[转帖]对qq自动传文件病毒逆向后的一点成果

对qq自动传文件病毒逆向后的一点成果。
by ruder
. X* `3 e' Q2 d6 B. z3 kpage:http://ruder.cdut.net
mail:cocoruder@163.com
7 Y: A& ~2 J9 t/ m
. G0 z$ ~' g  _% X4 V0 k, k; f不清楚叫什么病毒名，只知道很是厉害，会自动向你的好友发文件。前面一大堆状态判断长的不行了，代码就不帖了，不过还是学到了很多东西，来点实际的

*手动删除病毒*
* R4 _  D  H* z1 w% C  @1.查找进程rundll32.exe k掉
  ^" n0 ~- X) l, n* l$ G% P2 a2.如果有 .exe（注意是一个特殊字符不是空格）进程，k掉
3 V! J4 l' w7 ~2 `7 S- B0 ~3.定位[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command]
4 s1 f+ c. ]0 t! X  [9 H改默认键值为 "notepad %1" （注意前面没有那个类似于空格的特殊字符）
4.定位[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
7 e. l4 `' P' S' G: ]改默认键值为 "%1" %*     （注意前面没有那个类似于空格的特殊字符）
& d1 }) t9 O( B+ I$ q5.定位[HKEY_LOCAL_MACHINE\SOFTWARE\TENCENT\QQ]
& G' \( x% T3 t& ~# }! D) U得到你的qq目录，再转到你的qq目录下
8 E0 p( h* a0 P2 I% I
可发现 有两个文件
TIMPlatform.exe
; j% B6 E* ?1 i8 fTIMP1atform.exe (注意是1不是L)
删除TIMPlatform.exe（病毒，为winrar图标），把TIMP1atform.exe改名为TIMPlatform.exe
6.病毒文件删除,下面是要删除的病毒文件（都为winrar图标）,假设windows目录为c:\winnt
c:\winnt\system\rundll32.exe
- W$ p. Q- u6 t! O) t" D. ^c:\winnt\system32\?.exe
6 x4 U6 J3 I1 n! Sc:\winnt\system32\notepad?.exe
1 }% O# h4 O; Z
*为你的系统打上此病毒"补丁"*
2 G$ s' H$ h0 K- z1 n) a打此补丁后以后不会再中此病毒

定位注册表项（没有则新建）
! R. M$ D' |0 |' Y5 j- J% H
: e2 c8 \' p1 m1 AHKEY_LOCAL_MACHINE\SOFTWARE\Classes\MSipv

添加一键值
MainVer 类型为REG_DWORD,值为ffffffff（16进制）
. V1 \' }' P: \4 m5 P6 H病毒启动判断状态参数完毕后会查询此值，如当前版本值比它小则会弹出个对话框就退出。
2 @* C' x- ~" `' s/ O- n' j我得到的病毒版本值为505

