TA的每日心情 | 奋斗 10 小时前 |
---|
签到天数: 2384 天 [LV.Master]伴坛终老
|
此毒查杀比较难。2 ]8 i4 _# L6 ~# }% z4 \
! v$ y0 D' Q( N/ a: T/ q. X
我得到的原始“火种”是一个MSDOS.BAT文件。当时,用瑞星20.38.60扫此样本,瑞星不报毒。已将此样本提交瑞星公司。
: B9 y' N2 M& n4 V: U; L中此病毒群后,MSDOS.BAT位于硬盘各个分区的根目录下(还有一个指向MSDOS.BAT的autorun.inf)。MSDOS.BAT运行后访问网络:58.53.128.37,下载大量病毒。. g4 d( y8 Y- }2 m
. C' P* E% \" [* h6 _) E: W0 \- d0 e$ F& f: D) W% [
1、释放/下载的主要病毒文件:2 `( i+ ?5 \; m' c, A" G9 F
c:\windows\tasks\0x01xx8p.exe- l/ a3 Q5 i) R8 P/ V
c:\windows\tasks\explorer.ext) I8 Z4 D ]8 }: S q
c:\windows\system32\7560.dat/ v: P4 O. m, T
c:\windows\system32\a0.ext
- U4 @. W" e$ u9 x( s.
, M [5 l3 _0 i) \$ j- }2 G3 d.* e L$ `# C! y: g4 L! r! K% |
.5 p% ^& Z8 G$ {/ Q( {
c:\windows\system32\a25.ext
7 \5 m- @! J! a) A8 ^c:\windows\system32\oko.exe# j+ A* U5 {7 F5 }( j
c:\windows\system32\msosdohs.dat6 ^1 _$ x; q3 m# L1 X& Q0 x$ v" d: r
c:\windows\system32\msosdohs00.dll(插入explorer.exe进程)7 G" L1 v" ~3 Q
c:\windows\system32\msosdohs01.dll(插入explorer.exe进程); _3 {& r& E$ C) k
c:\windows\system32\ttEZZEZZ1044.dll) w' \8 k- a' i$ x5 ?- e
c:\windows\system32\ttNNBNNB1047.dll
+ G; S( t/ n) @9 H# v. Q8 X- vc:\windows\system32\txWWQWWQ1006.dll; P. \1 D' o7 s. _( P& _
c:\zzz.sys(加载后自动删除)
& a! _: q' n8 @: Jc:\windows\system32\drivers\msosfpids32.sys0 S7 v, d. C! Z% E6 c3 T( ^
病毒文件还有不少(见附件图)% S. H) E+ h$ |- W5 U
, Q' N% Y+ |. X
2、感染硬盘中的.exe、.htm、html文件;删除c:\windows\system32\verclsid.exe;替换C:\windows\explorer.exe。5 B) c9 L7 N M( v7 |; e" J: L
+ p. l* {9 Q; Z3 tMSDOS.BAT感染型下载器的病毒下载地址:
9 i% i( P5 m( l: J" w7 y8 m: V. Lhttp://58.53.128.37/a0.exe
% J* |5 R6 i+ G6 S5 u1 A% bhttp://58.53.128.37/a1.exe
5 P8 y2 V9 s: Khttp://58.53.128.37/a2.exe1 v6 I. u& X7 L1 _
http://58.53.128.37/a3.exe8 ?. f/ W2 b* X1 H; l G3 B5 J* W9 Q
http://58.53.128.37/a4.exe* @/ ~" h g$ C! M6 Z3 [
http://58.53.128.37/a5.exe
: e* P! o$ L6 }9 L% shttp://58.53.128.37/a6.exe5 E% R; `- d+ P
http://58.53.128.37/a7.exe
( n: K$ @* X; o% Ohttp://58.53.128.37/a8.exe
