下沙论坛

 找回密码
 注册论坛(EC通行证)

QQ登录

QQ登录

下沙大学生网QQ群8(千人群)
群号:6490324 ,验证:下沙大学生网。
用手机发布本地信息严禁群发,各种宣传贴请发表在下沙信息版块有问必答,欢迎提问 提升会员等级,助你宣传
新会员必读 大学生的论坛下沙新生必读下沙币获得方法及使用
查看: 7195|回复: 0
打印 上一主题 下一主题

关于感染型下载器MSDOS.BAT

[复制链接]
  • TA的每日心情
    奋斗
    10 小时前
  • 签到天数: 2384 天

    [LV.Master]伴坛终老

    跳转到指定楼层
    1
    发表于 2008-4-9 15:59:34 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
    此毒查杀比较难。2 ]8 i4 _# L6 ~# }% z4 \
    ! v$ y0 D' Q( N/ a: T/ q. X
    我得到的原始“火种”是一个MSDOS.BAT文件。当时,用瑞星20.38.60扫此样本,瑞星不报毒。已将此样本提交瑞星公司。
    : B9 y' N2 M& n4 V: U; L中此病毒群后,MSDOS.BAT位于硬盘各个分区的根目录下(还有一个指向MSDOS.BAT的autorun.inf)。MSDOS.BAT运行后访问网络:58.53.128.37,下载大量病毒。. g4 d( y8 Y- }2 m

    . C' P* E% \" [* h6 _) E: W0 \- d0 e$ F& f: D) W% [
    1、释放/下载的主要病毒文件:2 `( i+ ?5 \; m' c, A" G9 F
    c:\windows\tasks\0x01xx8p.exe- l/ a3 Q5 i) R8 P/ V
    c:\windows\tasks\explorer.ext) I8 Z4 D  ]8 }: S  q
    c:\windows\system32\7560.dat/ v: P4 O. m, T
    c:\windows\system32\a0.ext
    - U4 @. W" e$ u9 x( s.
    , M  [5 l3 _0 i) \$ j- }2 G3 d.* e  L$ `# C! y: g4 L! r! K% |
    .5 p% ^& Z8 G$ {/ Q( {
    c:\windows\system32\a25.ext
    7 \5 m- @! J! a) A8 ^c:\windows\system32\oko.exe# j+ A* U5 {7 F5 }( j
    c:\windows\system32\msosdohs.dat6 ^1 _$ x; q3 m# L1 X& Q0 x$ v" d: r
    c:\windows\system32\msosdohs00.dll(插入explorer.exe进程)7 G" L1 v" ~3 Q
    c:\windows\system32\msosdohs01.dll(插入explorer.exe进程); _3 {& r& E$ C) k
    c:\windows\system32\ttEZZEZZ1044.dll) w' \8 k- a' i$ x5 ?- e
    c:\windows\system32\ttNNBNNB1047.dll
    + G; S( t/ n) @9 H# v. Q8 X- vc:\windows\system32\txWWQWWQ1006.dll; P. \1 D' o7 s. _( P& _
    c:\zzz.sys(加载后自动删除)
    & a! _: q' n8 @: Jc:\windows\system32\drivers\msosfpids32.sys0 S7 v, d. C! Z% E6 c3 T( ^
    病毒文件还有不少(见附件图)% S. H) E+ h$ |- W5 U
    , Q' N% Y+ |. X
    2、感染硬盘中的.exe、.htm、html文件;删除c:\windows\system32\verclsid.exe;替换C:\windows\explorer.exe。5 B) c9 L7 N  M( v7 |; e" J: L

