某9 - 2010/8/22 18:00:00
2010.8.22:问题是由于某9安装了“寒星”在“寒星随意录”里发布的“暴风影音简易去广告补丁v1.90”引起的,重做系统后(补丁啥的都不装),只安装暴风,一切正常。再安装去广告补丁并重启,问题再次出现...于是真相大白....%>_<%
通过软件对比,此去广告补丁除了修改程序主文件以及皮肤文件外,还修改了StormUpdate.dll(StormUpdate.exe并未更改)更新时将自动连接其他服务器下载木马,并且无法取消做出的更改。导致只要运行过去广告补丁后,不管如何替换/卸载/重装暴风,都有此现象出现。
于是这里推测引发问题的原因是去广告补丁内含了了能利用未打某补丁的纯净系统中的漏洞,从而造成系统异常并被感染。
看来某9以前的镜像不能用了,全部从纯净的开始重做吧....%>_<%
----------------------------------
嗯,说事情之前某9先说一下发生这个事情的电脑环境。
因为学校11点断电,断电之后某9就会就使用笔记本的电池来熬过睡觉之前的一段时间,没有PSP的某9一般这段时间都是看动漫,所以延长这段时间就成了关键。后来想到了做一个内存系统,简单来说就是像WinPE一样把系统的IMG镜像文件加载到内存里,从而将硬盘停转(硬盘功率10W左右,跟调低亮度的屏幕相当),以获得更长的电池使用时间。不过区别就是PE只是集成系统内核部分的预安装环境,而内存系统则可以是完全功能的系统。使用内存系统之后,某9的本本从以前看3集动漫延长到了能看6集.....囧
而因为是加载的镜像,对内存系统所做的任何更改都不会被保存。所以从控制镜像文件大小的方面考虑(镜像文件多大,就占用多少内存),内存系统中没有安装任何补丁以及开启任何实时监控程序,暴风影音等其他软件,是与真实系统共享的(在其他分区)至于内存系统本体,采用的是DeepinXP V6.2 最终IMG镜像大小479MB(因为原版的ntldr只支持引导480MB以下的文件)
-----------------------
回到正题。内存系统使用了半年过后,前几天某9在内存系统里看Angel Beats!的时候,暴风影音更新程序StormUpdate照旧弹出了安装Real解码插件的选项(因为学校数字化中心对网络做了一些限制,在寝室里是无法安装成功的,所以每次都会弹出此提示。),几秒过后出现StormUpdate程序崩溃的提示,某9也没在意,调用了本机的Real解码组件开始播放,几分钟后系统突然自动弹出网页,同时桌面上出现了钓鱼网站的快捷方式,略微扫描了一下就有很多木马以及恶意插件。
重启进入正常的系统,用杀软扫描了一下,并用XueTr以及冰刃查看了一下,确认一切正常,看来内存系统中染的木马在被重启激活之前暂时不会对其他分区造成影响。
于是第二天,某9再次进入内存系统,重现了这个过程。
[flash]http://player.youku.com/player.php/sid/XMTk5ODE2NzMy/v.swf[/flash]
引用的视频窗口比较小,这里是优酷地址http://v.youku.com/v_show/id_XMTk5ODE2NzMy.html
播放时请切换至[高清]
录像简单描述:
1)纯净内存系统,开启暴风之前仅打开了FileMon,金山卫士,以及金山毒霸SP2增强版(仅作检测用,未开启实时监控,否则木马无法执行后续行为)。
2)扫描内存,C盘,暴风目录,动漫目录,确认当前系统无异常。
3)3分07秒时开启暴风播放REAL视频,提示下载插件,随后暴风升级程序StormUpdate启动,并创建了一个名为f.exe的进程(FileMon监视记录发现),随后系统中多出许多未知进程,紧接着金山卫士报警,8分01秒后切换至[联网]选项卡,发现一直有网络流量(系统中未开启任何涉及网络的程序),30秒后系统弹出网页,桌面出现钓鱼网站链接,系统中多出许多恶意插件及木马。
但是诡异的是,事前经过许多工具检测,暴风升级程序StormUpdate并无异常,所以某9就把这放到土豆星,集思广益,大家看看这可能是由于什么引起的....%>_<%
如果需要查看FileMon监控记录,某9已经上传到115,地址是http://u.115.com/file/f79aa419a
-------------------
此前一直都没发现这个问题,因为以前使用内存系统的时候,某9都没有联网,所以木马也无法下载到本机。当天因为打算下载Clannad的BD,所以联了网,也就发现了这个问题。
-------------------
排查记录:
访问暴风官网点对点下载最新安装程序,替换了原本机上暴风目录的StormUpdate.exe以及StormUpdate.dll,问题依旧。
忙了两小时,不停的安装卸载,新老版本换过多次,模拟了各种可能的原因。
问题原因略有眉目,重装一遍系统才能最终知晓.....
