 TA的每日心情 | 奋斗
昨天 08:55 |
|---|
签到天数: 2340 天 [LV.Master]伴坛终老
|
此毒查杀比较难。( t, F6 b' C* v
$ F& l. t" n/ ]; M9 [- c我得到的原始“火种”是一个MSDOS.BAT文件。当时,用瑞星20.38.60扫此样本,瑞星不报毒。已将此样本提交瑞星公司。
3 H4 `' G/ S( O: v- ^; b% r. p5 o中此病毒群后,MSDOS.BAT位于硬盘各个分区的根目录下(还有一个指向MSDOS.BAT的autorun.inf)。MSDOS.BAT运行后访问网络:58.53.128.37,下载大量病毒。
4 y; O& O3 ^# ~$ D. w9 I/ S/ \7 M$ s4 y- c. G$ T+ I* x
& x, p, B" U3 F5 N A. ^. v, N1、释放/下载的主要病毒文件:
6 J. B5 V1 o/ S# |* y, tc:\windows\tasks\0x01xx8p.exe$ \( Z8 n2 E0 z0 Q
c:\windows\tasks\explorer.ext
/ ?4 m( Y( w# i* F1 e, P8 i/ @2 cc:\windows\system32\7560.dat5 c7 X( N( x5 K, @7 b5 v; u1 J5 Y
c:\windows\system32\a0.ext9 J& x; a0 w+ x, a0 I
.0 B6 w( o" J7 \- l D! [* {! l
.' D8 W; K2 Z. J- a
." v/ N+ @7 H* ]: o: O5 Z
c:\windows\system32\a25.ext
% E' D0 T ?: I: `c:\windows\system32\oko.exe. N) L/ V2 v7 K$ I
c:\windows\system32\msosdohs.dat
/ ~/ i* s2 L2 x& sc:\windows\system32\msosdohs00.dll(插入explorer.exe进程)
! [! h. l8 V& v U# C e- Wc:\windows\system32\msosdohs01.dll(插入explorer.exe进程)
7 ~- [/ I. }. l" n* b' m/ ?; Ec:\windows\system32\ttEZZEZZ1044.dll$ i- B" U8 `, x8 L* u* Y
c:\windows\system32\ttNNBNNB1047.dll; n; S" e2 @$ T/ O- Z0 ~
c:\windows\system32\txWWQWWQ1006.dll
2 \ K1 N9 ?0 R/ Q0 m3 N, L" w& x: bc:\zzz.sys(加载后自动删除)
: x0 j, R4 ]1 e; d! k' Pc:\windows\system32\drivers\msosfpids32.sys. A1 ?) p% u( R/ |
病毒文件还有不少(见附件图) I( |; f' e/ \
, v' w( y! f* q" P2、感染硬盘中的.exe、.htm、html文件;删除c:\windows\system32\verclsid.exe;替换C:\windows\explorer.exe。
$ {" A! P/ ?. K. N; C- B
7 s. v( J8 ^4 i a ?MSDOS.BAT感染型下载器的病毒下载地址:7 W2 z s/ P3 H( I, _
http://58.53.128.37/a0.exe
* w' l0 F, J% n2 k8 y8 h* K$ Mhttp://58.53.128.37/a1.exe
) w$ L3 I& Y7 j/ i8 N- a0 Ohttp://58.53.128.37/a2.exe0 ~" ~+ S8 A, d7 y8 O
http://58.53.128.37/a3.exe
3 i0 x& x8 D: h3 _2 jhttp://58.53.128.37/a4.exe9 J) G- h8 m' ?2 g
http://58.53.128.37/a5.exe# |7 @# w5 E1 r8 |" L" x; m( y& }$ m
http://58.53.128.37/a6.exe
5 l# M/ g+ p6 chttp://58.53.128.37/a7.exe
3 G: L- E; x1 G' ^http://58.53.128.37/a8.exe
! F# c: Z& b9 A! g4 V- bhttp://58.53.128.37/a9.exe
