TA的每日心情 | 擦汗
2025-1-24 09:05 |
|---|
签到天数: 2402 天 [LV.Master]伴坛终老
|
此毒查杀比较难。; t" T, q7 J" |! t. Q
0 L6 ?& D+ p+ p" ?; z+ c
我得到的原始“火种”是一个MSDOS.BAT文件。当时,用瑞星20.38.60扫此样本,瑞星不报毒。已将此样本提交瑞星公司。0 K$ B2 ] p8 j* O$ R7 j- t3 A% F. |& `
中此病毒群后,MSDOS.BAT位于硬盘各个分区的根目录下(还有一个指向MSDOS.BAT的autorun.inf)。MSDOS.BAT运行后访问网络:58.53.128.37,下载大量病毒。( b. V D% d; w# K0 I) x7 t
! ^4 r: I$ \, [* q# J D5 q
8 \* m9 e: V: E0 A H; z1 r7 @1、释放/下载的主要病毒文件:! d/ z) {% |* @0 p. z: j! q: V. x
c:\windows\tasks\0x01xx8p.exe& r7 A2 l4 ]8 H) H: M; W) E& L
c:\windows\tasks\explorer.ext
: c9 U3 L# U& K I/ U% F- W4 [( o* Gc:\windows\system32\7560.dat
" n( \5 `4 l/ ]) [+ `& xc:\windows\system32\a0.ext
5 G) C9 W7 } d' |! d3 B9 q. o( x! [7 G5 A' |' }8 w
.' }6 @& Z9 w8 k
.! m( j' d7 A& ]5 H4 a! I3 B: y
c:\windows\system32\a25.ext9 x& B& ~. L3 M- {3 S7 }+ x. j
c:\windows\system32\oko.exe6 L! q! V9 H5 t% d( R$ l9 N
c:\windows\system32\msosdohs.dat
5 g" I& x. q/ ^1 L! H$ Tc:\windows\system32\msosdohs00.dll(插入explorer.exe进程)2 g! J2 {! Y6 m: W& b
c:\windows\system32\msosdohs01.dll(插入explorer.exe进程)
/ ^( M- F% ?; ~2 pc:\windows\system32\ttEZZEZZ1044.dll6 Q- t3 @: _$ @; e+ H, l& ?3 V. O
c:\windows\system32\ttNNBNNB1047.dll7 J$ B( [$ ?* U4 S
c:\windows\system32\txWWQWWQ1006.dll
3 d% o& J) V( O& N3 I) y7 Yc:\zzz.sys(加载后自动删除)
# m8 \; o! x4 ?& _c:\windows\system32\drivers\msosfpids32.sys/ Z% O& ~. e- |) p
病毒文件还有不少(见附件图)5 X: B0 J9 M( P9 q
( b* U/ i. \& }& _! i- h: r
2、感染硬盘中的.exe、.htm、html文件;删除c:\windows\system32\verclsid.exe;替换C:\windows\explorer.exe。/ l$ t0 q+ t& {( L0 {: B v7 V5 s
- @2 `/ M# I, n o" \+ RMSDOS.BAT感染型下载器的病毒下载地址:
4 Z2 l' Z. T2 @5 Phttp://58.53.128.37/a0.exe: A! q7 a' J+ _$ N" L+ t2 S
http://58.53.128.37/a1.exe
/ D* V: D; p: R8 }http://58.53.128.37/a2.exe
$ G9 I2 L* q8 \; ?5 b9 ^% d5 Lhttp://58.53.128.37/a3.exe1 O! n" Y# N) n, j0 ^6 w
http://58.53.128.37/a4.exe' x7 F$ b8 k8 G1 D* Y: M
http://58.53.128.37/a5.exe W9 E+ r& v$ F" {' ]* ]: M
http://58.53.128.37/a6.exe
! U( m# f) f- U7 R. o" O& _3 nhttp://58.53.128.37/a7.exe
. _9 o; r: e, L' M. ghttp://58.53.128.37/a8.exe
