kab12.dll 病毒的分析

    前几天电脑中了一个病毒。开始系统还没有什么反应。直到卡巴发出病毒警告，说是在http://61.164.118.208这个地址存在病毒，我也没有注意，点了清除。结果卡巴无声关闭。然后用icesword一看，存在一大堆不明进程，进程名字由数字与字母组成。

    怎么做？开始是我是把进程一个个给结束掉。然后找到病毒对应的文件，并删除之。恩，感觉好了。可过了一会，系统又出现了不明的进程，而且用icesword查看进程模块，发现几乎每个进程中都加载了一个叫HBSOUL.dll的模块。模块大小为24576bytes，于是用od打开，一番分析之后，发现这个模块有一个函数连接到地址http://8888123456.com/www/。并向post.asp传递消息，消息包括在URL中并使用Base64编码。在我的机器上最终的URL是：

http://8888123456.com/www/post.asp?s=c2VydmVyPSZhY2NvdW50PSZwYXNzd29yZDE9JnBhc3N3b3JkMj0mbGV2ZWxzPSZjYXNoPSZjYXNoMj0mbmFtZT0mc3BlY2lhbFNpZ249TVk5LTE0JlByb3RQYXNzPSZWZXJpZnk9MEQ5NzkwJmFyZWE9Jm90aGVyPSZpbnB1dHNvdXJjZT1LTw==

    大家可以用记事本打开HBSOUL.dll，应该能够发现类似于：

server=%s&account=%s&password1=%s&password2=%s&levels=%s&cash=%s&cash2=%s&name=%s&specialSign=%s&ProtPass=%s&Verify=%s&area=%s&other=%s&inputsource=%s

    的字符串。这就是这个模块搜索到的信息。

    那么是谁加载的这个模块呢，我又分析了一个叫System.exe（注意，这也是一个系统进程的名字，不过系统进程System.exe的PID为4，病毒的PID比较大且不确定）。发现它在注册表键：

    Software/Microsoft/Windows NT/CurrentVersion/Windows AppInit_DLLs

    写下了如下的值：HBmhly.dll HB1000Y.dll HBWOOOL.dll HBXY2.dll HBJXSJ.dll HBSO2.dll HBFS2.dll HBXY3.dll HBSHQ.dll HBFY.dll HBWULIN2.dll HBW2I.dll HBKDXY.dll HBWORLD2.dll HBASKTAO.dll HBZHUXIAN.dll HBWOW.dll HBZERO.dll HBBO.dll HBCONQUER.dll HBSOUL.dll HBCHIBI.dll HBDNF.dll HBWARLORDS.dll HBTL.dll HBPICKCHINA.dll HBCT.dll HBGC.dll HBHM.dll HBHX2.dll HBQQHX.dll HBTW2.dll HBQQSG.dll HBQQFFO.dll HBZT.dll HBMIR2.dll HBRXJH.dll HBYY.dll HBMXD.dll HBSQ.dll HBTJ.dll HBFHZL.dll HBWLQX.dll HBLYFX.dll HBR2.dll HBCHD.dll HBTZ.dll HBQQXX.dll HBWD.dll HBZG.dll HBPPBL.dll HBXMJ.dll HBJTLQ.dll HBQJSJ.dll

    这个键是系统在加载uer32.dll时也一并加载的模块。从中可以看到有我们的HBSOUL.dll。好家伙，这么多的东西。先用icesword把System.exe干掉(注意不要动与之同名的系统进程）。正准备把注册表对应的键值删除，可没想到删不了。难道装了驱动？我右击“我的电脑”图标，选中“设备”，在“查看”菜单中选“显示隐藏的设备”，在“非即插即用驱动程序”中发现了一个不明驱动“HBkernel32”，卸载之。删除余下的病毒，重启电脑。以为这次可以万事大吉。没有想到还是不行。

    看来还是没有找到源头，在注册表中查找所有可能自启动的地方，终于在下面的键中发现有异：

    software/microsoft/windows/currentversion/policies/explorer/run

    有一个kab12.exe项，找到了，用icesword删除之，并把：

    software/microsoft/windows/currentversion/shellserviceobjectdelayload

    下的.dll项删除，说明一下这个键其实作用和同一级下的Run键是一样的，只是前者指向的是CLSID，后者指向文件。

    kab12.exe的一个作用是加载kab12.dll到explorer.exe，然后由kab12.dll执行下载病毒文件的功能（我是怎么知道的？用记事本打开kab12.dll，有一个字符串“URLDownloadToFileA”）具体是连哪我没有分析了，估计是61.164.118.208。妈的，敢阴我？看老子怎么收拾它！

    不知道它是怎么把卡巴给干掉的。

    恩，有事可以联系我:gongyiling3468@163.com，这个应该是个新品种。