$ @# r; o( b' z5 c( Y( ~( Fhttp://58.53.128.37/a10.exe
' D+ Y- f( F8 ] z& @1 d" o( o+ r) {http://58.53.128.37/a11.exe
6 w$ b) [+ l7 s/ Q0 Yhttp://58.53.128.37/a12.exe
m9 H/ j- k3 z7 ~http://58.53.128.37/a13.exe
' O: Z7 ~6 g3 {- u" {$ |http://58.53.128.37/a14.exe
; M1 \* O r6 b. ]( f) `http://58.53.128.37/a15.exe
% z3 x2 d- P5 K$ \; ~http://58.53.128.37/a16.exe( U0 ], a7 w' o$ { }4 Y. {' Z$ o$ l
http://58.53.128.37/a17.exe8 K, s/ W0 a' T+ Y5 P2 g
http://58.53.128.37/a18.exe" ~1 j7 R* f5 x3 L5 o1 y3 p
http://58.53.128.37/a19.exe' e6 b3 p3 ~, z, Q% G& j
http://58.53.128.37/a20.exe) A u0 W- x& J$ x7 j
http://58.53.128.37/a21.exe
3 Y/ V* h# q1 @$ r" _) bhttp://58.53.128.37/a22.exe
+ q" z2 g' l" |http://58.53.128.37/a23.exe
2 I# J1 J" G% vhttp://58.53.128.37/a24.exe
6 P* @2 G# f- {4 \0 ]http://58.53.128.37/a25.exe3 @- K e. T4 z9 i
http://58.53.128.37/oko.exe9 E0 A% f2 u' Z+ F
0 B% e* {2 B, ?& F$ D. Z( M
查杀难点:4 E0 E8 a7 k% {2 t
1、c:\windows\system32\75132.dat和c:\windows\system32\urjuujdw.hew两个进程相互配合,指挥c:\windows\system32\msosdohs00.dll和c:\windows\system32\msosdohs01.dll插入系统核心进程、explorer.exe进程以及所有应用程序进程(包括安全软件的进程也被插入)。
/ C/ T6 d5 T$ h" k/ V% J6 E! p1 F7 L+ K
2、explorer.exe被病毒替换。如果强制删除这个被病毒替换explorer.exe,及上面提到的病毒文件,桌面消失。即使注销当前用户,重新登录系统,也无法显示桌面。
) P4 F8 j8 k. v/ N( m1 U$ T: S% |# ]3 V
3、此毒感染硬盘所有分区中的.exe、.htm、html文件。
4 w3 H2 |7 C& u$ u5 A1 G
; y% [: U0 _7 T3 k6 G* l- k( Q4、c:\windows\system32\文件夹、c:\windows\system32\drivers\文件夹、c:\windows\tasks\文件夹、当前用户临时文件夹中都有病毒文件。
G% K" B; v5 `" _! J$ {. Y. }1 X* }! o' U3 g; ?
5、此毒貌似是针对SRENG的。中这堆病毒后,用户试图运行SRENG扫日志时,SRENG即刻被病毒删除。6 A7 P6 i6 I( d# z& u+ y* q( C& n
& u* w G6 a3 B2 W
我在影子系统(全影模式)中运行过这个病毒样本,用Tiny全程监控可以获得此病毒群感染系统的全部信息(见附件图)。有了这些信息,可以用IceSword手工删除那堆病毒文件。被感染的.exe、.htm、html等,需用杀软处理(量太大)。: E z7 T3 ^4 |+ ~6 ^& S1 L: M/ l9 O ^4 @
0 o! {2 J7 z- [8 q8 ?/ j
另:有人说此毒可以穿透影子系统2.8。全影系统运行病毒样本,重启后,被病毒替换explorer.exe以及病毒驱动C:\zzz.sys还在系统中。但是,我在全影模式下运行此毒,没有发现这个现象。重启后,系统是干净的。 |
|
/1 
IP卡
狗仔卡
发表于 2008-4-9 15:59:34
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
转发到微博
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