|
本帖最后由 wyadell 于 2015-7-11 05:27 编辑
真人游戏|足球篮球|时时╞彩| 六合投╞注| 网络赚钱:顶级信用╞提现百分百即时到账SO.CC
其实此病毒就是前些日子流行的木马下载器rising.exe的变种,改个名字而已,手法相同。 <><FONT color=#000000> File: auto.exe<BR> Size: 20139 bytes<BR> MD5: C8C1710C47B42258023F620D0C047F36<BR> SHA1: 79462300E3B85583FC87CBB56936719B6CC0616E<BR> CRC32: 0F6AC47C</FONT></P><><FONT color=#000000> 病毒运行后,病毒将检测系统是否装有卡巴斯基软件,如装有卡巴斯基软,则将系统日期修改为2005年1月18日!并在系统文件夹下创建一个随机8位数字和字母组合而成的exe并且注册成随机8位数字和字母组合而成的服务。同时释放一个随机8位数的dll文件。控制winlogon把那个随机8位数的dll 插入几乎所有进程!遍历所有分区,在根目录下生成auto.exe和autorun.inf两个文件!</FONT></P><><FONT color=#000000> 作者在病毒里留下了自己的QQ号</FONT></P><P><FONT color=#000000> 连接网络60.191.135.155:80 下载木马:<BR><BR> 首先读取hxxp://count.xxxcom/cnzz//update.txt 的下载配置文件,然后根据里面的内容下载木马kxxxxxxxxxx.exe到系统文件夹,并下载hxxp://count.xxx.com/cnzz/soft/cnzz.exe更新自身<BR></FONT></P><P><FONT color=#000000> 具体木马下载的过程略)<BR><BR> 木马植入成功后 <BR> 增加的文件如下<BR></FONT><TABLE style="WIDTH: 500px" borderColor=#000000 cellSpacing=0 cellPadding=3 width=500 align=center bgColor=#ffff00 border=1 heihgt=""><TBODY><TR><TD><FONT color=#000000> C:\Program Files\Internet Explorer\Connection Wizard\icwres.ocx<BR>C:\Program Files\Internet Explorer\Connection Wizard\isignup.dll<BR>C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys<BR>C:\WINDOWS\system32\107E7AF5.DLL(随机文件名)<BR>C:\WINDOWS\system32\AC254E44.EXE(随机文件名)<BR>C:\WINDOWS\system32\AVPSrv.dll<BR>C:\WINDOWS\system32\B96A05C.EXE(随机文件名)<BR>C:\WINDOWS\system32\bcawvt.dll<BR>C:\WINDOWS\system32\chzzyi.dll<BR>C:\WINDOWS\system32\dllhost32.exe<BR>C:\WINDOWS\system32\eykesr.dll<BR>C:\WINDOWS\system32\F7F735F8.DLL(随机文件名)<BR>C:\WINDOWS\system32\gafjib.dll<BR>C:\WINDOWS\system32\humnyb.dll<BR>C:\WINDOWS\system32\install.exe<BR>C:\WINDOWS\system32\kxxxxxxxxxxx.exe(随机文件名)<BR>C:\WINDOWS\system32\k118335740863qso.dll<BR>C:\WINDOWS\system32\mppds.dll<BR>C:\WINDOWS\system32\msdebug.dll<BR>C:\WINDOWS\system32\Msf3sf.sys<BR>C:\WINDOWS\system32\nwizdh.exe<BR>C:\WINDOWS\system32\qqcnpk.dll<BR>C:\WINDOWS\system32\Shell.exe<BR>C:\WINDOWS\system32\Shell.pci<BR>C:\WINDOWS\system32\skblsj.dll<BR>C:\WINDOWS\system32\TIMHost.dll<BR>C:\WINDOWS\system32\unlmon.dll<BR>C:\WINDOWS\system32\upxdnd.dll<BR>C:\WINDOWS\system32\uzgeey.dll<BR>C:\WINDOWS\AVPSrv.exe<BR>C:\WINDOWS\fqpatv.exe<BR>C:\WINDOWS\mppds.exe<BR>C:\WINDOWS\TIMHost.exe<BR>C:\WINDOWS\upxdnd.exe<BR>其中C:\WINDOWS\system32\Shell.exe为感染下载者 感染除系统分区外的所有exe 并且在每个分区根目录</FONT></TD></TR></TBODY></TABLE></P><P><FONT color=#000000> 下面生成pagefile.pif文件<BR><BR> sreng日志如下<BR></FONT><TABLE style="WIDTH: 500px" borderColor=#000000 cellSpacing=0 cellPadding=3 width=500 align=center bgColor=#ffff00 border=1 heihgt=""><TBODY><TR><TD><FONT color=#000000> 启动项目<BR>注册表<BR>[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]<BR> <Shell><"C:\WINDOWS\system32\Rundll32.exe" "C:\WINDOWS\system32</FONT> <P><FONT color=#000000>\shell32.dll",Control_RunDLL "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dat9.tmp"> [N/A]<BR> <Shell.exe><C:\WINDOWS\system32\Shell.exe> []<BR>[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]<BR> <upxdnd><C:\WINDOWS\upxdnd.exe> []<BR> <mppds><C:\WINDOWS\mppds.exe> []<BR> <TIMHost><C:\WINDOWS\TIMHost.exe> []<BR> <AVPSrv><C:\WINDOWS\AVPSrv.exe> []<BR> <Microsoft