TA的每日心情 | 奋斗
3 天前 |
|---|
签到天数: 2388 天 [LV.Master]伴坛终老
|
此毒查杀比较难。! |6 m2 i1 d) h K; y& k
3 G: K+ o: F/ E- e/ _3 G
我得到的原始“火种”是一个MSDOS.BAT文件。当时,用瑞星20.38.60扫此样本,瑞星不报毒。已将此样本提交瑞星公司。
4 r2 n$ w) J- n7 Q5 B1 `中此病毒群后,MSDOS.BAT位于硬盘各个分区的根目录下(还有一个指向MSDOS.BAT的autorun.inf)。MSDOS.BAT运行后访问网络:58.53.128.37,下载大量病毒。
9 U/ ~, Q; o; N7 D3 _2 q0 C0 L( C! E+ W9 ~ D% z1 R8 X8 W. J
3 U" v" V1 m: k- ?% U6 u
1、释放/下载的主要病毒文件:* b+ u$ | Y* g( T C f
c:\windows\tasks\0x01xx8p.exe6 Y5 T0 c% y! i- s# v8 t: I, a- W
c:\windows\tasks\explorer.ext2 D8 _& u$ u9 ~- b6 f
c:\windows\system32\7560.dat) M9 F6 E- s( @+ X6 `' K. S4 m4 T/ n
c:\windows\system32\a0.ext
o& ^5 @, @5 `6 w! G9 h* d! u.9 e) K7 \0 l- S% H2 E: o0 J: f
.+ p5 v0 X$ U; B F! Y2 ~0 R! @
.
& _& u. A2 r6 i+ G5 uc:\windows\system32\a25.ext
* m/ b/ Z: _5 P, ~4 Q/ o5 k2 Mc:\windows\system32\oko.exe
* I, F' q0 b1 c$ dc:\windows\system32\msosdohs.dat$ |/ ~7 P3 O7 s: i# C5 Z
c:\windows\system32\msosdohs00.dll(插入explorer.exe进程)) a/ }: |' B( w8 j8 J; G- Y4 y, \# D
c:\windows\system32\msosdohs01.dll(插入explorer.exe进程)
! M0 L. @, _9 v. ?/ Hc:\windows\system32\ttEZZEZZ1044.dll
, t; v" g- J% J0 z6 N; Dc:\windows\system32\ttNNBNNB1047.dll3 z8 n- K* Y. z/ x/ F, {% F2 G" H
c:\windows\system32\txWWQWWQ1006.dll" r" s. M, p! m- Z8 h% u
c:\zzz.sys(加载后自动删除)
2 Q5 F6 |5 A! fc:\windows\system32\drivers\msosfpids32.sys
0 o2 h4 L5 w1 i- h$ |# _病毒文件还有不少(见附件图)7 l4 z- a, F1 ?6 w, x7 U
8 ~$ t% [+ s! _" D
2、感染硬盘中的.exe、.htm、html文件;删除c:\windows\system32\verclsid.exe;替换C:\windows\explorer.exe。
' C1 G( _) m; H: r
. U" n( H$ J1 E! f$ R/ pMSDOS.BAT感染型下载器的病毒下载地址:
L- e3 r# S6 n8 I+ H( a! o0 ihttp://58.53.128.37/a0.exe
+ Y+ R/ w" B. e" q3 r2 \& }http://58.53.128.37/a1.exe
% O/ m. ]1 Q) U; X6 L3 y# Uhttp://58.53.128.37/a2.exe
+ F, }0 w3 p& b/ G+ h7 }9 }* }" q7 Xhttp://58.53.128.37/a3.exe
6 q$ q( B8 E8 e- Vhttp://58.53.128.37/a4.exe0 [( R* o9 ` q4 T2 z: @, M
http://58.53.128.37/a5.exe
V: z- _( l4 Z. U3 b- qhttp://58.53.128.37/a6.exe
: C& [ Y, q: V4 y5 V+ thttp://58.53.128.37/a7.exe4 ]( p! d5 O+ S) s
http://58.53.128.37/a8.exe
