TA的每日心情 | 擦汗
昨天 08:43 |
|---|
签到天数: 2392 天 [LV.Master]伴坛终老
|
此毒查杀比较难。2 l. y: d1 k% N6 ]% y$ N3 Q
' Z3 }3 L% i- V5 ]" l我得到的原始“火种”是一个MSDOS.BAT文件。当时,用瑞星20.38.60扫此样本,瑞星不报毒。已将此样本提交瑞星公司。
& R# F! K0 e1 s+ I( i& A中此病毒群后,MSDOS.BAT位于硬盘各个分区的根目录下(还有一个指向MSDOS.BAT的autorun.inf)。MSDOS.BAT运行后访问网络:58.53.128.37,下载大量病毒。
0 c1 Y4 J3 H$ o7 m/ k9 E
. A! n+ Q/ U. h5 D& j, V" a" K) ?% j$ N$ W9 l' p
1、释放/下载的主要病毒文件:& o, Y7 h9 _- p8 [3 g4 k
c:\windows\tasks\0x01xx8p.exe% z9 _$ p* F# P5 n% |* w
c:\windows\tasks\explorer.ext. g; u- M* a3 O5 E% E# C
c:\windows\system32\7560.dat
6 l3 Q4 U! f3 v- Y+ V8 U. W4 Yc:\windows\system32\a0.ext" ~* ~& P. y" V2 w
.4 Y( F) g7 G% ~! {: W2 y. X
.
: G6 [4 a6 \+ g L; r4 ~.: t4 x8 N% N" f- L, z7 Y
c:\windows\system32\a25.ext
0 c \9 _& q4 k8 j, dc:\windows\system32\oko.exe
/ R7 z* ^( l" H: T" d& Ac:\windows\system32\msosdohs.dat4 S5 i( p5 j! Q& v4 k. _
c:\windows\system32\msosdohs00.dll(插入explorer.exe进程)
7 ~, u- T1 J# d; ?; N1 ?$ ec:\windows\system32\msosdohs01.dll(插入explorer.exe进程)
# F4 {8 \) g2 `% q I6 ~/ Dc:\windows\system32\ttEZZEZZ1044.dll
9 V- q' G2 W; |: y4 fc:\windows\system32\ttNNBNNB1047.dll: Q9 P- V! ?/ U& }. N( r5 u8 M
c:\windows\system32\txWWQWWQ1006.dll
% C, \, v! I$ ?; Y* ac:\zzz.sys(加载后自动删除); m) J. j" Z) x/ _4 _& w* d. z0 s
c:\windows\system32\drivers\msosfpids32.sys
' h) X( q0 x# a$ k病毒文件还有不少(见附件图)
+ T/ H e$ t. o# K# J( [9 e2 I4 p9 c! A: ?( E) h
2、感染硬盘中的.exe、.htm、html文件;删除c:\windows\system32\verclsid.exe;替换C:\windows\explorer.exe。5 P1 H0 v2 B) i3 z/ f
8 L9 q7 h( a u; c% }; lMSDOS.BAT感染型下载器的病毒下载地址:
, o7 z) A. d' `3 M% x3 Khttp://58.53.128.37/a0.exe6 H+ b( ^0 T9 w+ ^
http://58.53.128.37/a1.exe1 B% O8 Z/ R: ^+ G3 T3 P8 i, u6 \/ e& f
http://58.53.128.37/a2.exe6 a, [4 @8 x/ j7 j3 V# i
http://58.53.128.37/a3.exe- v9 z, i4 ]/ @6 H
http://58.53.128.37/a4.exe0 A9 c8 G" ]: \* P3 [) X e
http://58.53.128.37/a5.exe7 U; c2 g5 F, u" ~+ j- R! s
http://58.53.128.37/a6.exe
7 G" [: q5 f+ x P# V* ^8 V9 ehttp://58.53.128.37/a7.exe
( H# Z; ?6 t7 E( q, z+ K7 qhttp://58.53.128.37/a8.exe8 n! D' G6 c% f1 F; ^1 D8 l: Y