-------------------
回 grayfog :StormUpdate确为暴风升级相关组件,某9本机上的StormUpdate经过 www.virscan.org 以及 www.virustotal.com 上40余款国内外杀软检测,确认无毒无误。水羊找到的“StormUpdate.exe”是病毒的这条消息,某9在那两个网站上也看到了相关信息,不过那个StormUpdate是2009年上传检测的,而某9电脑上出问题的这版暴风则是2010年的,文件大小也不一样,两者没有可比性呢...%>_<%
[wrap=--在线检测结果,点击展开--]VirSCAN.org Scanned Report :
Scanned time : 2010/08/22 18:50:55 (CST)
Scanner results: 全部的杀毒软件报告没有发现病毒!
File Name : StormUpdate.exe
File Size : 75872 byte
File Type : PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5 : 4953e0fbdc61b7e7bd8e8c9f82413b17
SHA1 : 14411e3fa0a8a7c48a3509a93b18d3f70bd51d19
Online report : http://virscan.org/report/c370650562193063bdc48ddd684f44f9.html
Scanner Engine Ver Sig Ver Sig Date Time Scan result
a-squared 5.0.0.19 20100822050157 2010-08-22 40.09 -
安博士V3 2010.08.07.00 2010.08.07 2010-08-07 40.09 -
AntiVir 8.2.4.38 7.10.10.239 2010-08-20 0.40 -
安天 2.0.18 20100821.4955373 2010-08-21 0.02 -
Arcavir 2009 201006281601 2010-06-28 0.04 -
Authentium 5.1.1 201008220022 2010-08-22 1.70 -
AVAST! 4.7.4 100821-1 2010-08-21 0.01 -
AVG 8.5.793 271.1.1/3087 2010-08-22 0.33 -
BitDefender 7.90123.6163667 7.33510 2010-08-22 4.46 -
ClamAV 0.96.1 11608 2010-08-21 0.04 -
Comodo 4.0 5799 2010-08-20 40.10 -
CP Secure 1.3.0.5 2010.08.21 2010-08-21 0.06 -
Dr.Web 5.0.2.3300 2010.08.22 2010-08-22 8.98 -
F-Prot 4.4.4.56 20100822 2010-08-22 1.29 -
F-Secure 7.02.73807 2010.08.22.01 2010-08-22 0.18 -
飞塔 4.1.143 12.268 2010-08-21 40.09 -
GData 21.703/21.275 20100821 2010-08-21 40.10 -
ViRobot 20100821 2010.08.21 2010-08-21 3.38 -
Ikarus T3. 2010.08.22.76573 2010-08-22 4.95 -
江民杀毒 13.0.900 2010.08.21 2010-08-21 40.09 -
卡巴斯基 5.5.10 2010.08.22 2010-08-22 0.14 -
金山毒霸 2009.2.5.15 2010.8.21.18 2010-08-21 40.09 -
迈克菲 5400.1158 6081 2010-08-21 22.28 -
Microsoft 1.6103 2010.08.22 2010-08-22 40.09 -
Norman 6.05.11 6.05.00 2010-08-21 8.01 -
熊猫卫士 9.05.01 2010.08.16 2010-08-16 17.82 -
趋势科技 9.120-1004 7.402.05 2010-08-22 0.04 -
Quick Heal 11.00 2010.08.21 2010-08-21 40.09 -
瑞星 20.0 22.61.04.04 2010-08-20 40.19 -
Sophos 3.10.0 4.56 2010-08-22 4.16 -
Sunbelt 3.9.2432.2 6771 2010-08-21 40.09 -
赛门铁克 1.3.0.24 20100821.004 2010-08-21 0.05 -