0 Y" @- B7 h% f" r) \2 Thttp://58.53.128.37/a9.exe% W7 G; q: G, M
http://58.53.128.37/a10.exe" n/ h* N6 V* m$ P
http://58.53.128.37/a11.exe4 ?% ]/ F0 W2 W2 T9 |6 ~" b
http://58.53.128.37/a12.exe
+ H7 |( [+ A/ L, D% J( [, uhttp://58.53.128.37/a13.exe5 q" G$ [/ P; {/ u5 G% N
http://58.53.128.37/a14.exe
! e; {8 x- L; P. A5 E' Bhttp://58.53.128.37/a15.exe9 c, A1 [3 ` z9 P q$ m: I
http://58.53.128.37/a16.exe; Y, v: V8 m8 p. G. `8 p' |# i
http://58.53.128.37/a17.exe0 g/ E' l1 o0 Q' m0 D) D0 R8 p
http://58.53.128.37/a18.exe7 z! w9 [( y9 f4 N7 b( i1 a
http://58.53.128.37/a19.exe
P$ Q) r0 b! f/ a2 yhttp://58.53.128.37/a20.exe9 _- l- ^ [- k1 ~8 ]' d" y
http://58.53.128.37/a21.exe9 z0 S* l% N5 y
http://58.53.128.37/a22.exe/ G0 c( V) C* Y) F) V1 J3 y: A
http://58.53.128.37/a23.exe. Z$ A' s) ?" C2 ^( {
http://58.53.128.37/a24.exe& R6 O& q) v* i5 v$ r
http://58.53.128.37/a25.exe1 f, p& w# v8 x
http://58.53.128.37/oko.exe" `( R$ ^% `2 S7 n4 k/ ]$ W, p
8 o! R! B3 m0 X r x" u: Z; A/ n) ?
查杀难点:9 e P6 a, }9 h. ?) X* ?
1、c:\windows\system32\75132.dat和c:\windows\system32\urjuujdw.hew两个进程相互配合,指挥c:\windows\system32\msosdohs00.dll和c:\windows\system32\msosdohs01.dll插入系统核心进程、explorer.exe进程以及所有应用程序进程(包括安全软件的进程也被插入)。
: m8 E7 x {& Q8 y L) b4 l% l( ?0 C1 J2 q3 a% a2 Y- p3 s" ]
2、explorer.exe被病毒替换。如果强制删除这个被病毒替换explorer.exe,及上面提到的病毒文件,桌面消失。即使注销当前用户,重新登录系统,也无法显示桌面。) m# a/ }0 c: h$ l) v9 h
- R( ]+ u3 i* I1 q4 i9 v
3、此毒感染硬盘所有分区中的.exe、.htm、html文件。
) c% T# J) F8 o& I4 ]% G4 H" V1 R# ^4 o* @. ?0 X
4、c:\windows\system32\文件夹、c:\windows\system32\drivers\文件夹、c:\windows\tasks\文件夹、当前用户临时文件夹中都有病毒文件。
& X/ Y) U% O' c
: h4 ~7 ?. U0 v& Z$ m5、此毒貌似是针对SRENG的。中这堆病毒后,用户试图运行SRENG扫日志时,SRENG即刻被病毒删除。/ d* P2 n% p; J ?( o
% ]. @, s+ k7 y, M- s( |
我在影子系统(全影模式)中运行过这个病毒样本,用Tiny全程监控可以获得此病毒群感染系统的全部信息(见附件图)。有了这些信息,可以用IceSword手工删除那堆病毒文件。被感染的.exe、.htm、html等,需用杀软处理(量太大)。
: M* k9 s" E/ K) Y b% b
2 Y3 q6 o d4 J/ d% Y" Y8 W另:有人说此毒可以穿透影子系统2.8。全影系统运行病毒样本,重启后,被病毒替换explorer.exe以及病毒驱动C:\zzz.sys还在系统中。但是,我在全影模式下运行此毒,没有发现这个现象。重启后,系统是干净的。 |
|
/1 
IP卡
狗仔卡
发表于 2008-4-9 15:59:34
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