http://58.53.128.37/a9.exe- z( y5 I- |/ c" H( k0 C% Q
http://58.53.128.37/a10.exe4 d% i' \) b" u& h: A+ b! b
http://58.53.128.37/a11.exe
. E; `" H1 G0 m4 I% bhttp://58.53.128.37/a12.exe6 Y/ }& X$ i( c& D2 ]1 A6 ^! {
http://58.53.128.37/a13.exe% x; A& V! Q: w# ^
http://58.53.128.37/a14.exe
F. o4 y+ }/ L$ |4 b+ j7 V- j! xhttp://58.53.128.37/a15.exe2 t" D3 ]) W; c7 u: j3 ?; N4 P0 m
http://58.53.128.37/a16.exe) a, `, D9 K! _# j
http://58.53.128.37/a17.exe; Q' [+ V8 U- H) B5 I, A3 v w
http://58.53.128.37/a18.exe% F! j# Z9 z4 ]( V% u+ P
http://58.53.128.37/a19.exe
& z( u: k1 |3 n- x1 ?6 P& Dhttp://58.53.128.37/a20.exe
2 Z2 Y3 r0 s& a/ w8 L d9 Uhttp://58.53.128.37/a21.exe
* r* `) T5 B( @" y& k4 V6 Ehttp://58.53.128.37/a22.exe% Z* U6 y5 i5 l6 E
http://58.53.128.37/a23.exe
( |$ @3 c7 |: I$ @http://58.53.128.37/a24.exe9 ~* X, U* B0 G0 `; J( i# E
http://58.53.128.37/a25.exe* I* y9 W0 J, \4 Y6 r4 Z! R
http://58.53.128.37/oko.exe
$ e2 B: G5 L- b, q9 i4 t& j4 J# E
查杀难点:# k3 |( k6 @/ K) {
1、c:\windows\system32\75132.dat和c:\windows\system32\urjuujdw.hew两个进程相互配合,指挥c:\windows\system32\msosdohs00.dll和c:\windows\system32\msosdohs01.dll插入系统核心进程、explorer.exe进程以及所有应用程序进程(包括安全软件的进程也被插入)。/ s/ ]. I8 n/ q" ]
x9 a# f, R( L: Z3 h+ J2、explorer.exe被病毒替换。如果强制删除这个被病毒替换explorer.exe,及上面提到的病毒文件,桌面消失。即使注销当前用户,重新登录系统,也无法显示桌面。
( k$ U2 y Y; y `; C
6 A* O- G2 z9 J+ Y% w1 P2 |' U2 Z/ m3、此毒感染硬盘所有分区中的.exe、.htm、html文件。
. j( ]# z# q2 o2 h
! T4 t0 P! _' U* {' U4、c:\windows\system32\文件夹、c:\windows\system32\drivers\文件夹、c:\windows\tasks\文件夹、当前用户临时文件夹中都有病毒文件。# L) h8 \* r2 z5 R8 j
# w5 V' t( ~& `. e
5、此毒貌似是针对SRENG的。中这堆病毒后,用户试图运行SRENG扫日志时,SRENG即刻被病毒删除。) k! e: z- A! @
2 A! n5 i, j5 L s" m* I; ~
我在影子系统(全影模式)中运行过这个病毒样本,用Tiny全程监控可以获得此病毒群感染系统的全部信息(见附件图)。有了这些信息,可以用IceSword手工删除那堆病毒文件。被感染的.exe、.htm、html等,需用杀软处理(量太大)。! J; F% P- e. a! `
0 |8 ^/ w) v% o3 `/ k; T% | [另:有人说此毒可以穿透影子系统2.8。全影系统运行病毒样本,重启后,被病毒替换explorer.exe以及病毒驱动C:\zzz.sys还在系统中。但是,我在全影模式下运行此毒,没有发现这个现象。重启后,系统是干净的。 |
|
/1 
IP卡
狗仔卡
发表于 2008-4-9 15:59:34
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