4 Q# W# L2 k+ S/ i+ _. D; V# Ehttp://58.53.128.37/a9.exe
$ D/ U+ K9 J! [( P5 }- rhttp://58.53.128.37/a10.exe
1 j) ]9 N8 M4 Z0 U4 D. |http://58.53.128.37/a11.exe
! \4 r) ~) W: J" b Y4 c) lhttp://58.53.128.37/a12.exe3 [( z2 H; R: Q( {" ^9 g) o) `
http://58.53.128.37/a13.exe. [; H: [# e+ a- |5 z, m6 }
http://58.53.128.37/a14.exe
6 C3 m+ Y% }6 E+ Lhttp://58.53.128.37/a15.exe" F3 `% J& b. t$ ^1 w
http://58.53.128.37/a16.exe
/ P7 H h5 L, Ihttp://58.53.128.37/a17.exe2 L' F I } h( S' v
http://58.53.128.37/a18.exe5 \3 Z" L" ?# k1 b
http://58.53.128.37/a19.exe
+ X- G5 Y: c: u+ jhttp://58.53.128.37/a20.exe8 f3 x! I" x' f+ Q4 z: u2 f
http://58.53.128.37/a21.exe
5 {$ F+ D Z( D8 T, _http://58.53.128.37/a22.exe
@3 k& K# L. w9 }& @http://58.53.128.37/a23.exe
3 ]4 y) Y" a& I) I2 hhttp://58.53.128.37/a24.exe Z% }- I( T/ c$ Q$ g! G
http://58.53.128.37/a25.exe; h" ~, j( v S }6 y+ k' U" u
http://58.53.128.37/oko.exe$ ^8 B, v' @7 w, |) s. j
& W. w- G. o; z# k' Y: n9 h
查杀难点:
0 [& \5 d6 L3 ^/ T" X8 w: E1、c:\windows\system32\75132.dat和c:\windows\system32\urjuujdw.hew两个进程相互配合,指挥c:\windows\system32\msosdohs00.dll和c:\windows\system32\msosdohs01.dll插入系统核心进程、explorer.exe进程以及所有应用程序进程(包括安全软件的进程也被插入)。& m0 O4 W* N6 z) J
" L3 Z0 ~5 \! R" Y5 {5 ?
2、explorer.exe被病毒替换。如果强制删除这个被病毒替换explorer.exe,及上面提到的病毒文件,桌面消失。即使注销当前用户,重新登录系统,也无法显示桌面。1 L, ~3 T ^' x* m3 b$ a
9 w! e9 m! H( s3、此毒感染硬盘所有分区中的.exe、.htm、html文件。
; H$ O6 c* A5 `) i! T- \3 C5 o q: ^" g- d& H+ ^) j
4、c:\windows\system32\文件夹、c:\windows\system32\drivers\文件夹、c:\windows\tasks\文件夹、当前用户临时文件夹中都有病毒文件。
7 L. B7 {: I" B0 T* q2 N2 C v; d/ r" _* l0 a: d/ U6 ]/ j
5、此毒貌似是针对SRENG的。中这堆病毒后,用户试图运行SRENG扫日志时,SRENG即刻被病毒删除。. h0 k* F5 s$ I) k$ A$ D- l
& ] N2 J3 L7 O0 n. {7 F) M6 }! C, K我在影子系统(全影模式)中运行过这个病毒样本,用Tiny全程监控可以获得此病毒群感染系统的全部信息(见附件图)。有了这些信息,可以用IceSword手工删除那堆病毒文件。被感染的.exe、.htm、html等,需用杀软处理(量太大)。
& n& {6 E- g1 g# H
: U# Q( c6 G* p8 a$ L7 i/ D另:有人说此毒可以穿透影子系统2.8。全影系统运行病毒样本,重启后,被病毒替换explorer.exe以及病毒驱动C:\zzz.sys还在系统中。但是,我在全影模式下运行此毒,没有发现这个现象。重启后,系统是干净的。 |
|