    + p. l* {9 Q; Z3 tMSDOS.BAT感染型下载器的病毒下载地址:
    9 i% i( P5 m( l: J" w7 y8 m: V. Lhttp://58.53.128.37/a0.exe
    % J* |5 R6 i+ G6 S5 u1 A% bhttp://58.53.128.37/a1.exe
    5 P8 y2 V9 s: Khttp://58.53.128.37/a2.exe1 v6 I. u& X7 L1 _
    http://58.53.128.37/a3.exe8 ?. f/ W2 b* X1 H; l  G3 B5 J* W9 Q
    http://58.53.128.37/a4.exe* @/ ~" h  g$ C! M6 Z3 [
    http://58.53.128.37/a5.exe
    : e* P! o$ L6 }9 L% shttp://58.53.128.37/a6.exe5 E% R; `- d+ P
    http://58.53.128.37/a7.exe
    ( n: K$ @* X; o% Ohttp://58.53.128.37/a8.exe
    4 Q# W# L2 k+ S/ i+ _. D; V# Ehttp://58.53.128.37/a9.exe
    $ D/ U+ K9 J! [( P5 }- rhttp://58.53.128.37/a10.exe
    1 j) ]9 N8 M4 Z0 U4 D. |http://58.53.128.37/a11.exe
    ! \4 r) ~) W: J" b  Y4 c) lhttp://58.53.128.37/a12.exe3 [( z2 H; R: Q( {" ^9 g) o) `
    http://58.53.128.37/a13.exe. [; H: [# e+ a- |5 z, m6 }
    http://58.53.128.37/a14.exe
    6 C3 m+ Y% }6 E+ Lhttp://58.53.128.37/a15.exe" F3 `% J& b. t$ ^1 w
    http://58.53.128.37/a16.exe
    / P7 H  h5 L, Ihttp://58.53.128.37/a17.exe2 L' F  I  }  h( S' v
    http://58.53.128.37/a18.exe5 \3 Z" L" ?# k1 b
    http://58.53.128.37/a19.exe
    + X- G5 Y: c: u+ jhttp://58.53.128.37/a20.exe8 f3 x! I" x' f+ Q4 z: u2 f
    http://58.53.128.37/a21.exe
    5 {$ F+ D  Z( D8 T, _http://58.53.128.37/a22.exe
      @3 k& K# L. w9 }& @http://58.53.128.37/a23.exe
    3 ]4 y) Y" a& I) I2 hhttp://58.53.128.37/a24.exe  Z% }- I( T/ c$ Q$ g! G
    http://58.53.128.37/a25.exe; h" ~, j( v  S  }6 y+ k' U" u
    http://58.53.128.37/oko.exe$ ^8 B, v' @7 w, |) s. j
    & W. w- G. o; z# k' Y: n9 h
    查杀难点:
    0 [& \5 d6 L3 ^/ T" X8 w: E1、c:\windows\system32\75132.dat和c:\windows\system32\urjuujdw.hew两个进程相互配合,指挥c:\windows\system32\msosdohs00.dll和c:\windows\system32\msosdohs01.dll插入系统核心进程、explorer.exe进程以及所有应用程序进程(包括安全软件的进程也被插入)。& m0 O4 W* N6 z) J
    " L3 Z0 ~5 \! R" Y5 {5 ?
    2、explorer.exe被病毒替换。如果强制删除这个被病毒替换explorer.exe,及上面提到的病毒文件,桌面消失。即使注销当前用户,重新登录系统,也无法显示桌面。1 L, ~3 T  ^' x* m3 b$ a

    9 w! e9 m! H( s3、此毒感染硬盘所有分区中的.exe、.htm、html文件。
    ; H$ O6 c* A5 `) i! T- \3 C5 o  q: ^" g- d& H+ ^) j
    4、c:\windows\system32\文件夹、c:\windows\system32\drivers\文件夹、c:\windows\tasks\文件夹、当前用户临时文件夹中都有病毒文件。
    7 L. B7 {: I" B0 T* q2 N2 C  v; d/ r" _* l0 a: d/ U6 ]/ j
    5、此毒貌似是针对SRENG的。中这堆病毒后,用户试图运行SRENG扫日志时,SRENG即刻被病毒删除。. h0 k* F5 s$ I) k$ A$ D- l

    & ]  N2 J3 L7 O0 n. {7 F) M6 }! C, K我在影子系统(全影模式)中运行过这个病毒样本,用Tiny全程监控可以获得此病毒群感染系统的全部信息(见附件图)。有了这些信息,可以用IceSword手工删除那堆病毒文件。被感染的.exe、.htm、html等,需用杀软处理(量太大)。
    & n& {6 E- g1 g# H
    : U# Q( c6 G* p8 a$ L7 i/ D另:有人说此毒可以穿透影子系统2.8。全影系统运行病毒样本,重启后,被病毒替换explorer.exe以及病毒驱动C:\zzz.sys还在系统中。但是,我在全影模式下运行此毒,没有发现这个现象。重启后,系统是干净的。
    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
    收藏收藏 分享分享 顶 踩

    本版积分规则

    关闭

    下沙大学生网推荐上一条 /1 下一条

    快速回复 返回顶部 返回列表