TA的每日心情 | 擦汗
昨天 09:05 |
|---|
签到天数: 2402 天 [LV.Master]伴坛终老
|
此毒查杀比较难。
( F0 F" w- d9 R4 v* u; a {0 V, Y* N7 A4 R; O% a
我得到的原始“火种”是一个MSDOS.BAT文件。当时,用瑞星20.38.60扫此样本,瑞星不报毒。已将此样本提交瑞星公司。' W0 }/ i7 V. `* k( [
中此病毒群后,MSDOS.BAT位于硬盘各个分区的根目录下(还有一个指向MSDOS.BAT的autorun.inf)。MSDOS.BAT运行后访问网络:58.53.128.37,下载大量病毒。
; y! V% i2 z5 N. V+ n1 O7 L
+ {/ K5 R+ j% |& f- |5 l$ B
+ e$ s4 E$ ~% R" ~$ I1、释放/下载的主要病毒文件:' M9 D6 e* A2 J& O5 r+ u
c:\windows\tasks\0x01xx8p.exe0 |- O9 `3 O' |4 H4 W% ~9 c; X
c:\windows\tasks\explorer.ext/ I/ W+ U! n: t( @* z# {9 p. M
c:\windows\system32\7560.dat# ]8 e+ Y: C4 O) a. R; K3 I
c:\windows\system32\a0.ext# S; i6 J; p p9 W
.
' L1 }1 I$ Y% C4 C.
) Q& y, j# E: _% `! u.3 K8 s9 J/ R; G
c:\windows\system32\a25.ext
$ k& J) ~1 f" | ic:\windows\system32\oko.exe4 f4 m. U5 ~* b: Q0 \
c:\windows\system32\msosdohs.dat0 p% H' N3 o, H# ^' H7 \; ]
c:\windows\system32\msosdohs00.dll(插入explorer.exe进程)5 k) p8 R* r$ O& l( H6 a
c:\windows\system32\msosdohs01.dll(插入explorer.exe进程)
& z5 \: Q6 F3 @c:\windows\system32\ttEZZEZZ1044.dll% ?+ I+ c7 i2 S, o
c:\windows\system32\ttNNBNNB1047.dll' V) Y$ ^; Q) `0 R2 a# e# u9 Y, \- N
c:\windows\system32\txWWQWWQ1006.dll
, q, i. x, N/ }c:\zzz.sys(加载后自动删除)3 o2 m" n% V3 b6 }
c:\windows\system32\drivers\msosfpids32.sys' M& U* u! Y7 P' ^
病毒文件还有不少(见附件图)
' c7 @3 c1 v1 h2 N6 U0 T. T/ {
" M5 O6 e$ K& K8 a3 o' H7 z& L1 I: v M2、感染硬盘中的.exe、.htm、html文件;删除c:\windows\system32\verclsid.exe;替换C:\windows\explorer.exe。
0 D4 ~9 l& w. ?4 ?, V! A
5 h x$ E5 [& Q* @6 M& K& UMSDOS.BAT感染型下载器的病毒下载地址:# ~: X& {. M( e, H/ i* \# |! K
http://58.53.128.37/a0.exe" Y `6 H" ~+ ~
http://58.53.128.37/a1.exe4 u& N8 w- y* O7 I9 p t1 f. ~
http://58.53.128.37/a2.exe" h2 I9 q( ?* Z
http://58.53.128.37/a3.exe1 q" Y) L7 ^* n. I8 s1 e* y6 c
http://58.53.128.37/a4.exe
1 p% Q; f4 r* K; l# v) S1 Fhttp://58.53.128.37/a5.exe
8 q- K6 C4 G7 W* ~- x3 mhttp://58.53.128.37/a6.exe9 E4 ]3 r! C9 ~; I- w2 F: m, j
http://58.53.128.37/a7.exe
2 I9 {. j m0 O' ]8 Hhttp://58.53.128.37/a8.exe, j! R; L8 e0 Y
http://58.53.128.37/a9.exe
