 TA的每日心情 | 擦汗
10 小时前 |
|---|
签到天数: 2367 天 [LV.Master]伴坛终老
|
此毒查杀比较难。
: C+ Z( G# [3 G1 m
# a5 d+ Z3 R$ ? S; [3 t我得到的原始“火种”是一个MSDOS.BAT文件。当时,用瑞星20.38.60扫此样本,瑞星不报毒。已将此样本提交瑞星公司。$ g' h1 D8 `# p. X
中此病毒群后,MSDOS.BAT位于硬盘各个分区的根目录下(还有一个指向MSDOS.BAT的autorun.inf)。MSDOS.BAT运行后访问网络:58.53.128.37,下载大量病毒。% k! w' A# \4 f8 d% G
2 k& s0 F8 _" w
, i4 s: E; t0 \9 M: ` B1、释放/下载的主要病毒文件:
9 c8 G) u, i" wc:\windows\tasks\0x01xx8p.exe. g0 w1 B! [& V7 r% P
c:\windows\tasks\explorer.ext# Q% x" }( n1 @9 s& ?* K0 s5 \
c:\windows\system32\7560.dat
7 q9 Y" a; n( g0 d6 ic:\windows\system32\a0.ext
5 P1 P' `/ a8 T- H2 b.
9 b4 j* i$ k6 k% k0 ^% }+ C.9 o% j" F5 J7 b* s
.% d9 R3 Y+ N+ y1 }$ Y
c:\windows\system32\a25.ext
# u; N4 z( J/ N* d* Y3 ic:\windows\system32\oko.exe! S$ w6 O: Y4 e; P$ p
c:\windows\system32\msosdohs.dat" v4 w' y5 g+ q* ?% b$ ~( ?
c:\windows\system32\msosdohs00.dll(插入explorer.exe进程)
8 r8 Q8 D( b; s+ z& N0 hc:\windows\system32\msosdohs01.dll(插入explorer.exe进程)% ]- P n2 j! M( i3 i0 ?! @* J
c:\windows\system32\ttEZZEZZ1044.dll: V! J' x! l4 ], }
c:\windows\system32\ttNNBNNB1047.dll( p- j3 a* d0 |8 V9 y2 [. i
c:\windows\system32\txWWQWWQ1006.dll
' h! t+ z3 i8 q, R' F0 `c:\zzz.sys(加载后自动删除)
, |& s/ J7 F( fc:\windows\system32\drivers\msosfpids32.sys5 \) X+ _- `7 D# Y4 o
病毒文件还有不少(见附件图)* d. j. ?) }7 [* t# @ y) v! f) E
+ K/ r1 B) _7 p3 W! ^2、感染硬盘中的.exe、.htm、html文件;删除c:\windows\system32\verclsid.exe;替换C:\windows\explorer.exe。
# S6 \' s3 L @& F* d2 w# A1 N- T" I) p: x7 a8 L& o, S) a$ m. d4 Q
MSDOS.BAT感染型下载器的病毒下载地址:
' g" T! Q; U7 Ehttp://58.53.128.37/a0.exe
% w! G8 g) ?8 l0 n5 u+ h' l6 mhttp://58.53.128.37/a1.exe3 q# c3 ?9 C7 S
http://58.53.128.37/a2.exe4 \) r: d& l; N, j5 @
http://58.53.128.37/a3.exe
4 I/ l: \/ |/ g0 ^/ G( F& E' Q; g' a5 Qhttp://58.53.128.37/a4.exe
; i1 ]* t# t8 A" b! z& D6 Mhttp://58.53.128.37/a5.exe
' Y* L8 ?3 p' p- Y0 L8 `$ Y5 t7 r9 v& ihttp://58.53.128.37/a6.exe
6 `, R+ [) ~3 khttp://58.53.128.37/a7.exe
9 m9 _( w- ~$ y% g( o$ ]$ B- qhttp://58.53.128.37/a8.exe; @- i- f/ J* m2 G7 {! n5 K
http://58.53.128.37/a9.exe/ K) g1 n3 f( r/ }$ r