nProtect 20100820.01 8830232 2010-08-20 40.09 -
The Hacker 6.5.2.1 v00352 2010-08-20 40.15 -
VBA32 3.12.14.0 20100819.1636 2010-08-19 3.19 -
VirusBuster 4.5.11.10 10.127.63/2044858 2010-08-22 2.50 -
[/wrap]
通过软件对比,此去广告补丁除了修改程序主文件以及皮肤文件外,还修改了StormUpdate.dll(StormUpdate.exe并未更改)更新时将自动连接其他服务器下载木马,并且无法取消做出的更改。导致只要运行过去广告补丁后,不管如何替换/卸载/重装暴风,都有此现象出现。
于是这里推测引发问题的原因是去广告补丁内含了了能利用未打某补丁的纯净系统中的漏洞,从而造成系统异常并被感染。
看来某9以前的镜像不能用了,全部从纯净的开始重做吧....%>_<%
----------------------------------
嗯,说事情之前某9先说一下发生这个事情的电脑环境。
因为学校11点断电,断电之后某9就会就使用笔记本的电池来熬过睡觉之前的一段时间,没有PSP的某9一般这段时间都是看动漫,所以延长这段时间就成了关键。后来想到了做一个内存系统,简单来说就是像WinPE一样把系统的IMG镜像文件加载到内存里,从而将硬盘停转(硬盘功率10W左右,跟调低亮度的屏幕相当),以获得更长的电池使用时间。不过区别就是PE只是集成系统内核部分的预安装环境,而内存系统则可以是完全功能的系统。使用内存系统之后,某9的本本从以前看3集动漫延长到了能看6集.....囧
而因为是加载的镜像,对内存系统所做的任何更改都不会被保存。所以从控制镜像文件大小的方面考虑(镜像文件多大,就占用多少内存),内存系统中没有安装任何补丁以及开启任何实时监控程序,暴风影音等其他软件,是与真实系统共享的(在其他分区)至于内存系统本体,采用的是DeepinXP V6.2 最终IMG镜像大小479MB(因为原版的ntldr只支持引导480MB以下的文件)
-----------------------
回到正题。内存系统使用了半年过后,前几天某9在内存系统里看Angel Beats!的时候,暴风影音更新程序StormUpdate照旧弹出了安装Real解码插件的选项(因为学校数字化中心对网络做了一些限制,在寝室里是无法安装成功的,所以每次都会弹出此提示。),几秒过后出现StormUpdate程序崩溃的提示,某9也没在意,调用了本机的Real解码组件开始播放,几分钟后系统突然自动弹出网页,同时桌面上出现了钓鱼网站的快捷方式,略微扫描了一下就有很多木马以及恶意插件。
重启进入正常的系统,用杀软扫描了一下,并用XueTr以及冰刃查看了一下,确认一切正常,看来内存系统中染的木马在被重启激活之前暂时不会对其他分区造成影响。
于是第二天,某9再次进入内存系统,重现了这个过程。
[flash]http://player.youku.com/player.php/sid/XMTk5ODE2NzMy/v.swf[/flash]
引用的视频窗口比较小,这里是优酷地址http://v.youku.com/v_show/id_XMTk5ODE2NzMy.html
播放时请切换至[高清]
录像简单描述:
1)纯净内存系统,开启暴风之前仅打开了FileMon,金山卫士,以及金山毒霸SP2增强版(仅作检测用,未开启实时监控,否则木马无法执行后续行为)。
2)扫描内存,C盘,暴风目录,动漫目录,确认当前系统无异常。
3)3分07秒时开启暴风播放REAL视频,提示下载插件,随后暴风升级程序StormUpdate启动,并创建了一个名为f.exe的进程(FileMon监视记录发现),随后系统中多出许多未知进程,紧接着金山卫士报警,8分01秒后切换至[联网]选项卡,发现一直有网络流量(系统中未开启任何涉及网络的程序),30秒后系统弹出网页,桌面出现钓鱼网站链接,系统中多出许多恶意插件及木马。
但是诡异的是,事前经过许多工具检测,暴风升级程序StormUpdate并无异常,所以某9就把这放到土豆星,集思广益,大家看看这可能是由于什么引起的....%>_<%
如果需要查看FileMon监控记录,某9已经上传到115,地址是http://u.115.com/file/f79aa419a
-------------------
此前一直都没发现这个问题,因为以前使用内存系统的时候,某9都没有联网,所以木马也无法下载到本机。当天因为打算下载Clannad的BD,所以联了网,也就发现了这个问题。
-------------------
排查记录:
访问暴风官网点对点下载最新安装程序,替换了原本机上暴风目录的StormUpdate.exe以及StormUpdate.dll,问题依旧。
忙了两小时,不停的安装卸载,新老版本换过多次,模拟了各种可能的原因。
问题原因略有眉目,重装一遍系统才能最终知晓.....