*********************
* A1 H9 V. {" j- S5 Z下面是病毒感染的代码（具体子函数未列出）
********************
! l+ x1 d# O+ c, g, q" J; G* }
;当esi为9的时候（也就是不是本来的文件，文件名非病毒拥有的名称(rundll32.exe等)）
! _- k  Z  ]  T+ lseg000:00406A59 loc_406A59:                             ; CODE XREF: sub_406820+1DAj
- E6 t' g5 B+ K; y" V# N" p+ R6 gseg000:00406A59                                         ; sub_406820+232j
seg000:00406A59                 lea     ecx, [esp+120h+var_118]
1 y9 R- E: \% c' ?6 L, Sseg000:00406A5D                 call    ??0exception@@QAE@XZ    ; 设置异常处理
7 z: A9 ?7 _+ M3 H( fseg000:00406A62                 push    0
seg000:00406A64                 push    0
seg000:00406A66                 push    0F003Fh
, V) i0 @! q6 z* h0 c( pseg000:00406A6B                 push    0
) |# z  o4 l. ?6 iseg000:00406A6D                 push    0
seg000:00406A6F                 push    offset aSoftwareClas_1 ; \"Software\\\\Classes\\\\MSipv\"
: J  n% z) ^5 c1 ]9 C$ Nseg000:00406A74                 push    80000002h
9 }$ \3 N7 A4 T/ N% W6 @# S( lseg000:00406A79                 lea     ecx, [esp+13Ch+var_118]
1 h' L7 T4 \  b' }* {% Rseg000:00406A7D                 mov     [esp+13Ch+var_4], 0
seg000:00406A88                 mov     [esp+13Ch+lpMainVer], 0
seg000:00406A90                 call    sub_404400        ; 尝试打开HKLM\\\\Software\\\\Classes\\\\MSipv
% D) e9 s1 |# u& L; ^9 q3 R# Bseg000:00406A95                 test    eax, eax
* e; j$ ]5 o. Q5 v! k! \6 _seg000:00406A97                 jnz     short loc_406AB5    ; 打开失败
seg000:00406A99                 lea     eax, [esp+120h+lpMainVer]
& n% ], e  w% t! W# Vseg000:00406A9D                 push    offset aMainver        ; \"MainVer\"
; A1 m" v7 D6 u* ^seg000:00406AA2                 push    eax
! n! z4 K- l7 F+ nseg000:00406AA3                 lea     ecx, [esp+128h+var_118]
6 G5 ~% b: U: b, O) l0 i9 Lseg000:00406AA7                 call    sub_4044A0        ; 查询MainVer键值,返回到lpMainVer
$ r! l1 p& q) ?- d7 c) V6 j" ]seg000:00406AAC                 lea     ecx, [esp+120h+var_118]
( r2 i2 {+ Z; }; ?( sseg000:00406AB0                 call    sub_4043E0        ; RegCloseKey
2 v8 I; {+ e' P! Z" j) Mseg000:00406AB5
: [- X2 j0 M- R4 [( l8 U& O% h1 y( U0 Wseg000:00406AB5 loc_406AB5:                    ; CODE XREF: sub_406820+277j
& \- i; O$ u+ tseg000:00406AB5                 cmp     [esp+120h+lpMainVer], 1F9h    ; 查询的结果与1f9相比较
seg000:00406ABD                 jnb     short loc_406AE0        ; 大于等于则跳，
seg000:00406ABD                                ; 弹出对话框然后退出,返回9
( l; b4 [: `2 r; Z  ], \seg000:00406ABD                                ; 小于，进行各种病毒行为
% @. V; f6 \, v) Vseg000:00406ABF                 push    0
seg000:00406AC1                 call    sub_406B30            ; 清除上一版本，
seg000:00406AC1                                ; 删除了类似于mshta.exe,winnt\\rundll32.exe
, P& F# C/ D# y. mseg000:00406AC1                                ; winnt\\iexplore.exe等文件
. X  D$ U/ a! Y: lseg000:00406AC6                 push    0
seg000:00406AC8                 call    sub_4061B0            ; 复制notepae .exe, .exe到系统目录
seg000:00406AC8                                ; 并在注册表建立文件关联
! W7 D) D3 y4 M1 ?' @seg000:00406ACD                 call    sub_406700            ; 复制病毒到winnt\\system\\rundll32.exe
seg000:00406ACD                                ; 并启动winnt\\system\\rundll32.exe
! Y0 I1 n! T/ zseg000:00406AD2                 push    0
seg000:00406AD4                 push    2
) N1 Z" G# H4 rseg000:00406AD6                 push    0
seg000:00406AD8                 call    sub_408520            ; 对还原精灵等软件做的一些操作，
seg000:00406AD8                                ; 未仔细跟
9 ?$ N  B# {  t, [: ^+ bseg000:00406ADD                 add     esp, 14h
seg000:00406AE0
! V3 w8 L- G% w/ lseg000:00406AE0 loc_406AE0:                        ; CODE XREF: sub_406820+29Dj
  o/ y3 v- J6 S5 |' Xseg000:00406AE0                 lea     ecx, [esp+120h+var_118]
' Q" g2 f# p0 d; D* N) T$ xseg000:00406AE4                 mov     [esp+120h+var_4], 0FFFFFFFFh
/ b% D  E# R* {3 ]1 r. kseg000:00406AEF                 call    sub_404350            ; CloseHandle
" x# d( ]8 @+ I7 P) p* [seg000:00406AF4                 cmp     esi, 9
seg000:00406AF7                 jnz     short loc_406B0D
) M1 K8 b( l* S+ C1 ^seg000:00406AF9                 push    0               ; uType
( f+ _/ ^7 h! g" R' k2 vseg000:00406AFB                 push    offset Caption  ; lpCaption
seg000:00406B00                 push    offset Text     ; lpText
seg000:00406B05                 push    0               ; hWnd
6 H0 }: @6 ]; K- j% p, E" gseg000:00406B07                 call    ds:MessageBoxA
3 |+ G3 ~% F1 g* m5 r. Eseg000:00406B0D
seg000:00406B0D loc_406B0D:                        ; CODE XREF: sub_406820+77j
1 o9 q$ y4 K, s/ G9 yseg000:00406B0D                                ; sub_406820+9Dj ...
seg000:00406B0D                 mov     ecx, [esp+120h+var_C]
seg000:00406B14                 mov     eax, esi
seg000:00406B16                 pop     esi
( @# M2 T% V! Z$ `$ qseg000:00406B17                 mov     large fs:0, ecx
; g& M9 R5 q2 ]7 ~# P  H% `seg000:00406B1E                 add     esp, 11Ch
  U( @/ [: s& _seg000:00406B24                 retn                    ; 弹出对话框后直接退出
seg000:00406B24 sub_406820      endp

