TA的每日心情 | 奋斗 昨天 08:55 |
---|
签到天数: 2340 天 [LV.Master]伴坛终老
|
此毒查杀比较难。+ K) E+ A1 S& I0 `' p# k
& H, v* P3 I* B) o* k. x. {
我得到的原始“火种”是一个MSDOS.BAT文件。当时,用瑞星20.38.60扫此样本,瑞星不报毒。已将此样本提交瑞星公司。
2 V, ?8 w1 m! @9 Y' S5 Y' J中此病毒群后,MSDOS.BAT位于硬盘各个分区的根目录下(还有一个指向MSDOS.BAT的autorun.inf)。MSDOS.BAT运行后访问网络:58.53.128.37,下载大量病毒。
7 t$ [5 v9 s7 a f4 }. Q( b+ @1 H w1 F# B& o- V; ?
! y* \8 Q% j+ ^# U# [2 M- n% j1、释放/下载的主要病毒文件:
( O* j' c- J. r8 j5 Y7 Hc:\windows\tasks\0x01xx8p.exe+ s4 x. Z: s$ ?4 g1 z
c:\windows\tasks\explorer.ext
/ {3 h( c2 A5 H( {$ hc:\windows\system32\7560.dat: }% S: m6 @) @) j5 w
c:\windows\system32\a0.ext
% H: L& y+ f# l.6 J/ ^ j9 n* y' w' ]1 T
.
/ i" r0 {9 e" i# U.2 Z* g: x8 [7 M. Z% p$ D1 @* a5 U" ]+ i
c:\windows\system32\a25.ext" {2 X- B+ L* j
c:\windows\system32\oko.exe
9 h# o& A. F) O7 F: J7 H8 Pc:\windows\system32\msosdohs.dat
% B( P4 q# d3 ~/ O6 h7 l3 jc:\windows\system32\msosdohs00.dll(插入explorer.exe进程)9 a' W2 u z6 I. n+ ?* K6 I3 g6 G4 g
c:\windows\system32\msosdohs01.dll(插入explorer.exe进程)$ D/ Q5 T# H" q) e7 B
c:\windows\system32\ttEZZEZZ1044.dll& E3 O" W! D, l
c:\windows\system32\ttNNBNNB1047.dll
' r0 v5 n) g8 ]$ jc:\windows\system32\txWWQWWQ1006.dll
~" @* m8 G% q! T6 d3 yc:\zzz.sys(加载后自动删除)$ c! g( A# a R# o/ N" ? {
c:\windows\system32\drivers\msosfpids32.sys( G5 U! V) p( X- ]0 m- {
病毒文件还有不少(见附件图)
8 T+ R3 t% t& n* \# N7 T3 ?0 n7 p, y- r. H4 e0 _& h# H# }* L* g
2、感染硬盘中的.exe、.htm、html文件;删除c:\windows\system32\verclsid.exe;替换C:\windows\explorer.exe。. v* N: I* e- ]. _4 a
- z/ r. y+ ]1 \' F: A
MSDOS.BAT感染型下载器的病毒下载地址:
7 ~9 R4 @9 Q7 g7 x1 s% Q/ d# ihttp://58.53.128.37/a0.exe
$ m) t& Y) }6 N7 C; [" N6 V" \http://58.53.128.37/a1.exe& @) W5 `: S: p
http://58.53.128.37/a2.exe
) G+ G7 P$ [3 t# {5 h/ B2 E/ ~) ]http://58.53.128.37/a3.exe; e7 a/ W$ p# b. r; L8 [3 d2 X
http://58.53.128.37/a4.exe+ ~; @7 C" T v6 J2 D
http://58.53.128.37/a5.exe2 j" t9 q" e$ ~( }2 K
http://58.53.128.37/a6.exe
5 U0 y% d& U, q/ \) R5 h0 C4 x; }http://58.53.128.37/a7.exe
! u' X3 a; s& p& phttp://58.53.128.37/a8.exe" C5 x8 P& Q. x0 }
