“梦中情人sbl”病毒sbl.exe新变种的分析

从生成的文件和病毒体内发现了病毒作者的对于某个女孩的仰慕之情，因此起名“梦中情人sbl”病毒。并且该病毒应该与最近疯狂流行的QQ尾巴病毒“极速工作室”有关。

File: sbl.exe
Size: 22891 bytes
Modified: 2007年10月19日, 14:26:41
MD5: 834875D1CF0EF17EE99EBC9FF21D7E21
SHA1: E980D6662A586134C5585B01C0197B9570E40849
CRC32: 03DC4D4A

技术细节：
1、释放病毒副本：
%systemroot%\system32\1.inf
%systemroot%\system32\dream.exe
%systemroot%\system32\plmmsbl.dll

各个分区释放autorun.inf和sbl.exe
%systemroot%\system32\1.inf与autorun.inf内容相同

2.添加注册表启动项目
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
下面添加
{melove}{%systemroot%\system32\dream.exe}
{dream}{%systemroot%\system32\dream.exe}
的启动项目 达到开机启动自身的目的

3.调用cmd.exe 执行cmd.exe /c net stop sharedaccess的命令 关闭Windows自带的防火墙

4.提升自身权限 关闭如下进程
avp.exe
360safe.exe
360tray.exe

5.检测窗口，关闭带有如下字样的窗口
防火墙
任务管理器
木马清道夫
木马克星
超级巡警
主线程
NOD32核心
安全卫士
木马杀客
微点
NOD32内核
金山
杀毒
江民

6.调用CreateProcess打开进程%systemroot%\system32\svchost.exe，把%systemroot%\system32\plmmsbl.dll注入到svchost.exe中，并调用urlmon.dll实现下载功能
下载
http://www.*.org/js/3.exe
http://www.*.org/js/4.exe
到C:\下面 命名为a.exe 和b.exe

下载的两个病毒均为灰鸽子，使得黑客可以对中毒者的机器进行完全控制
其中a.exe注册为IMAPI CD-Burning COM Servics的服务
b.exe注册为netrt的服务且在所有用户的的收藏夹文件夹下释放副本文件并注册启动项目

7.病毒体内有字样“mylovegirlsbl”
sbl应该是个人名的缩写吧，姓孙？前面文件名里出现plmmsbl 这里作者又在病毒体内写明mylovegirlsbl 足以证明病毒作者对于sbl这个女孩的倾慕

病毒植入完毕后的sreng日志如下
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
{ctfmon}{%Documents and Settings%\All Users\Favorites\netservice.exe} []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
{melove}{%systemroot%\system32\dream.exe} []
{dream}{%systemroot%\system32\dream.exe} []
==================================
服务
[IMAPI CD-Burning COM Servics / IMAPI CD-Burning COM Servics][Stopped/Auto Start]
{%systemroot%\svhost.exe}{N/A}
[Remote network Service / netrt][Running/Auto Start]
{%systemroot%\system32\svchost.exe -k network--}%systemroot%\system32\sysn.dll}{N/A}

==================================
Autorun.inf
[C:\]
[autorun]
OPEN=sbl.exe
shellexecute=sbl.exe
shell\Auto\command=sbl.exe
shell=open
[D:\]
[autorun]
OPEN=sbl.exe
shellexecute=sbl.exe
shell\Auto\command=sbl.exe
shell=open
...

解决方法：

下载冰刃：
http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip
sreng：
http://download.kztechs.com/files/sreng2.zip

1.打开Icesword
进程栏中 结束dream.exe
单击 左下角文件按钮
删除如下文件
%systemroot%\system32\1.inf
%systemroot%\system32\dream.exe
%systemroot%\system32\plmmsbl.dll
以及每个分区下面的
autorun.inf和sbl.exe

2.打开sreng
启动项目 注册表 删除如下项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
{ctfmon}{%Documents and Settings%\All Users\Favorites\netservice.exe} []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
{melove}{%systemroot%\system32\dream.exe} []
{dream}{%systemroot%\system32\dream.exe} []

“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”，
选中以下项目，点“删除服务”，再点“设置”，在弹出的框中点“否”：
IMAPI CD-Burning COM Servics / IMAPI CD-Burning COM Servics
Remote network Service / netrt

3.重启计算机
双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定
删除如下文件
%systemroot%\system32\sysn.dll
%systemroot%\svhost.exe
%Documents and Settings%\All Users\Favorites\netservice.exe
%Documents and Settings%\All Users\Favorites\plugin\001.dll