顽固木马清理专题之蠕虫篇《模糊的月光》

2021-03-23 19:31:38
我要分享


微信扫码分享

在过去很长一段时间内，我们关注到有一些很古老的木马家族一直都很活跃，其中包括但不仅限于感染型和蠕虫病毒，对此我们计划推出顽固木马彻底清除计划，该计划旨在将用户计算机上（包括信任区当中）可能存在安全隐患的恶意软件进行查杀。

随着项目的推进，我们发现，有一些非常经典且活跃，经常有用户反馈的病毒木马也在其中，故而我们计划将这些木马整理成文档，以专题系列的方式披露这些木马的细节，并及时推送查杀策略。广大用户可以持续关注系列文章，以了解更多的木马家族：

模糊的月光

蠕虫病毒是一类极具传播能力的计算机病毒，可以通过可移动设备，共享目录，系统漏洞，电子邮件等方式进行传播。由于企业内网的脆弱性，蠕虫病毒会在一些企业内网中大量存在。蠕虫病毒除了感染模块之外一般还会携带其他的恶意功能，如窃密，挖矿等等。经典的蠕虫感染模式如下所示：

这里我们例举我们在分析过程中遇到的两个蠕虫病毒：Vague（模糊）和MoonLight（月光），更进一步介绍蠕虫病毒可能造成的危害。

首先我们看看MoonLight，该蠕虫的传播方式分为两种，第一种是通过电子邮件进行传播，它会搜集中毒用户的邮箱联系人，并以当前用户的身份给这些联系人发送携带MoonLight蠕虫的电子邮件，以此传播自身，伪造电子邮件的部分代码如下：

第二种是通过自我复制到可移动设备，或者包含”download”,”upload“,”share”等共享文件目录进行传播，这种方式虽然看似简单，却也是最行之有效的传播方式。

在MoonLight蠕虫植入用户机器后会执行更多恶意功能，包括下载并执行其他恶意模块：

设置键盘记录器记录用户的击键记录：

以及通过破坏系统的正常功能实现免杀等：

第二类要介绍的蠕虫是Vague，360安全卫士检测为Worm.Win32.Vague.A。这是一类传播方式比较单一的蠕虫，仅仅是通过可移动设备进行传播，但是当它感染目标机器后，会收集机器上的敏感信息，包括网络，进程，文件系统等等：

此外，还会通过压缩软件将所有doc,docx,pdf,mvd,tif,xls,xlsx等结尾的文件进行压缩并上传，如果被感染的机器比较重要，则可能给企业带来较大损失。

如何清除：

关于MoonLight蠕虫（360检测为Worm.Win32.FakeFolder.JW），删除下列文件目录下的病毒文件：

C:\Windows\[TheMoonlight].txt

C:\Users\[UserName]\AppData\Roaming\Microsoft\Windows\Templates\\service.exe

C:\Users\[UserName]\AppData\Roaming\Microsoft\Windows\Templates\\winlogon.exe

C:\Windows\M70273\EmangEloh.exe

C:\Windows\M70273\smss.exe

C:\Windows\System32\X05778go\cie.cmd

C:\Windows\sa-.exe

C:\Windows\Tita.exe

C:\Windows\M70273\JabLay.com

C:\Windows\System32\l.exe

C:\Users\[UserName]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sql.cmd

C:\Users\[UserName]\AppData\Roaming\Microsoft\Windows\Templates\\TuxZ.exe

还可能出现的文件名：

Titip Folder Jangan DiHapus .exe

THe Best Ungu .scr

Norman virus Control 5.18 .exe

Gallery .scr

TutoriaL HAcking .exe

RaHasIA .exe

Love Song .scr

Titip Folder Jangan DiHapus .exe

Gallery .scr

Lagu - Server .scr

Windows Vista setup .scr

Blink 182 .exe

删除如下注册表项：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\T1702622TT4

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\T71Z627

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe\debugger

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe\debugger

关于Vague蠕虫病毒（360检测为Worm.Win32.Vague.A），删除以下病毒文件：

C:\Users\[UserName]\AppData\Local\Temp\ppxxxx

C:\Users\cslgg\AppData\Local\Temp\conhost.exe

C:\Users\cslgg\AppData\Local\Temp\~tmpx5.tmp

C:\Users\cslgg\AppData\Local\Temp\must.bat

修复以下注册表项：

HKEY_CLASSES_ROOT\exefile\NeverShowExt

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load

360安全卫士支持上述蠕虫病毒的查杀，若有用户电脑中存在以上病毒现象，用户可以前往360安全卫士官网（http://weishi.360.cn/ ）进行下载查杀：

热点排行

顽固木马清理专题之蠕虫篇《模糊的月光》

如何清除：

热点排行

关注我们