3 i2 y. L/ E Shttp://58.53.128.37/a9.exe
& a+ s$ _' K! Ahttp://58.53.128.37/a10.exe% K: e1 x G5 _. H* M7 K# ?' ^
http://58.53.128.37/a11.exe
w2 V" L: u7 Mhttp://58.53.128.37/a12.exe
; s8 H Z% l( t3 d& Z" J: i4 Fhttp://58.53.128.37/a13.exe3 Y/ x- A6 J" @% v9 D. Q& q
http://58.53.128.37/a14.exe
( j. T1 Y& D3 f* h1 V! ?: \8 shttp://58.53.128.37/a15.exe
% `$ n7 V9 l; j0 Zhttp://58.53.128.37/a16.exe) Y7 j- o8 H8 D. s. D
http://58.53.128.37/a17.exe
% O/ \9 C1 s @. Z# o9 S$ j q* nhttp://58.53.128.37/a18.exe
6 Q8 Z8 h5 ~3 ]: Fhttp://58.53.128.37/a19.exe; i. ^1 ]8 a1 q
http://58.53.128.37/a20.exe
5 \+ a9 W% e! w) ~http://58.53.128.37/a21.exe6 |2 P/ i; b5 B
http://58.53.128.37/a22.exe
4 |* U. A' T5 s6 G) ~) {http://58.53.128.37/a23.exe
% ^# m3 p( D3 H/ N. D. q" s) fhttp://58.53.128.37/a24.exe9 G& j+ K `! X' A6 `9 a7 _# [) i
http://58.53.128.37/a25.exe* A4 X' g; ?* b9 h
http://58.53.128.37/oko.exe
+ O8 z* @) G2 i; n2 x H9 H3 o0 } m0 o6 ~. G) |
查杀难点:: u% m' v6 c8 Z
1、c:\windows\system32\75132.dat和c:\windows\system32\urjuujdw.hew两个进程相互配合,指挥c:\windows\system32\msosdohs00.dll和c:\windows\system32\msosdohs01.dll插入系统核心进程、explorer.exe进程以及所有应用程序进程(包括安全软件的进程也被插入)。
/ [. t% a6 X) S2 U2 Y3 j% Y1 x- [# t) B
2、explorer.exe被病毒替换。如果强制删除这个被病毒替换explorer.exe,及上面提到的病毒文件,桌面消失。即使注销当前用户,重新登录系统,也无法显示桌面。3 X6 T7 T: _( B* G4 r* `& x
/ v3 s' S& |0 Q% s, p+ v0 \
3、此毒感染硬盘所有分区中的.exe、.htm、html文件。
9 ?7 u9 V; E, f# G' I" q
4 r+ @: o: a6 q e) T. d4、c:\windows\system32\文件夹、c:\windows\system32\drivers\文件夹、c:\windows\tasks\文件夹、当前用户临时文件夹中都有病毒文件。
5 f. V, ~+ R/ e6 v) J# A! s$ @9 [7 |7 m) ]9 x: J
5、此毒貌似是针对SRENG的。中这堆病毒后,用户试图运行SRENG扫日志时,SRENG即刻被病毒删除。
2 \" @$ R: ?" I2 b+ N
; u# U+ ^# R; p我在影子系统(全影模式)中运行过这个病毒样本,用Tiny全程监控可以获得此病毒群感染系统的全部信息(见附件图)。有了这些信息,可以用IceSword手工删除那堆病毒文件。被感染的.exe、.htm、html等,需用杀软处理(量太大)。
' M9 `. c% z: [
1 ^; H+ T3 w$ J" B! T7 d: n另:有人说此毒可以穿透影子系统2.8。全影系统运行病毒样本,重启后,被病毒替换explorer.exe以及病毒驱动C:\zzz.sys还在系统中。但是,我在全影模式下运行此毒,没有发现这个现象。重启后,系统是干净的。 |
|
/1 
IP卡
狗仔卡
发表于 2008-4-9 15:59:34
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