http://58.53.128.37/a10.exe
; E$ u" x" u) |$ \* {0 jhttp://58.53.128.37/a11.exe
2 [! g M, s) ]3 i& Rhttp://58.53.128.37/a12.exe
* ]! m% K5 V3 X" d5 rhttp://58.53.128.37/a13.exe) W( V6 e7 {$ W! i
http://58.53.128.37/a14.exe6 x g' Y! g. b
http://58.53.128.37/a15.exe
& h4 d( Y% {4 dhttp://58.53.128.37/a16.exe: L2 `) c9 \4 @$ F. H, |/ }
http://58.53.128.37/a17.exe4 n/ o8 `) X% j* ^
http://58.53.128.37/a18.exe
) f# M# U, C: O3 |3 p/ shttp://58.53.128.37/a19.exe4 Q _3 w$ l* h- l d I
http://58.53.128.37/a20.exe
- H" F) R9 y; `: z# h$ Yhttp://58.53.128.37/a21.exe
+ W, l1 W8 G* ehttp://58.53.128.37/a22.exe
7 P. c( L' L$ h* [http://58.53.128.37/a23.exe
) |$ @2 x6 m* f+ R* N% Ehttp://58.53.128.37/a24.exe( N3 ]4 [/ t1 ^1 Z; G
http://58.53.128.37/a25.exe
]5 m- d( ?3 ]$ N. p* H) E1 Ahttp://58.53.128.37/oko.exe, N- v% E% \: W, |& k
' ]% \( |3 G$ `+ ]$ s1 x查杀难点:
$ e* @! \# b/ z" {, Z1、c:\windows\system32\75132.dat和c:\windows\system32\urjuujdw.hew两个进程相互配合,指挥c:\windows\system32\msosdohs00.dll和c:\windows\system32\msosdohs01.dll插入系统核心进程、explorer.exe进程以及所有应用程序进程(包括安全软件的进程也被插入)。
" b- x3 f# \9 u8 c5 f7 L
5 T7 [/ f+ e7 M2、explorer.exe被病毒替换。如果强制删除这个被病毒替换explorer.exe,及上面提到的病毒文件,桌面消失。即使注销当前用户,重新登录系统,也无法显示桌面。5 j! x$ d" _% z) L, n m# J* o
- S& v( s2 }" j" @5 d! E7 o: l1 H' m
3、此毒感染硬盘所有分区中的.exe、.htm、html文件。
0 W7 u3 i/ f- d5 [8 H3 S* F' B! ?. o- t
4、c:\windows\system32\文件夹、c:\windows\system32\drivers\文件夹、c:\windows\tasks\文件夹、当前用户临时文件夹中都有病毒文件。, T0 n2 o3 U! b" \, g; j1 J
}% g" i% L+ p2 P1 [/ @
5、此毒貌似是针对SRENG的。中这堆病毒后,用户试图运行SRENG扫日志时,SRENG即刻被病毒删除。
$ p1 z( J5 {* f+ z8 f- L# h' `
E7 X' U5 W/ `/ ?0 F我在影子系统(全影模式)中运行过这个病毒样本,用Tiny全程监控可以获得此病毒群感染系统的全部信息(见附件图)。有了这些信息,可以用IceSword手工删除那堆病毒文件。被感染的.exe、.htm、html等,需用杀软处理(量太大)。
% K: y( C0 x" e/ q; G0 @! V, B, G0 u$ J3 z
另:有人说此毒可以穿透影子系统2.8。全影系统运行病毒样本,重启后,被病毒替换explorer.exe以及病毒驱动C:\zzz.sys还在系统中。但是,我在全影模式下运行此毒,没有发现这个现象。重启后,系统是干净的。 |
|
/1 
IP卡
狗仔卡
发表于 2008-4-9 15:59:34
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
转发到微博
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