一个可疑的木马[驱动级别的劫持？？？]

wsz123

最近网络貌似不太平，经常下载东西被重定向到一个“莫名其妙”的马，此马体积大概在36k左右，可是奇怪的是不论 Symantec 还是其他各种此类检查程序对此马均无反应，而且在google、baidu上搜不到任何与我遇到的症状相符合的信息。

最近在国内一些比较知名的下载站下载文件，多数会被重定向到一个只有36k左右的压缩包（ rar），里面只有一个文件：
setup.exe，大小36k（39680字节），CRC32：8D503C49

此文件被用 UPX 处理过，是一个木马程序，运行之会有明显的挂马动作。

最早的时候，这个36k马会在 C:\Windows\ime\ 目录下放一个 mswsocker.dll 类似文件名的文件，现在好像不放了；

后来有个版本会注入到系统某个进程（可能是IE），向 C:\Program Files\Common\ 的它自己创建的一个 Files\ 子目录下执行列表硬盘文件的命令，
就是 cmd /k dir *.* > FileList.txt 之类的命令，当命令执行的时候可想而知硬盘会狂转；

现在最近就是不知道是怎么回事，国内很多网站上的下载都被导向上述那个36k包，里面一个36k的setup.exe，在我的机器上发生这症状的站点有（仅部分）：
www.greendown.cn
www.xdowns.com
www.comicer.com/stronghorse/software/index.htm （一个个人站，内容不错，应该算是很有名气的一个个人站）
www.xiazaiba.com （此站上情况有点不一样，凡是直接从页面连到其他 http 位置的rar全部中招，但是从 js 返回地址的不会有问题）
……


从上面蓝色那行描述的网站情况看，像是在我本机上被注入了什么东西，把从页面拿回来的 http 连接全部给重定向了，我换了好几个不同内核的浏览器试过都一样（比如IE8，Chrome），因此可以判断如果是中招的话肯定是在驱动或者系统服务那层上中招了，但是如果是这样的话不大可能在 google 里根本搜不到一点相关信息或者描述。

我现在在四川成都，用的是电信的 ADSL，成都电信这边的什么DNS劫持HTTP劫持等流氓行径素来是恶名昭著臭名在外的，但是就算是电信那边使的绊子也不大可能在网络上没一点信息吧……


看来只有等空了找个新的裸机来慢慢测试了。。。


那个被重定向弄回来的 rar 我上传到附件里了，哪位有兴趣的可以看看。。。

wsz123

再次提醒！
顶楼的rar里面是个木马！
好奇下载来研究的千万小心！！！


如果直接在附件传木马有违反规定的话麻烦斑竹处理一下，谢谢！

[ 本帖最后由 wsz123 于 2009-8-2 04:46 编辑 ]

NeteLife

主要行为：
1、会写注册表项 SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Cache\\Special Paths\\LZPath
2、释放文件mswsocker.dll 到 WINDIR\ime 目录，另外在该目录下面新建imech08目录，并设置隐藏属性，接着释放文件sporder.dll，并按照LSP。
3、在安装LSP的时候，会枚举CSRSS.EXE中的线程，如果发现是卡巴斯基、 趋势、 微点主动防御软件和ZoneAlarm个人防火墙线程，则先将其挂起。等安装完毕后再恢复。

要卸载的话，按下面操作就可以了:
1、将上面提到的文件和注册键删掉。
2、修复LSP，它是通过该方法对网络行为进行劫持的。