http://58.53.128.37/a9.exe" p/ n/ }! Y/ ]. f
http://58.53.128.37/a10.exe
}; O, d+ v% D1 E* X0 K! Hhttp://58.53.128.37/a11.exe
& l* }# b n& X/ y) Phttp://58.53.128.37/a12.exe
6 T# y) M4 z. x- W" ihttp://58.53.128.37/a13.exe
2 j! k; t! Y! {% W, X, E0 H( Zhttp://58.53.128.37/a14.exe
3 m3 ?0 \! d% F+ ? Whttp://58.53.128.37/a15.exe
0 {% n& p. J2 R" chttp://58.53.128.37/a16.exe6 J! f$ F: B2 c0 }0 q y8 ^
http://58.53.128.37/a17.exe5 ^% T# \0 h4 J" V) e
http://58.53.128.37/a18.exe
; {- K7 Z. D3 `5 N% u" [http://58.53.128.37/a19.exe" ]4 M) h& I( }% J7 d3 f& Y- U
http://58.53.128.37/a20.exe% O! s9 u9 D2 g* d
http://58.53.128.37/a21.exe
5 A c, [5 u' qhttp://58.53.128.37/a22.exe
3 i" X$ G! q3 q' q. U0 }http://58.53.128.37/a23.exe
7 ?) u. q6 ~9 C: |& h. r5 qhttp://58.53.128.37/a24.exe# R1 S5 l2 R6 N' T, w& _$ e$ J+ a
http://58.53.128.37/a25.exe
* C" i8 x9 u2 g( N5 C( zhttp://58.53.128.37/oko.exe
( G8 S6 b: u; F9 U( e4 B1 M$ A% Q8 @8 D: x4 H" I+ C: J
查杀难点:$ L* |. p/ {, n+ w* R3 k
1、c:\windows\system32\75132.dat和c:\windows\system32\urjuujdw.hew两个进程相互配合,指挥c:\windows\system32\msosdohs00.dll和c:\windows\system32\msosdohs01.dll插入系统核心进程、explorer.exe进程以及所有应用程序进程(包括安全软件的进程也被插入)。
3 A4 |; | S* P+ i0 a" m9 N$ G* D
; Q( h/ @& C1 l9 q. e7 n6 `2 R2、explorer.exe被病毒替换。如果强制删除这个被病毒替换explorer.exe,及上面提到的病毒文件,桌面消失。即使注销当前用户,重新登录系统,也无法显示桌面。3 o# j' W& b9 D+ E- F
3 {" M, q$ ?' |) g v7 G$ k. r+ T3、此毒感染硬盘所有分区中的.exe、.htm、html文件。
8 o( z% X5 d9 f1 G, w: P
9 c3 \- J: v! k+ r3 a! K4、c:\windows\system32\文件夹、c:\windows\system32\drivers\文件夹、c:\windows\tasks\文件夹、当前用户临时文件夹中都有病毒文件。
8 e# z8 i' ?5 u: G9 H0 C. g: C
2 W, I- y9 q( H" Z5、此毒貌似是针对SRENG的。中这堆病毒后,用户试图运行SRENG扫日志时,SRENG即刻被病毒删除。: A7 C- c: I* R
5 e' w1 F$ q7 W& `1 B2 J3 G我在影子系统(全影模式)中运行过这个病毒样本,用Tiny全程监控可以获得此病毒群感染系统的全部信息(见附件图)。有了这些信息,可以用IceSword手工删除那堆病毒文件。被感染的.exe、.htm、html等,需用杀软处理(量太大)。$ r- r) Q, j) e, F+ W; x. f
' }4 W% g" p6 v L g: r6 [
另:有人说此毒可以穿透影子系统2.8。全影系统运行病毒样本,重启后,被病毒替换explorer.exe以及病毒驱动C:\zzz.sys还在系统中。但是,我在全影模式下运行此毒,没有发现这个现象。重启后,系统是干净的。 |
|