; ^8 S2 }% L [$ [7 @http://58.53.128.37/a10.exe( w( ^' [: v$ C8 e* Y
http://58.53.128.37/a11.exe# k5 t2 l/ L. h% k
http://58.53.128.37/a12.exe
6 |: [. w7 b4 U) V& ~- Nhttp://58.53.128.37/a13.exe
4 @) i h; ]; S' q' w, l Ohttp://58.53.128.37/a14.exe7 w) n# Y, _( j p: g4 o
http://58.53.128.37/a15.exe
2 ]3 _, N3 m( K: @8 R: }5 Phttp://58.53.128.37/a16.exe
! N3 g1 U/ P2 c4 n" rhttp://58.53.128.37/a17.exe! _1 o- V7 `+ ~! p! o/ o( V5 a1 a
http://58.53.128.37/a18.exe
$ F& D2 q9 U. j4 t+ bhttp://58.53.128.37/a19.exe. B$ ]/ e2 C4 U5 X8 c
http://58.53.128.37/a20.exe$ K5 \1 x9 O9 Z2 |2 B
http://58.53.128.37/a21.exe
0 ~! i" M7 B3 \6 Xhttp://58.53.128.37/a22.exe
/ r! q/ I$ i0 n6 @$ jhttp://58.53.128.37/a23.exe6 Y% d, H u4 H% r
http://58.53.128.37/a24.exe4 z. F |3 g& G1 d* q3 w+ o; E- X/ N
http://58.53.128.37/a25.exe% c3 c5 a7 T( A0 @( _
http://58.53.128.37/oko.exe
6 m1 a/ W: Q5 b, I( s! E4 ]$ O7 ?3 j1 d& Y2 e
查杀难点:: L( j) G6 t- `7 P5 \/ R$ U/ p
1、c:\windows\system32\75132.dat和c:\windows\system32\urjuujdw.hew两个进程相互配合,指挥c:\windows\system32\msosdohs00.dll和c:\windows\system32\msosdohs01.dll插入系统核心进程、explorer.exe进程以及所有应用程序进程(包括安全软件的进程也被插入)。
( _( C) K8 x3 j; N A8 T" O
6 \/ {7 l. X) k8 f. v' S0 I. |5 |2、explorer.exe被病毒替换。如果强制删除这个被病毒替换explorer.exe,及上面提到的病毒文件,桌面消失。即使注销当前用户,重新登录系统,也无法显示桌面。
p6 U( y; l/ H9 T& e, ~ `' R
. Y! @3 M' G6 U" w3、此毒感染硬盘所有分区中的.exe、.htm、html文件。
2 L3 i/ ~- ?% G& s. @' G! V
8 C. V0 ^# |0 s" |; ]1 r" w4、c:\windows\system32\文件夹、c:\windows\system32\drivers\文件夹、c:\windows\tasks\文件夹、当前用户临时文件夹中都有病毒文件。) A6 |0 x) O8 L- L4 r6 P4 D( P
@" w( j/ W) T; a
5、此毒貌似是针对SRENG的。中这堆病毒后,用户试图运行SRENG扫日志时,SRENG即刻被病毒删除。
1 `3 t4 h4 P% ]: x* `& h: q2 l3 T/ {
7 \4 K. g+ F5 |( d3 q我在影子系统(全影模式)中运行过这个病毒样本,用Tiny全程监控可以获得此病毒群感染系统的全部信息(见附件图)。有了这些信息,可以用IceSword手工删除那堆病毒文件。被感染的.exe、.htm、html等,需用杀软处理(量太大)。
: h J% a" M3 b8 ~( S- Q
7 b& j) B3 |, k& o另:有人说此毒可以穿透影子系统2.8。全影系统运行病毒样本,重启后,被病毒替换explorer.exe以及病毒驱动C:\zzz.sys还在系统中。但是,我在全影模式下运行此毒,没有发现这个现象。重启后,系统是干净的。 |
|
/1 
IP卡
狗仔卡
发表于 2008-4-9 15:59:34
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