TA的每日心情 | 奋斗 1 小时前 |
---|
签到天数: 2341 天 [LV.Master]伴坛终老
|
此毒查杀比较难。3 h" W N& a( i" P) k, c
* K J$ q) m' ~3 a f" ~% C
我得到的原始“火种”是一个MSDOS.BAT文件。当时,用瑞星20.38.60扫此样本,瑞星不报毒。已将此样本提交瑞星公司。$ X) H: S% z$ I/ O
中此病毒群后,MSDOS.BAT位于硬盘各个分区的根目录下(还有一个指向MSDOS.BAT的autorun.inf)。MSDOS.BAT运行后访问网络:58.53.128.37,下载大量病毒。% E+ D, h5 w1 ^' @9 j! a
; F, c7 M* z- x( t8 S9 X3 k# j$ Q/ i' c
1、释放/下载的主要病毒文件:3 n' i0 R0 r4 Z: F7 J6 r
c:\windows\tasks\0x01xx8p.exe+ f% ]$ ^: P% R
c:\windows\tasks\explorer.ext9 c1 x3 o0 V5 K* ^2 B* V
c:\windows\system32\7560.dat# \. T4 L$ N B5 ]
c:\windows\system32\a0.ext9 O7 O6 {. j- i+ U) c/ a
.
- r, j U. d0 d8 z) m6 ^.
9 a$ t, h V3 Y7 t" v.8 L5 r7 T, E7 f9 C( B
c:\windows\system32\a25.ext4 u* k: _5 @2 _7 O
c:\windows\system32\oko.exe# E, @# m) l; }2 J! [# ^5 S! E
c:\windows\system32\msosdohs.dat" I+ B# n% `+ q3 q$ [
c:\windows\system32\msosdohs00.dll(插入explorer.exe进程)/ E; X5 T/ Z, ~1 M
c:\windows\system32\msosdohs01.dll(插入explorer.exe进程)
/ q4 S; ` \+ n1 W9 X+ P: M$ Q4 R8 yc:\windows\system32\ttEZZEZZ1044.dll. j% u3 V2 l1 w/ R8 `/ l
c:\windows\system32\ttNNBNNB1047.dll
9 I" M: _+ `. y4 dc:\windows\system32\txWWQWWQ1006.dll( p7 d. M# s, _; d; D
c:\zzz.sys(加载后自动删除)
; h5 a5 h# E9 b6 q( ?c:\windows\system32\drivers\msosfpids32.sys
1 j/ _' \, J' [. S( b) l病毒文件还有不少(见附件图)9 w1 r( S3 J6 S0 z! Y* `
" t' G- @4 w/ U, Q
2、感染硬盘中的.exe、.htm、html文件;删除c:\windows\system32\verclsid.exe;替换C:\windows\explorer.exe。 Q! p) M- o8 A0 x4 O1 B+ X9 I+ d
0 p$ ~- h5 P6 S5 H( B+ ?
MSDOS.BAT感染型下载器的病毒下载地址:
