TA的每日心情 | 擦汗
12 小时前 |
|---|
签到天数: 2392 天 [LV.Master]伴坛终老
|
此毒查杀比较难。
8 r/ T% ~- i7 O5 w: }4 L+ e1 l u8 g* i) F+ S
我得到的原始“火种”是一个MSDOS.BAT文件。当时,用瑞星20.38.60扫此样本,瑞星不报毒。已将此样本提交瑞星公司。; w q/ p5 y- h2 I- {2 M; ^0 r
中此病毒群后,MSDOS.BAT位于硬盘各个分区的根目录下(还有一个指向MSDOS.BAT的autorun.inf)。MSDOS.BAT运行后访问网络:58.53.128.37,下载大量病毒。
$ `0 z: ]/ d9 s5 ~5 ~9 ]1 B' i; h% M; W% O
" c2 Z1 q+ K7 e
1、释放/下载的主要病毒文件:3 k4 P; I- _- U
c:\windows\tasks\0x01xx8p.exe
; H$ e# j2 ], G; Ac:\windows\tasks\explorer.ext( e2 M2 U p. O
c:\windows\system32\7560.dat7 [. z* Q5 v" z, G( X/ i- @: K
c:\windows\system32\a0.ext+ q2 u" A& K, O; O
.. J( V; q) \& a. A4 ^
.
9 @0 e) [8 z( }+ L+ [3 t+ i.4 j( I9 Y3 B+ K
c:\windows\system32\a25.ext
8 z d3 ?/ I0 d0 jc:\windows\system32\oko.exe
5 R, B1 ? V. {c:\windows\system32\msosdohs.dat/ o9 Z# x! t9 d+ S: ?
c:\windows\system32\msosdohs00.dll(插入explorer.exe进程)
1 y8 `- m# a, `0 [3 cc:\windows\system32\msosdohs01.dll(插入explorer.exe进程)
g: @$ e ]+ M) ]c:\windows\system32\ttEZZEZZ1044.dll, T! _7 B7 {& { G
c:\windows\system32\ttNNBNNB1047.dll# B4 G3 q4 q* v2 S% i# o9 J
c:\windows\system32\txWWQWWQ1006.dll6 i9 [7 G# Z' O5 t1 r1 H2 g
c:\zzz.sys(加载后自动删除)
4 t4 V- G$ W& `: P. k$ ~; v! ~% Fc:\windows\system32\drivers\msosfpids32.sys: J, ^8 ?6 C) c& ^# i. N) U0 R6 x' `
病毒文件还有不少(见附件图)
8 `1 i9 j. R/ `; r, [5 {9 v& K
8 |% h- c2 o5 `3 A; _% ~4 ^2、感染硬盘中的.exe、.htm、html文件;删除c:\windows\system32\verclsid.exe;替换C:\windows\explorer.exe。 p* I' ^9 {2 S) D" n
% G+ F/ a2 G" Y. r' g# [2 YMSDOS.BAT感染型下载器的病毒下载地址: w% M5 K1 B8 y5 t
http://58.53.128.37/a0.exe
$ n( F- r0 f# L$ u$ k/ k7 Shttp://58.53.128.37/a1.exe3 j' \. Y% ]0 [! b( }9 ?
