中华黑豹增强版木马分析

样本网址：http://download.youkuaiyun.com/detail/cs08211317dn/4144024

一．           大致描述：

1.      样本名称：中华黑豹增强版.exe

2.      家族名： TrojanDownloader:VBS/Lnkget.D(Microsoft)

3.       MD5： 58D57C99F8B8836D20BB58B320FDF496

4.      技术细节大致描述: 木马快速格式化除C盘外的硬盘，并在桌面以及除C盘外的硬盘内写入大量特殊名字的空文件夹。这些空文件夹不能直接手动删除。

5.      样本运行后现象：

木马会循环播放一段提示中毒的声音。桌面会变

成如下情况。除了C盘以外的盘被格式化并写入大量空文件夹，桌面上也被创建了大量空文件夹。

等到弹窗倒计时结束后，计算机会自动关闭。

二.技术细节

1. 进程中华黑豹增强版.exe创建文件C:\WINDOWS\system\CHINAHEIBAO\1.vbs，C:\WINDOWS\system\CHINAHEIBAO\3.vbs，C:\WINDOWS\system\CHINAHEIBAO\2.exe，C:\WINDOWS\system\CHINAHEIBAO\8.exe，C:\WINDOWS\system\CHINAHEIBAO\死机.exe，C:\WINDOWS\system\CHINAHEIBAO\提示1.exe，C:\WINDOWS\system\CHINAHEIBAO\提示2.exe，C:\WINDOWS\system\CHINAHEIBAO\3.bat，C:\WINDOWS\system\CHINAHEIBAO\Qingchu.bat，C:\WINDOWS\system\CHINAHEIBAO\ZhuYao.bat。

进程中华黑豹增强版.exe用命令行"C:\WINDOWS\System32\WScript.exe""C:\WINDOWS\system\CHINAHEIBAO\1.VBS"创建新进程C:\WINDOWS\System32\WScript.exe，其中1.VBS的内容如下：

2. 进程c:\windows\system32\cmd.exe用命令cmd /c""C:\WINDOWS\system\CHINAHEIBAO\ZhuYao.bat" /start"调用批处理文件ZhuYao.bat。用记事本打开这个文件发现全是乱码。

用如下attrib命令ATTRIB\WINDOWS\system\CHINAHEIBAO +S +R +H，设置WINDOWS\system\CHINAHEIBAO文件夹属性为系统、只读和隐藏。

用regedit命令regedit.exe /s 1.reg将1.reg中的内容写入注册表，以禁用任务管理器，1.reg内容如下：

进程c:\windows\system32\cmd.exe连续用命令行format e:/q /y，format f:/q /y，format g:/q /y，format h:/q /y，format i:/q /y，format j:/q /y，format k:/q /y format L:/q /y，format M:/q /y，快速格式化E盘，F盘，G盘等。

进程c:\windows\system32\cmd.exe删除文件C:\WINDOWS\system32\gpedit.msc，此文件为组策略管理器。

进程c:\windows\system32\cmd.exe用命令行attrib "C:\Documents and Settings\Administrator\「开始」菜单\程序\启动" +h +s +r，修改文件夹C:\Documents and Settings\Administrator\「开始」菜单\程序\启动的属性为系统、只读和隐藏。

进程c:\windows\system32\cmd.exe创建文件C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\Qingchu.bat。

进程c:\windows\system32\cmd.exe用命令行reg add"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIcons" /v 3 /d "\WINDOWS\system\"CHINAHEIBAO\1.ico",0"/f，以修改文件夹图标为WINDOWS\system\"CHINAHEIBAO\1.ico。

进程c:\windows\system32\cmd.exe创建进程c:\windows\system\chinaheibao\2.exe和c:\windows\system\chinaheibao\8.exe。

进程c:\windows\system32\cmd.exe用命令行"C:\WINDOWS\System32\WScript.exe""C:\WINDOWS\system\CHINAHEIBAO\3.vbs"。文件3.vbs内容截图如下：

进程c:\windows\system32\cmd.exe创建新进程c:\windows\system\chinaheibao\提示1.exe和c:\windows\system\chinaheibao\提示2.exe，以显示如下两个窗口：

进程c:\windows\system32\cmd.exe连续循环调用以下5条命令行：reg add "hkcu\control panel\desktop"/v "wallpaper" /d "\WINDOWS\system\CHINAHEIBAO\1.BMP" /f，reg add "hkcu\control panel\desktop" /v"wallpaper" /d "\WINDOWS\system\CHINAHEIBAO\2.BMP" /f，reg add "hkcu\control panel\desktop" /v"wallpaper" /d "\WINDOWS\system\CHINAHEIBAO\3.BMP" /f，reg add "hkcu\control panel\desktop" /v"wallpaper" /d "\WINDOWS\system\CHINAHEIBAO\4.BMP" /f，reg add "hkcu\control panel\desktop" /v"wallpaper" /d "\WINDOWS\system\CHINAHEIBAO\5.BMP" /f，以使得桌面在1.bmp到5.bmp这5张图片之间切换。

进程c:\windows\system32\cmd.exe用命令行shutdown.exe -s -t 300 -c "非常抱歉！系统检测到了 中华黑豹  病毒，Windows正在后台紧急处理，请稍等，不要关闭计算机，系统将自动关闭"，使得弹出如下对话框：

并且系统在倒计时结束之后自动关闭。

进程c:\windows\system32\reg.exe修改注册表项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools的值为0x00000001(1)，以禁用注册表编辑器。

进程c:\windows\system32\cmd.exe创建新进程c:\windows\system\chinaheibao\死机.exe。

进程: c:\windows\system32\cmd.exe用命令行mshta "javascript:newActiveXObject('WMPlayer.OCX').cdromCollection.Item(0).Eject();window.close();"创建进程mshta.exe。

3.木马会在桌面以及除了C盘以外的硬盘里生成大量命名特殊的空文件夹，截图如下：

试图直接删除这些文件夹，删除时报错：

用xuetr删除失败，用xuetr强制删除成功。也可以先用xuetr重命名文件，去除文件末尾的“.”，然后再直接删除文件。

无法直接删除这些文件夹的原因是XXXXXXXXXXXXXX.这样的文件名不符合8.3的命名规制，WINDOWS下允许建立不符合8.3命名规则的文件，但是在删除时会找不到文件。

三. 手杀方案

1.       中病毒之后重启计算机

2.      手动删除C:\WINDOWS\system\CHINAHEIBAO文件夹（此时里面的文件已经都自动删除了）。

3.      删除注册表项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskmgr和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools，以使任务管理器和注册表编辑器可用。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIcons

4.      用xuetr强制删除桌面以及除了C盘以外硬盘中的空文件夹。或者先用xuetr重命名文件夹，去掉文件名最后的“.”，然后直接手动删除文件。