线程插入技术,正如作者在软件中的
说明中指出:服务端运行时没有进程!所有网络操作均插入到其他应用程序的进程中完成。也就是说,即使受控端安装的防火墙拥有“应用程序访问权限”的功能,也不能对广外男生的服务端进行有效的警告和拦截,使对方的防火墙形同虚设.
该木马的功能很强大,不过客户端功能我没测试过。
对木马的配置我均采用默认配置,木马主程序为gwboy.exe,产生dll为gwboydll.dll
运行木马后,在C盘system32下产生gwboy.exe和gwboydll.dll两文件,其中gwboy.exe是连接RUN中复活启动项目[其实这一项目并没什么多大用处,你删除这个是删除不了的,因为主要启动还是靠gwboydll.dll,只要该gwboydll.dll没有删除,启动项目和gwboy.exe是可以随时复活的]
gwboydll.dll是实现线程插入技术的主文件。当木马激活后,注入explorer.exe进程,可以通过优化大师等工具查看到explorer.exe下的该dll插入线程:
c:\winnt\system32\gwboydll.dll 大约占用内存233K左右,这个进程无法终止,我测试时终止了explorer.exe的进程,gwboydll.dll马上插入另一正常系统进程conime.exe中[其实是随机插入的];因此木马激活后是无法终止该进程的。

运行该木马后,木马在注册表添加项目如下所示:
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5EAE4AC0-146E-11D2-A96E-000000000009}\InprocServer32]
@="gwboydll.dll"
"ThreadingModel"="Apartment"[进程插入的启动][位置随机产生]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\gwboy.exe
String: "gwboy.exe"[启动复活][键值随机产生]
(请注意,这些键值根据客户端的配置而不同,我这里测试采用的是默认的配置)
大家可以根据其大小来判断,应该在116K左右。

清除方法如下:[下面键值只是根据我机器上测试配置而提供的清除方法,但清除思路是一样的]
1:[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\[删除此项目]{5EAE4AC0-146E-11D2-A96E-000000000009}\InprocServer32]
@="gwboydll.dll"
"ThreadingModel"="Apartment" [木马复活的项目]
2:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\[删除]gwboy.exe
String: "gwboy.exe"
3:根据RUN项目下的gwboy.exe删除系统目录system32下相应的gwboy.exe[根据配置可能文件名不同,大小约为116K]
4:在注册表下寻找所有gwboydll.dll的键值,将其删除。
5:记住1中的DLL文件名,测试时为gwboydll.dll。[寻找该文件仍然可以根据大小来在system32下寻找,大小大约为116K]
6:进入纯DOS下,执行del winnt\system32\gwboydll.dll即删除该dll文件。
至此删除完毕[建议大家不要在WIN下删除gwboydll.dll,因为该木马采用“线程插入”技术,一旦系统启动并且随机启动有exe程序有一段时间或者注册表尚有复活启动没有删除,便可以复活木马。复活能力相当强并且很隐蔽]
大家不要拘于上述的方法,因为键值是随机的,大家可以根据文件大小来进行判断,可以通过注册表中的启动项目或者进程中的可疑DLL来判断。
上述中若有错误还请大家不吝赐教。virusmaster@21cn.com

 和“广外幽灵3.0内部测试版”很类似

转至 金山毒霸论坛

地主 发表时间: 04/06 23:36

回复: xgqzhz [xgqzhz]   论坛用户   登录
很想问一下老大,木马在哪那里可以下载,我想找个玩玩。

B1层 发表时间: 04/09 13:08

回复: gfnydx [gfnydx]   论坛用户   登录
99hacker.51.net
jnyn.net www.jnyn.net

B2层 发表时间: 04/13 16:00

回复: zhenyu55 [zhenyu55]   论坛用户   登录
你说你用新的木马啊!~你加我啊!~246332我想请教你啊!~

B3层 发表时间: 04/20 12:49

回复: imstone [imstone]   论坛用户   登录
呵,老大,比起“广外女生”,你认为哪个牛些呀?
呵呵~~顺便,在哪可以下?

B4层 发表时间: 04/20 19:35

回复: cmq1983 [cmq1983]   论坛用户   登录
到cmq1983@2911.net.OK.

B5层 发表时间: 05/16 20:23

论坛: 病毒专区

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号