Autorun1><C:\WINDOWS\system32\nwizdh.exe> []<BR> <Microsoft Autorun9><C:\WINDOWS\system32\Ravasktao.exe> []<BR>[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]<BR> <{E25C29AB-12B9-4523-A53C-324B5FBA648C}><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dat9.tmp> </FONT></P><P><FONT color=#000000>[]<BR> <{13BB17A1-1B9D-1F83-235F-27552B3B2F17}><C:\WINDOWS\system32\k118335740863qso.dll> []<BR> <{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}><C:\Program Files\Internet Explorer\Connection </FONT></P><P><FONT color=#000000>Wizard\isignup.sys> []</FONT></P><P><FONT color=#000000>服务<BR>[3FC3578B / 3FC3578B][Stopped/Auto Start]<BR> <C:\WINDOWS\system32\AC254E44.EXE -k><Microsoft Corporation><BR>[E539E00C / E539E00C][Stopped/Auto Start]<BR> <C:\WINDOWS\system32\B96A05C.EXE -p><Microsoft Corporation><BR>[Win32 Debug Service / MSDebugsvc][Stopped/Auto Start]<BR> <C:\WINDOWS\system32\rundll32.exe msdebug.dll,input><Microsoft Corporation><BR>进程<BR>[PID: 1456][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 </FONT></P><P><FONT color=#000000>(xpsp_sp2_rtm.040803-2158)]<BR> [C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dat9.tmp] [N/A, ]<BR> [C:\WINDOWS\system32\k118335740863qso.dll] [N/A, ]<BR> [C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys] [N/A, ]<BR> [C:\WINDOWS\system32\upxdnd.dll] [N/A, ]<BR> [C:\WINDOWS\system32\AVPSrv.dll] [N/A, ]<BR> [C:\WINDOWS\system32\107E7AF5.DLL] [Microsoft Corporation, ]<BR> [C:\WINDOWS\system32\F7F735F8.DLL] [Microsoft Corporation, ]<BR> [C:\WINDOWS\system32\TIMHost.dll] [N/A, ]<BR> [C:\WINDOWS\system32\dh2104.dll] [N/A, ]<BR> [C:\WINDOWS\system32\Ravasktao.dll] [N/A, ]<BR> [C:\WINDOWS\system32\uihfev.dll] [N/A, ]</FONT></P></TD></TR></TBODY></TABLE><BR><FONT color=#000000> <STRONG>解决办法:</STRONG></FONT></P><P><FONT color=#000000> 如果时间被改,首先把日期改回来<BR><BR> 打开sreng(下载地址:<A target=_blank href="http://www.motoyi.com/Down/Noted/200705/Down_28.shtml" target=_blank>http://www.motoyi.com/Down/Noted/200705/Down_28.shtml</A>)<BR><BR> 启动项目 注册表 删除如下项目(详细步骤:打开SREng-启动项目-注册表)<BR></FONT><TABLE style="WIDTH: 500px" borderColor=#000000 cellSpacing=0 cellPadding=3 width=500 align=center bgColor=#ffff00 border=1 heihgt=""><TBODY><TR><TD><FONT color=#000000> [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]<BR> <Shell><"C:\WINDOWS\system32\Rundll32.exe" "C:\WINDOWS\system32</FONT> <P><FONT color=#000000>\shell32.dll",Control_RunDLL "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dat9.tmp"> [N/A]<BR> <Shell.exe><C:\WINDOWS\system32\Shell.exe> []<BR>[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]<BR> <upxdnd><C:\WINDOWS\upxdnd.exe> []<BR> <mppds><C:\WINDOWS\mppds.exe> []<BR> <TIMHost><C:\WINDOWS\TIMHost.exe> []<BR> <AVPSrv><C:\WINDOWS\AVPSrv.exe> []<BR> <Microsoft Autorun1><C:\WINDOWS\system32\nwizdh.exe> []<BR> <Microsoft Autorun9><C:\WINDOWS\system32\Ravasktao.exe> []<BR>[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]<BR> <{E25C29AB-12B9-4523-A53C-324B5FBA648C}><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dat9.tmp> </FONT></P><P><FONT