下沙论坛

标题: 关于感染型下载器MSDOS.BAT [打印本页]
作者: 煎饼    时间: 2008-4-9 15:59
标题: 关于感染型下载器MSDOS.BAT
此毒查杀比较难。
  J3 A, L  t; h
' d" B! G; Y. s5 d7 Q- \& x/ J我得到的原始“火种”是一个MSDOS.BAT文件。当时,用瑞星20.38.60扫此样本,瑞星不报毒。已将此样本提交瑞星公司。8 f! k4 F0 I6 Y$ h1 u
中此病毒群后,MSDOS.BAT位于硬盘各个分区的根目录下(还有一个指向MSDOS.BAT的autorun.inf)。MSDOS.BAT运行后访问网络:58.53.128.37,下载大量病毒。/ H) ?* o9 R7 C! L% O$ Y2 ^

! |) G7 k# Z8 d% v/ J
, l, q  a! F+ Z# G4 c1、释放/下载的主要病毒文件:
: y/ h, V: H0 [' i0 Cc:\windows\tasks\0x01xx8p.exe
. B+ ?, q( I3 k% Uc:\windows\tasks\explorer.ext, N0 h6 w! r4 k# Y
c:\windows\system32\7560.dat/ ~/ m" g  w- l5 P$ k2 A1 G
c:\windows\system32\a0.ext
# D0 ~+ `& ~. Q# I9 _6 M.
/ u1 ]$ Z' M5 i8 Z+ U.
+ W- W5 K/ r% \.0 {/ T7 F8 B% r) I8 f, H2 d) A
c:\windows\system32\a25.ext8 @  w- e: m* |9 L1 I$ Y
c:\windows\system32\oko.exe6 G2 z0 r7 J! c# B- |+ {- U, W! o  {
c:\windows\system32\msosdohs.dat
' ]: Z* V0 \6 E# C: D) a& mc:\windows\system32\msosdohs00.dll(插入explorer.exe进程)
! K0 l7 _: x- ic:\windows\system32\msosdohs01.dll(插入explorer.exe进程)& ^( |9 z7 y$ R+ n
c:\windows\system32\ttEZZEZZ1044.dll# h+ }' c' `( D8 p8 X  `
c:\windows\system32\ttNNBNNB1047.dll" R9 G/ n9 L- P0 k5 x, g
c:\windows\system32\txWWQWWQ1006.dll
; t7 x8 P0 \  ~, [$ c( G+ Wc:\zzz.sys(加载后自动删除)$ m. M: h0 M' \4 S' B
c:\windows\system32\drivers\msosfpids32.sys+ e$ X+ y0 {' l& p
病毒文件还有不少(见附件图)9 b1 G1 e; f9 J/ a  X3 n7 v

