同样也是一篇比较老的文章了,

是CaterQiu  还在上大二的时候闲暇时间分析的一款,

记得当时Cater 的电脑被同学误操作感染了熊猫烧香,Cater 手动修复了很多被感染的程序,累病毒是讨厌,突然想到了 病毒奇才 Vxk 大大了。

第二章 介绍UcHelp病毒

  

20070601为止,瑞星最新版本,卡巴斯基最新版本等等杀毒软件还没有对该病毒程序做出“通缉令”

2.1 病毒呈现的现象

生成文件:

*     C:\tmp.hiv

*     C:\sysret.dat

*     C:\sysret.sys

*     C:\WINDOWS \Downloaded Program Files\Ext32.dat

 

C:\WINDOWS\Downloaded Program Files\CxUSBKey.exe 49152

C:\WINDOWS\Downloaded Program Files\ZipExt32.dll 8192

C:\WINDOWS\system32\AceExt32.dll 16384

 

X:\RECYCLER\UcHelp.exe

X:\RECYCLER\desktop.ini

X:\autorun.inf

备注:打“*”的为临时产生的文件,病毒在正常情况下会将其删除。

 

修改注册表:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

AceExt={35CEC8A3-2BE6-11D2-8773-92E220524150}

ZipExt32={35CEC8A3-2BE6-11D2-8773-92E220524140}

HKEY_CLASSES_ROOT\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524140}

HKEY_CLASSES_ROOT\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524150}

 

注入到进程:

Explorer 中自动加载

system32\AceExt32.dll

windows\Downloaded Program Files\ZipExt32.dll

 

病毒行为:

病毒会感染所有移动存储设备,并加载到系统自动运行,继续传播感染其他及其和移动存储设备。

 

2.2 病毒运作机制

       有就 释放资源 ret C:\sysret.dat 并运行

               C:\sysret.dat释放资源 SYSRET C:\sysret.sys,并加载驱动,向GDT添加一个callgate,以便R3的程序可以调用这个callgate来干一些只有R0才能干的事例如恢复杀毒软件或HIPS软件的SSDT HOOK,以及通过RestoreKey方式来过部分主动防御软件及杀毒软件的注册表监控写启动项。

 

 

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SM_GameDro

是否为 yes 不是,就创建这样的键值

 

 5.将本程序 拷贝至 C:\windows\Downloaded Program Files\CxUSBKey.exe

 6.如果 上面 3,检查不成立就从释放资源 exe ulinshi32.exe 并运行

并建立 CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524150} AceExt32.dll 关联 

 

UcHelp.exe为病毒程序的主程序,

它的资源中包含以下(2.3 病毒模块介绍)介绍的模块

 

2.3 病毒模块 介绍

       病毒程序的主程序,它的资源中包含以下模块。

1.         释放资源 SYSRET C:\sysret.sys,并加载到系统核心

2.         Ring0级代码,禁止 avp.exe

3.         GDT添加一个callgate,以便R3的程序可以调用这个callgate来获取R0权限,例如恢复杀毒软件或HIPS软件的SSDT HOOK

AceExr32.dll 模块

1.       修改注册表

SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

AceExt32.dll 加载到 Explorer.exe 进行中

ZipExt32.dll 也同上被加载到Explorer.exe 进行中

2.       修改注册表

写入{35CEC8A3-2BE6-11D2-8773-92E220524150} CLSD 关联 AceExt32.dll

3.       AceExt32.dll 这个dll Hook了系统函数,还具有隐藏文件名为“autorun.inf”的文件并限制对该文件的读取和修改

4.       调用UnHelp.exe运行

 CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524140}CLSD关联 Zipext32.dll

2.       修改注册表

SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

这里 Zipext32.dll 加载到 Explorer.exe 进行中

       3.  tmp.hiv,是用于用RestoreKey方式来过部分主动防御软件及杀毒软件的注册表监控写启动项

3.       还是有 检查 avp.exe 进程,发现了又要利用sysret.sys 驱动功能了。

 

 

相当于木马模块,后门程序.
 

