MY123创造了很多流氓软件的第一,有望争夺流氓软件的“最流氓软件宝座”:
1、驱动保护(System Bus Extend驱动,安全模式下也加载)。
2、随机文件名,DLL和SYS。
3、多线程保护,网络自动升级。
4、极强的自动恢复。
5、驱动文件独占方式,其它任何程序也无法读写及删除。
一、MY123的前世今生
风雨送飘(飘雪piaoxue)归,飞雪(fiexue)迎春到。才别傲讯(allxun)网,又见一二三(MY123)。
短短一个多月时间,这些锁主页的流氓软件已经让上千万的网民明白了什么叫做强盗,什么叫做无耻,什么叫做疯狂。9号的时候就已经听人放言10号以后会有一个流氓会大规模爆发。果然,在2006/11/11号这个光棍节的时候,MY123如期而至。现在看来,原因在于这个流氓软件已经早就潜伏于用户的电脑中,通过和多个其它流氓软件的捆绑以及其它的渠道,已经潜入成百上千万的网民电脑中,平常也是启动的,但判断日期小于11/11号,就潜伏不动,一旦系统时间大于11号,就开始修改用户主页。而选择这个特殊时间,选择在周未的时候,显然也是别有用心,可以利用反病毒厂商假期的时候反应不及时而大规模爆发。
从规模及爆发面积来看,全国各地可能有数百万甚至上千万用户被该流氓恶意修改了主页,这和之前爆发的大面积piaoxue.com、feixue.net、73ss.com、9505.com、
81915.com、4199.com等恶意修改用户主页,十分相似。同以往的一些“老流氓”相比,这些新流氓的特征是爆发面积特别大,效果明显,目的明确单一(修改主页),手段新奇狠毒,叹为观止。
显然这是一场预谋已久的活动,并且短短几天内,这个驱动病毒至少已经有三个不同的版本,造成一些专杀工具失效。这个MY123已经具备所有病毒的特征,希望总有一天法律能将这种无良的作者绳之以法。
二、剖析流氓手段
这个驱动经过层层改进,家庭发扬得很光大,看看:
1、飘雪(piaoxue)
2、飞雪(feixue)
3、QQHelper
4、allxun.com傲讯
5、My123(7255)
最早的MY123只有一个驱动,已经有多个专杀工具可以杀。后来又出现版本2,即多一个同名的.dll位于system32目录下,现在的版本3,是一个非同名的.dll位于system32目录下。今天主要分析一下我手头拿到的这个版本3。
1、程序安装
首先是释放一个.dll到system32目录下,文件名的特征是随机的8位字母(也有版本是6位字母加2位数字),然后调用rundll32.exe wceiukte,DllUnregisterServer来注册COM组件,接下来调用Rundll32.exe wceiukte.dll,DllCanUnloadNow来运行程序,并且注册WH_CALLWNDPROC这个系统挂钩。
DLL分别注入SYSTEM和EXPLORER进程空间,进行保护,如果检测没有驱动,则会自动释放出驱动,然后加载。同时这个DLL具有网络下载升级功能。
这个dll运行后,会生成一个.sys文件,放到drivers系统目录下。DLL通过一个算法得到SYS文件名,算法是:DLL的文件名ascii码+32143289052890852-32143289052890848-34320958+34320955就是SYS文件名也就是ascii + 1即.dll的文件名为:wceiukte.dll那么.sys文件名就为:xdfjvluf.sys
2、注册和加载驱动
会在注册表的HKLM\SYSTEM\CurrentControlSet\Services\下写下同驱动名的一个值,把自己注册为System Bus Extend的驱动,使得它的优先级很高,即使在安全模式下加载,也使得很多想清除它的软件无效。然后通过services来加载驱动,驱动加载后,生成三个线程附加到system这个系统核心进程上,(以前的驱动是两个线程)获取最高权限。通过Process Explorer可以查看到这三个线程:
三个线程的作用分别为:
0x1dd4,自身文件独占及句柄检测保护模块等,会将自身文件以独占方式打开,这样若不解除独占,任何Windows下使用常规访问文件方法的程序包括杀毒软件都无法读写或者删除它的驱动程序文件。
文件句柄检测保护模块则是为了防止手工或者专杀的解除句柄的操作。以前的手工清除或者专杀都是需要先解除这个独占,才能删除文件。
但该驱动增加了这个保护,会不停检测自身文件的独占是否被强制解除,如果检测到,立即再次独占。
0x1816,服务保护模块:该模块会检测驱动自身的注册表服务项,不停地暴力重写自身服务项,使得无法删除其服务项。
0x103e,篡改首页模块:该模块会不停暴力重写注册表中首页设置为www.my123.com,导致无法对该项进行修复。