-------------------
回 grayfog :StormUpdate确为暴风升级相关组件,某9本机上的StormUpdate经过 www.virscan.org 以及 www.virustotal.com 上40余款国内外杀软检测,确认无毒无误。水羊找到的“StormUpdate.exe”是病毒的这条消息,某9在那两个网站上也看到了相关信息,不过那个StormUpdate是2009年上传检测的,而某9电脑上出问题的这版暴风则是2010年的,文件大小也不一样,两者没有可比性呢...%>_<%
[wrap=--在线检测结果,点击展开--]VirSCAN.org Scanned Report :
Scanned time : 2010/08/22 18:50:55 (CST)
Scanner results: 全部的杀毒软件报告没有发现病毒!
File Name : StormUpdate.exe
File Size : 75872 byte
File Type : PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5 : 4953e0fbdc61b7e7bd8e8c9f82413b17
SHA1 : 14411e3fa0a8a7c48a3509a93b18d3f70bd51d19
Online report : http://virscan.org/report/c370650562193063bdc48ddd684f44f9.html
Scanner Engine Ver Sig Ver Sig Date Time Scan result
a-squared 5.0.0.19 20100822050157 2010-08-22 40.09 -
安博士V3 2010.08.07.00 2010.08.07 2010-08-07 40.09 -
AntiVir 8.2.4.38 7.10.10.239 2010-08-20 0.40 -
安天 2.0.18 20100821.4955373 2010-08-21 0.02 -
Arcavir 2009 201006281601 2010-06-28 0.04 -
Authentium 5.1.1 201008220022 2010-08-22 1.70 -
AVAST! 4.7.4 100821-1 2010-08-21 0.01 -
AVG 8.5.793 271.1.1/3087 2010-08-22 0.33 -
BitDefender 7.90123.6163667 7.33510 2010-08-22 4.46 -
ClamAV 0.96.1 11608 2010-08-21 0.04 -
Comodo 4.0 5799 2010-08-20 40.10 -
CP Secure 1.3.0.5 2010.08.21 2010-08-21 0.06 -
Dr.Web 5.0.2.3300 2010.08.22 2010-08-22 8.98 -
F-Prot 4.4.4.56 20100822 2010-08-22 1.29 -
F-Secure 7.02.73807 2010.08.22.01 2010-08-22 0.18 -
飞塔 4.1.143 12.268 2010-08-21 40.09 -
GData 21.703/21.275 20100821 2010-08-21 40.10 -
ViRobot 20100821 2010.08.21 2010-08-21 3.38 -
Ikarus T3. 2010.08.22.76573 2010-08-22 4.95 -
江民杀毒 13.0.900 2010.08.21 2010-08-21 40.09 -
卡巴斯基 5.5.10 2010.08.22 2010-08-22 0.14 -
金山毒霸 2009.2.5.15 2010.8.21.18 2010-08-21 40.09 -
迈克菲 5400.1158 6081 2010-08-21 22.28 -
Microsoft 1.6103 2010.08.22 2010-08-22 40.09 -
Norman 6.05.11 6.05.00 2010-08-21 8.01 -
熊猫卫士 9.05.01 2010.08.16 2010-08-16 17.82 -
趋势科技 9.120-1004 7.402.05 2010-08-22 0.04 -
Quick Heal 11.00 2010.08.21 2010-08-21 40.09 -
瑞星 20.0 22.61.04.04 2010-08-20 40.19 -
Sophos 3.10.0 4.56 2010-08-22 4.16 -
Sunbelt 3.9.2432.2 6771 2010-08-21 40.09 -
赛门铁克 1.3.0.24 20100821.004 2010-08-21 0.05 -
nProtect 20100820.01 8830232 2010-08-20 40.09 -
The Hacker 6.5.2.1 v00352 2010-08-20 40.15 -
VBA32 3.12.14.0 20100819.1636 2010-08-19 3.19 -
VirusBuster 4.5.11.10 10.127.63/2044858 2010-08-22 2.50 -
[/wrap]