http://58.53.128.37/a2.exe2 F. i- N% s4 \' a9 M$ P$ W
http://58.53.128.37/a3.exe5 D( Y- d2 |5 P
http://58.53.128.37/a4.exe8 H. G: a8 ]! y8 m3 T
http://58.53.128.37/a5.exe
& c3 Z; L! i2 d; r2 s% o) i: ?http://58.53.128.37/a6.exe
. y f3 K, {) K) q' zhttp://58.53.128.37/a7.exe
) ]* M# D& b) q6 W8 lhttp://58.53.128.37/a8.exe
% i }4 r3 `. O: \# whttp://58.53.128.37/a9.exe
& I. {0 h. N6 D/ Mhttp://58.53.128.37/a10.exe) @$ l2 i! D' ^- }& l/ b- ?7 z
http://58.53.128.37/a11.exe: v( E) n m7 O5 a. k5 x* X! X. J
http://58.53.128.37/a12.exe
4 i: F+ `& o* ]2 Y( {6 ]http://58.53.128.37/a13.exe* Q6 y- _9 z( e N0 T
http://58.53.128.37/a14.exe4 l2 e3 @4 \+ n* R" d9 [! U( `7 s
http://58.53.128.37/a15.exe
- g: ?5 O8 J9 }% f) x' ]8 }http://58.53.128.37/a16.exe
/ Q/ u$ R6 t7 ]/ \+ N/ X$ D0 whttp://58.53.128.37/a17.exe
5 x9 K/ g1 }5 {3 P! U7 W7 M1 o( hhttp://58.53.128.37/a18.exe/ \0 n/ }. \* j8 I) `
http://58.53.128.37/a19.exe
7 M$ \+ C6 ~ g- uhttp://58.53.128.37/a20.exe
, X+ [( Q5 ~0 p4 h7 `/ X$ _* Bhttp://58.53.128.37/a21.exe
) E& i+ l9 b0 ?, `; F/ a9 X* Nhttp://58.53.128.37/a22.exe
, e3 x$ c$ ~ I+ Whttp://58.53.128.37/a23.exe; v4 J3 m! \. a9 r5 ?
http://58.53.128.37/a24.exe
' {5 J5 V% B/ a3 W0 }http://58.53.128.37/a25.exe! Q4 k- |" k1 h7 u0 h- i7 X) ~, W
http://58.53.128.37/oko.exe
% R4 ]8 ?8 q. W# f4 t) J G1 @+ g, @1 K
查杀难点:/ Y, V9 t2 D) i7 F6 O0 u
1、c:\windows\system32\75132.dat和c:\windows\system32\urjuujdw.hew两个进程相互配合,指挥c:\windows\system32\msosdohs00.dll和c:\windows\system32\msosdohs01.dll插入系统核心进程、explorer.exe进程以及所有应用程序进程(包括安全软件的进程也被插入)。! |, |% p2 w8 _( h7 m4 s
' g2 h: m/ j5 X) g! C6 H1 h' a
2、explorer.exe被病毒替换。如果强制删除这个被病毒替换explorer.exe,及上面提到的病毒文件,桌面消失。即使注销当前用户,重新登录系统,也无法显示桌面。
! Y2 h) c5 [) V) R8 n% b- V1 m( G! P( |5 v
3、此毒感染硬盘所有分区中的.exe、.htm、html文件。
; P) Q9 v- V4 A3 u9 E
! ]' z( y4 G5 y. q4、c:\windows\system32\文件夹、c:\windows\system32\drivers\文件夹、c:\windows\tasks\文件夹、当前用户临时文件夹中都有病毒文件。5 i4 w* j* h' Y/ G+ c
8 V; H e/ I1 e5、此毒貌似是针对SRENG的。中这堆病毒后,用户试图运行SRENG扫日志时,SRENG即刻被病毒删除。
a( h+ b/ T2 r5 S) z& i9 E
7 z+ x6 Z8 Z5 X, g我在影子系统(全影模式)中运行过这个病毒样本,用Tiny全程监控可以获得此病毒群感染系统的全部信息(见附件图)。有了这些信息,可以用IceSword手工删除那堆病毒文件。被感染的.exe、.htm、html等,需用杀软处理(量太大)。: {/ o' o6 y0 P% z" z. V0 i
& S2 _" f, y, ]& @2 P- [
另:有人说此毒可以穿透影子系统2.8。全影系统运行病毒样本,重启后,被病毒替换explorer.exe以及病毒驱动C:\zzz.sys还在系统中。但是,我在全影模式下运行此毒,没有发现这个现象。重启后,系统是干净的。 |
|
/1 
IP卡
狗仔卡
发表于 2008-4-9 15:59:34
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