color=#000000>[]<BR> <{13BB17A1-1B9D-1F83-235F-27552B3B2F17}><C:\WINDOWS\system32\k118335740863qso.dll> []<BR> <{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}><C:\Program Files\Internet Explorer\Connection </FONT></P><P><FONT color=#000000>Wizard\isignup.sys> []</FONT></P></TD></TR></TBODY></TABLE></P><P><FONT color=#000000> “启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”,选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:<BR><BR></FONT><TABLE style="WIDTH: 500px" borderColor=#000000 cellSpacing=0 cellPadding=3 width=500 align=center bgColor=#ffff00 border=1 heihgt=""><TBODY><TR><TD><FONT color=#000000> 3FC3578B / 3FC3578B<BR>E539E00C / E539E00C<BR>Win32 Debug Service / MSDebugsvc</FONT></TD></TR></TBODY></TABLE><BR><BR><FONT color=#000000> 重启计算机<BR> 双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作</FONT></P><P><FONT color=#000000> 系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定,点击 菜单栏下方的 文件夹 按钮 进入资源管理器。从资源管理器中进入C盘 删除:<BR></FONT><TABLE style="WIDTH: 500px" borderColor=#000000 cellSpacing=0 cellPadding=3 width=500 align=center bgColor=#ffff00 border=1 heihgt=""><TBODY><TR><TD><FONT color=#000000> C:\autorun.inf<BR>C:\auto.exe<BR>C:\pagefile.pif<BR>C:\Program Files\Internet Explorer\Connection Wizard\icwres.ocx<BR>C:\Program Files\Internet Explorer\Connection Wizard\isignup.dll<BR>C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys<BR>C:\WINDOWS\system32\107E7AF5.DLL(随机文件名)<BR>C:\WINDOWS\system32\AC254E44.EXE(随机文件名)<BR>C:\WINDOWS\system32\AVPSrv.dll<BR>C:\WINDOWS\system32\B96A05C.EXE(随机文件名)<BR>C:\WINDOWS\system32\bcawvt.dll<BR>C:\WINDOWS\system32\chzzyi.dll<BR>C:\WINDOWS\system32\dllhost32.exe<BR>C:\WINDOWS\system32\eykesr.dll<BR>C:\WINDOWS\system32\F7F735F8.DLL(随机文件名)<BR>C:\WINDOWS\system32\gafjib.dll<BR>C:\WINDOWS\system32\humnyb.dll<BR>C:\WINDOWS\system32\install.exe<BR>C:\WINDOWS\system32\kxxxxxxxxxxx.exe(随机文件名)<BR>C:\WINDOWS\system32\k118335740863qso.dll<BR>C:\WINDOWS\system32\mppds.dll<BR>C:\WINDOWS\system32\msdebug.dll<BR>C:\WINDOWS\system32\Msf3sf.sys<BR>C:\WINDOWS\system32\nwizdh.exe<BR>C:\WINDOWS\system32\qqcnpk.dll<BR>C:\WINDOWS\system32\Shell.exe<BR>C:\WINDOWS\system32\Shell.pci<BR>C:\WINDOWS\system32\skblsj.dll<BR>C:\WINDOWS\system32\TIMHost.dll<BR>C:\WINDOWS\system32\unlmon.dll<BR>C:\WINDOWS\system32\upxdnd.dll<BR>C:\WINDOWS\system32\uzgeey.dll<BR>C:\WINDOWS\AVPSrv.exe<BR>C:\WINDOWS\fqpatv.exe<BR>C:\WINDOWS\mppds.exe<BR>C:\WINDOWS\TIMHost.exe<BR>C:\WINDOWS\upxdnd.exe</FONT></TD></TR></TBODY></TABLE></P><P><FONT color=#000000> 同理打开其他分区 删除其他分区根目录下的<BR> autorun.inf<BR> auto.exe<BR> pagefile.pif</FONT></P><P><FONT color=#000000> 升级杀毒软件至最新版本 全盘杀毒!清理被感染的exe。如怕存在其它恶意软件,下载360安全卫士清除</FONT></P><P> 下载地址:<A target=_blank href="http://dl.360safe.com/setup.exe" target=_blank>http://dl.360safe.com/setup.exe</A></P><P> </P><P><A target=_blank href="http://www.motoyi.com/AntiVirus/200707/AntiVirus_2707.shtml" target=_blank>http://www.motoyi.com/AntiVirus/200707/AntiVirus_2707.shtml</A></P>
真人游戏|足球篮球|时时╞彩| 六合投╞注| 网络赚钱:顶级信用╞提现百分百即时到账SO.CC |
|