+ U% t! r- T$ V# o0 ohttp://58.53.128.37/a0.exe
2 B3 j4 J: D6 }http://58.53.128.37/a1.exe
s; X; l. ~5 X$ B8 vhttp://58.53.128.37/a2.exe; v- A$ ?8 p1 F
http://58.53.128.37/a3.exe
: d% @6 ~- y1 y& t; t% O0 o3 Zhttp://58.53.128.37/a4.exe4 F" f; d7 ?$ M# U
http://58.53.128.37/a5.exe
* b; [9 A- r L% X; S- N5 Ghttp://58.53.128.37/a6.exe" j0 h. Y, l1 j4 |9 `6 |% B
http://58.53.128.37/a7.exe
9 X& O& i$ f% P- l" p" {- Bhttp://58.53.128.37/a8.exe
1 Q0 L; h1 I# ]6 O& ghttp://58.53.128.37/a9.exe
/ Z% \4 i* n2 d9 t) b/ shttp://58.53.128.37/a10.exe
+ W. H8 [3 s% U) s1 B# F4 ~http://58.53.128.37/a11.exe
) Y$ `' K* f2 A5 xhttp://58.53.128.37/a12.exe
; W2 c1 |# K: O' Q" J# _3 ghttp://58.53.128.37/a13.exe
3 V" @/ v( b4 J" {, x2 n8 Vhttp://58.53.128.37/a14.exe& ~! {3 y6 }0 A! { y. ]% ?
http://58.53.128.37/a15.exe' R p: j( M8 P+ M! s1 z0 {3 |
http://58.53.128.37/a16.exe2 P6 Y& G9 B: D
http://58.53.128.37/a17.exe
. ]3 h3 T5 k: m2 w. [. |http://58.53.128.37/a18.exe* o3 E9 S6 ?& H9 u' [) ]% ?
http://58.53.128.37/a19.exe
8 g' U O; s# e7 }# bhttp://58.53.128.37/a20.exe2 e3 Z( u- M, B( T V/ B
http://58.53.128.37/a21.exe
' V2 M/ X9 i0 ?& U; {( T! Dhttp://58.53.128.37/a22.exe
/ p6 t7 x! d) W9 F: e: rhttp://58.53.128.37/a23.exe8 T- B) m' a$ m3 Y) r& q* M
http://58.53.128.37/a24.exe! F2 @6 f$ B1 T5 G5 ~& V8 q
http://58.53.128.37/a25.exe
( E9 U- ^, f; c3 |3 Jhttp://58.53.128.37/oko.exe
0 M, s2 S& ^8 N2 n: D& Y
V/ a+ P+ p6 T5 C查杀难点:
+ V Q- t7 f+ B9 b, V; p1、c:\windows\system32\75132.dat和c:\windows\system32\urjuujdw.hew两个进程相互配合,指挥c:\windows\system32\msosdohs00.dll和c:\windows\system32\msosdohs01.dll插入系统核心进程、explorer.exe进程以及所有应用程序进程(包括安全软件的进程也被插入)。
( i0 Q: o* \. M1 V
3 _% z; U. u/ \6 k- ?& N4 }" S" \2、explorer.exe被病毒替换。如果强制删除这个被病毒替换explorer.exe,及上面提到的病毒文件,桌面消失。即使注销当前用户,重新登录系统,也无法显示桌面。
* [2 W4 `8 z& s" Z8 [1 {
9 W. J" [9 l0 O$ D ^3、此毒感染硬盘所有分区中的.exe、.htm、html文件。1 ~" @# M/ w% D' \, |% H0 e6 S
' C) ~8 x I+ T; U2 T# l2 ~4、c:\windows\system32\文件夹、c:\windows\system32\drivers\文件夹、c:\windows\tasks\文件夹、当前用户临时文件夹中都有病毒文件。
& d$ g. m# e9 V1 A x# n
4 N: s& S/ _6 j, N' g5、此毒貌似是针对SRENG的。中这堆病毒后,用户试图运行SRENG扫日志时,SRENG即刻被病毒删除。
( q# _3 _/ d, P% X& d) a; R
1 K8 b9 V; L( w1 { P$ i3 a我在影子系统(全影模式)中运行过这个病毒样本,用Tiny全程监控可以获得此病毒群感染系统的全部信息(见附件图)。有了这些信息,可以用IceSword手工删除那堆病毒文件。被感染的.exe、.htm、html等,需用杀软处理(量太大)。4 f$ P0 d. ^! \
* }" g$ m* B# R) j9 F另:有人说此毒可以穿透影子系统2.8。全影系统运行病毒样本,重启后,被病毒替换explorer.exe以及病毒驱动C:\zzz.sys还在系统中。但是,我在全影模式下运行此毒,没有发现这个现象。重启后,系统是干净的。 |
|