0 E# L7 D6 O* `% ?! ?2、感染硬盘中的.exe、.htm、html文件;删除c:\windows\system32\verclsid.exe;替换C:\windows\explorer.exe。
# ^1 f' E+ O) r& Q1 U3 h2 _& Q- [( T% F' w, I! ^+ m1 P
MSDOS.BAT感染型下载器的病毒下载地址:, }( @+ c; E* m5 j1 s8 m
http://58.53.128.37/a0.exe5 v& w) @5 s8 Z0 F& X/ l4 H
http://58.53.128.37/a1.exe4 z: X3 n/ M& F$ g# m0 K
http://58.53.128.37/a2.exe5 j; `  U1 a& N: O5 Y
http://58.53.128.37/a3.exe
' K2 t6 g+ M% J6 j1 whttp://58.53.128.37/a4.exe
3 |2 |4 c+ n( l8 Shttp://58.53.128.37/a5.exe
4 Y4 w3 ]/ y4 O7 p( O' [0 Nhttp://58.53.128.37/a6.exe9 N3 D  O& P6 H6 D- }; w( n
http://58.53.128.37/a7.exe
; ?6 u+ i+ Z, g/ R# chttp://58.53.128.37/a8.exe; K5 C# v- [/ b1 I$ r
http://58.53.128.37/a9.exe7 g; D9 n- k4 o& C, M) D
http://58.53.128.37/a10.exe  i( Y5 w8 ~! d' I1 m
http://58.53.128.37/a11.exe
5 G7 A$ Y" e! t5 e# uhttp://58.53.128.37/a12.exe
' b% [) t: o3 w& x2 ahttp://58.53.128.37/a13.exe. z  u) N; @) S/ {
http://58.53.128.37/a14.exe
& X7 A* U4 W8 ^$ L' K7 M& p) E+ r6 Khttp://58.53.128.37/a15.exe" l: U/ H# W; M/ b) `/ n# g
http://58.53.128.37/a16.exe3 J; x0 U; k9 @
http://58.53.128.37/a17.exe$ R2 L: L7 Y6 T4 v! \
http://58.53.128.37/a18.exe6 U/ K" L! z# ]3 E( U, q
http://58.53.128.37/a19.exe( l( a* Z1 k1 a9 W$ Y, Z3 H0 x
http://58.53.128.37/a20.exe
0 O5 h; E( c! I$ Phttp://58.53.128.37/a21.exe
' \# P+ a! l/ k6 h- [http://58.53.128.37/a22.exe
. f& d% K! X) S- G8 Z( S+ e5 B7 Vhttp://58.53.128.37/a23.exe
) D3 @* O# N; }: Ahttp://58.53.128.37/a24.exe
! _5 ?( F+ g! L* X, w  [& Ehttp://58.53.128.37/a25.exe
, n7 j8 R) }, P! z$ q" L; T6 hhttp://58.53.128.37/oko.exe: V& m, C3 y  l2 q8 M

$ L! {+ I; [* k3 d查杀难点:
4 z. `$ O! }' B0 n5 H& q5 O3 j1、c:\windows\system32\75132.dat和c:\windows\system32\urjuujdw.hew两个进程相互配合,指挥c:\windows\system32\msosdohs00.dll和c:\windows\system32\msosdohs01.dll插入系统核心进程、explorer.exe进程以及所有应用程序进程(包括安全软件的进程也被插入)。
/ t7 T, ^9 i6 _/ U: \5 z/ e( x
. V$ H; f: P! _' }8 y* I2、explorer.exe被病毒替换。如果强制删除这个被病毒替换explorer.exe,及上面提到的病毒文件,桌面消失。即使注销当前用户,重新登录系统,也无法显示桌面。
, p) H9 h! Z: _, |/ ~5 M8 l8 s5 X! }  H: X
3、此毒感染硬盘所有分区中的.exe、.htm、html文件。! ~4 R0 Y/ Q0 h' p

* T9 y* L5 u5 m3 @* n" c4、c:\windows\system32\文件夹、c:\windows\system32\drivers\文件夹、c:\windows\tasks\文件夹、当前用户临时文件夹中都有病毒文件。
$ T! o. |. R- a2 v' n. T  E% o4 q& [6 C
5、此毒貌似是针对SRENG的。中这堆病毒后,用户试图运行SRENG扫日志时,SRENG即刻被病毒删除。
! O3 ]0 Z& A1 @! b5 J) Q6 ?5 o" s* r
3 f' v2 ^  r0 ^, ~7 z我在影子系统(全影模式)中运行过这个病毒样本,用Tiny全程监控可以获得此病毒群感染系统的全部信息(见附件图)。有了这些信息,可以用IceSword手工删除那堆病毒文件。被感染的.exe、.htm、html等,需用杀软处理(量太大)。9 [' [, k" s; z1 ^

  [: p- x1 _2 \( i6 A# a& ^' Q$ S# n7 @另:有人说此毒可以穿透影子系统2.8。全影系统运行病毒样本,重启后,被病毒替换explorer.exe以及病毒驱动C:\zzz.sys还在系统中。但是,我在全影模式下运行此毒,没有发现这个现象。重启后,系统是干净的。



欢迎光临 下沙论坛 (http://bbs.xiasha.cn/) Powered by Discuz! X3.3