[move]注意:[/move]
按照上面的方法手动删除病毒后,可能会导致\"只要带.exe 的东西都运行不了\"
3 ]% l7 }1 h* ~9 _% Y9 Z那可以按照下面的步骤解决:
把regedit.exe改名为regedit.com
运行regedit
3.定位[HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\txtfile\\shell\\open\\command]
2 Z/ Q7 n( }/ A改默认键值为 \"notepad %1\" （注意前面没有那个类似于空格的特殊字符）
0 L* J2 ^7 N* J( W8 R7 ]: Q4.定位[HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\exefile\\shell\\open\\command]
1 [* R# D0 k& w! {2 r2 u改默认键值为 \"%1\" %*     （注意前面没有那个类似于空格的特殊字符）
# y5 m6 L5 w7 {3 m+ K" b* J; f
/ @/ L  }+ e/ A7 e( q! x) I4 q' c======================
其实这个病毒到现在已经是知道叫\"qq白骨精\"和\"qq爱虫\"病毒
- T" H+ y" ~# @5 w: |. _最近有好几个朋友一直在求助这个,所以我干脆把我的这资料拿出来和大家分享!希望大家喜欢.
( d/ m3 }- X/ z/ T/ }现在对应的专杀工具已经出来了,一个叫\"qqkav\"另一个叫\"vk7\"
- r- {$ C2 r% p" C前面的是要money的```

如果exe文件关联没有恢复无法运行程序，还可以临时把exe文件后缀改成以下任何一个：bat、pif、scr 等
+ v6 {3 u2 ~, U1 v8 x8 P+ Qwin2k系统下程序动作：
将自身复制到system32目录下，文件名为“  .exe”和“notepad  .exe”，同时复制到system目录下，文件名为“rundll32.exe”。
将QQ目录下“TIMPlatform.exe”改名为“TIMP1atform.exe”（字母L改为数字1），然后将自己复制到QQ目录，文件名为原先的“TIMPlatform.exe”。
( [5 \: t) N  aexe文件关联修改为“  \"%1\" %*”（含有不可视字符）
txt文件关联修改为“notepad  %1”（含有不可视字符）

win2k系统下手工清除方法：
1、打开regedit.exe，修改文件关联：
    1）“HKEY_CLASSES_ROOT\\txtfile\\shell\\open\\command”键值修改为“notepad.exe \"%1\"”
    2）“HKEY_CLASSES_ROOT\\exefile\\shell\\open\\command”键值修改为“\"%1\" %*”
# W7 l4 s* x- A. c( l( K% ~* y2、终止所有rundll32.exe进程
3、删除system32目录下的“  .exe”和“notepad  .exe”
4、删除system目录下的“rundll32.exe”
5、删除QQ目录下的“TIMPlatform.exe”，将被改名的“TIMP1atform.exe”文件改回文件名“TIMPlatform.exe”。

注意：手工清除期间不要运行QQ程序，清除完后运行QQ再检查是否彻底清除。若感染病毒期间正在运行QQ，一定要在清除后修改QQ密码或申请密码保护。
, c+ h0 k1 R: g(论坛不支持上传附件,不然干脆也把那两个专杀的弄上来给大家,大家现在就自己搜索下载去吧,找不到的,在给我发短信,到时候在传给你们)

还是不大敢手动杀毒,弄不好系统崩溃

[B]以下是引用[I]落雨飘花[/I]在2005-6-16 13:53:51的发言：[/B][BR]  还是不大敢手动杀毒,弄不好系统崩溃

不动手实践永远学不到东西.不过你是中文系的也就没话说了.但计算机系的可和你不一样了.

其实这个病毒破坏性不是很强,仅仅是修改exe,txt文件关联,而且必须运用到regedit这个注册表编辑器,稍微有点头脑的人修改下注册表编辑器这个文件名就可以了~~~

rundll32.exe不是进程调用程序么..?不是木马吧...?

[B]以下是引用[I]无辜い排骨[/I]在2005-6-16 21:59:09的发言：[/B][BR]rundll32.exe不是进程调用程序么..?不是木马吧...?

呼,排骨注意看代码啊~~~~

用TIMP1atform.exe替换TIMPlatform.exe..
亏他们想的出来.. 如此相似..
不认真就会忽略..
可以去注册表修改一下.. 但是要找到病毒隐藏的文件不是那么容易的哦..