2.4 病毒手动清除方案

清除病毒一般的方法是,关闭病毒进程,修复病毒关联,清除病毒程序,修复感染文件,下面我们就对 UcHelp 病毒进行手动清除病毒。

 

首先让系统进入安全模式或者结束进程CxUSBKey.exe,explorer.exe

       1.    如果有以下文件请删除

*     C:\tmp.hiv

*     C:\sysret.dat

*     C:\sysret.sys

*     C:\WINDOWS \Downloaded Program Files\Ext32.dat

       C:\WINDOWS\Downloaded Program Files\Ext32.dll

C:\WINDOWS\Downloaded Program Files\CxUSBKey.exe 49152

C:\WINDOWS\Downloaded Program Files\ZipExt32.dll 8192

C:\WINDOWS\system32\AceExt32.dll 16384

 

X:\RECYCLER\desktop.ini

X:\autorun.inf

备注:打“*”的为临时产生的文件,病毒在正常情况下会将其删除。

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad下面的

AceExt={35CEC8A3-2BE6-11D2-8773-92E220524150}

ZipExt32={35CEC8A3-2BE6-11D2-8773-92E220524140}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SM_GameDro

HKEY_CLASSES_ROOT\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524150}

HKEY_CLASSES_ROOT\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524140}

 

开始-》运行-Gpedit.msc-》计算机配置-》管理模块-》系统-》关闭自动播放-》已启动-》所有驱动器-》确定 OK~

 

删除里面的病毒程序

X:\RECYCLER\UcHelp.exe

X:\RECYCLER\desktop.ini

X:\autorun.inf 

 

完整附件(包含样本)下载

【经验总结】
  1. 第一次分析病毒程序,感觉怕怕,为此我还装了影子系统
  2. 感谢 恶灵骑士 MJ0011 介绍 sysret.sys 的工作机理
  3. 感谢 xyzreg 大虾提供的强奸注册表 Pass HIPS-RD 方法
  4. 好了,我可以去吐血了~
  
--------------------------------------------------------------------------------
【版权声明】: 本文原创于看雪技术论坛, 转载请注明作者并保持文章的完整, 谢谢!

                                                       2007年06月03日 上午 10:20:04


4.1 UcHelp病毒清除脚本

@Rem 将下面的代码复制下面的句子到记事本,然后保存为“任意文件名.bat”,再双击运行即可清除病毒。

Title UcHelp 病毒专杀脚本 1.070601 Write By Cater QQ:24882688
color 0a
cls

@echo ***********************************
@echo *   UcHelp 病毒专杀脚本 1.070601  *
@echo *   说明:                        *
@echo *       本程式自动关闭和清理UcHelp*
@echo *   病毒相关文件!                *
@echo *   Make By Cater   *
@echo *   QQ:24882688  2007年06月01日   *
@echo ***********************************
@echo.

@echo 按任意键开始执行病毒清理程式
@echo.
@pause
@Rem 关闭 Explorer 进程
taskkill /im explorer.exe /f

@Rem 强制删除系统中的病毒文件
del /q /f "C:\tmp.hiv"
del /q /f "C:\sysret.dat"
del /q /f "C:\sysret.sys"
del /q /f "c:\windows\system32\AceExt32.dll"
del /q /f "c:\windows\Downloaded Program Files\Ext32.dat"
del /q /f "c:\windows\Downloaded Program Files\Ext32.dll"
del /q /f "c:\windows\Downloaded Program Files\CxUSBKey.exe"
del /q /f"c:\windows\Downloaded Program Files\ZipExt32.dll"

@Rem 删除注册表中被病毒修改的键值
reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad /v ZipExt32 /f
reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad /v AceExt32 /f
reg delete HKEY_CLASSES_ROOT\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524140} /f
reg delete HKEY_CLASSES_ROOT\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524150} /f
reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SM_GameDro /f

@Rem 删除其他逻辑分区里面的AutoRun.inf 以及 相应病毒文件
for %%a in (c,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do for %%d in (%%a:\RECYCLER\UcHelp.exe,%%a:\RECYCLER\desktop.ini,%%a:\autorun.inf) do del /q /f %%d

@Rem 恢复资源管理器进程
Start Explorer

@Echo 脚本执行完毕,按任意键退出。