TA的每日心情 | 擦汗
9 小时前 |
|---|
签到天数: 2402 天 [LV.Master]伴坛终老
|
此毒查杀比较难。+ ]3 a- k/ O b/ E
' x$ Z/ |1 a3 q* Q5 Q
我得到的原始“火种”是一个MSDOS.BAT文件。当时,用瑞星20.38.60扫此样本,瑞星不报毒。已将此样本提交瑞星公司。3 ?; Y! e! s6 r1 \6 s f9 g
中此病毒群后,MSDOS.BAT位于硬盘各个分区的根目录下(还有一个指向MSDOS.BAT的autorun.inf)。MSDOS.BAT运行后访问网络:58.53.128.37,下载大量病毒。
6 \5 C, W* _6 d5 \
8 A9 X! T5 P7 C5 L7 N+ ?
8 z( @2 x+ H1 l @1、释放/下载的主要病毒文件:
9 ?1 W2 V& {8 c' Q; N; Z {c:\windows\tasks\0x01xx8p.exe
: d7 N' q# l& p# B( G8 }$ Wc:\windows\tasks\explorer.ext
" ]8 e) j# d6 C; i9 s! ac:\windows\system32\7560.dat$ J% b$ q7 X1 w
c:\windows\system32\a0.ext
$ N3 L. j3 U4 M# ?7 X o! @.8 ^8 I, f5 | G" {9 _
.
3 G7 w' X- o6 i$ o: h7 q2 {.) _9 v) H7 \- K8 {' ?
c:\windows\system32\a25.ext; {) r- f4 u" c1 u
c:\windows\system32\oko.exe
6 F% d9 G: X1 }- s, {7 ac:\windows\system32\msosdohs.dat
( L) T: a: w6 S* C: T9 s6 Gc:\windows\system32\msosdohs00.dll(插入explorer.exe进程)! G9 y. ^2 X) |3 U. m
c:\windows\system32\msosdohs01.dll(插入explorer.exe进程)9 h# k/ w4 I( N( u% L& H* d
c:\windows\system32\ttEZZEZZ1044.dll3 d/ ~, b: f. b+ t1 _- u- Y0 }
c:\windows\system32\ttNNBNNB1047.dll
2 R: c! ?( I: i& q7 n) n) Gc:\windows\system32\txWWQWWQ1006.dll0 i7 D* }3 Q1 \. l
c:\zzz.sys(加载后自动删除)8 g2 P' t3 J* D- T
c:\windows\system32\drivers\msosfpids32.sys
/ u: d L5 u8 B0 C: n, A病毒文件还有不少(见附件图)
- k* h# v+ b8 n% I0 ]' _; Y/ @
6 q* i8 l2 H/ i' b% t2、感染硬盘中的.exe、.htm、html文件;删除c:\windows\system32\verclsid.exe;替换C:\windows\explorer.exe。/ Z0 c3 {$ v2 Y9 p, d
: L D; C% e& c" {5 W- K* NMSDOS.BAT感染型下载器的病毒下载地址:( e) n" ?9 J& l1 d7 n
http://58.53.128.37/a0.exe
/ i# J7 x( C2 D+ F- ]5 ~- \* Khttp://58.53.128.37/a1.exe
2 V) K9 h/ J0 l+ rhttp://58.53.128.37/a2.exe
$ n4 I t7 E9 z, z9 P7 Whttp://58.53.128.37/a3.exe
$ O# R) K+ x6 `; ?2 Mhttp://58.53.128.37/a4.exe8 C3 c1 R! t$ v* K/ e" G
http://58.53.128.37/a5.exe
" l0 j9 K$ j" ^/ ghttp://58.53.128.37/a6.exe, m5 g; K6 E5 i' r, l! i
http://58.53.128.37/a7.exe
( W+ f+ y; h4 [ g" Whttp://58.53.128.37/a8.exe
% h# P6 r# k Phttp://58.53.128.37/a9.exe* M1 S' [. Q* L/ J6 p
http://58.53.128.37/a10.exe
! g( r: x) J* Whttp://58.53.128.37/a11.exe
& w3 A( |' _! lhttp://58.53.128.37/a12.exe5 j- z _- P M1 x* t
http://58.53.128.37/a13.exe
( d7 K# P2 b& K8 m" O( b! Ohttp://58.53.128.37/a14.exe3 b9 d- O4 z( v+ |
http://58.53.128.37/a15.exe: |3 W3 O9 h+ j( t! _3 ^
http://58.53.128.37/a16.exe3 i% N" i+ Z" j) k* z; V
http://58.53.128.37/a17.exe5 a- I Y4 W* i: A7 l s
http://58.53.128.37/a18.exe" p2 H7 u) v& G% E. U: ]5 B# k- \ D" @
http://58.53.128.37/a19.exe
& J% g/ U; B: b( y, O) ?1 S3 B. Thttp://58.53.128.37/a20.exe* S% J8 g, J. r9 A% I" }; ?
http://58.53.128.37/a21.exe
2 y1 L1 g, }, w& K6 N0 L( r& ohttp://58.53.128.37/a22.exe; p8 Y/ s. E4 v8 Z; V+ e( Q8 L
http://58.53.128.37/a23.exe% c$ W% S% Q( `% @$ x
http://58.53.128.37/a24.exe( p$ R) K* i9 \7 a; C3 C6 t% U* x
http://58.53.128.37/a25.exe
8 q* s+ F; k$ V" u: Ghttp://58.53.128.37/oko.exe! N$ i2 D+ @! }' z
) g V, C4 A e1 ~; h7 i查杀难点:
5 ~/ E0 p1 k2 a4 n+ R& J, f1、c:\windows\system32\75132.dat和c:\windows\system32\urjuujdw.hew两个进程相互配合,指挥c:\windows\system32\msosdohs00.dll和c:\windows\system32\msosdohs01.dll插入系统核心进程、explorer.exe进程以及所有应用程序进程(包括安全软件的进程也被插入)。
2 R5 U1 q* I! v, Z5 H# Y. t
E: {8 P- N5 T& r! u+ z |2、explorer.exe被病毒替换。如果强制删除这个被病毒替换explorer.exe,及上面提到的病毒文件,桌面消失。即使注销当前用户,重新登录系统,也无法显示桌面。
: O6 l+ p6 V% G0 |
7 Z' L! p$ x [" e1 e2 p3、此毒感染硬盘所有分区中的.exe、.htm、html文件。
4 b w& F% z8 R. G J! F; K: ` a1 N8 ?, g
4、c:\windows\system32\文件夹、c:\windows\system32\drivers\文件夹、c:\windows\tasks\文件夹、当前用户临时文件夹中都有病毒文件。
: L1 ?7 @8 [# i( g) s4 `: p4 V# u4 c' H$ V" v, ~
5、此毒貌似是针对SRENG的。中这堆病毒后,用户试图运行SRENG扫日志时,SRENG即刻被病毒删除。
3 a8 x# D# O" n( ~/ C, P2 A+ B* {0 q& b: Q# ?5 H# U
我在影子系统(全影模式)中运行过这个病毒样本,用Tiny全程监控可以获得此病毒群感染系统的全部信息(见附件图)。有了这些信息,可以用IceSword手工删除那堆病毒文件。被感染的.exe、.htm、html等,需用杀软处理(量太大)。
% S- A$ ^% q$ s p' s- w3 B3 d- |1 g* j! N& k- n, f: i7 Y) v
另:有人说此毒可以穿透影子系统2.8。全影系统运行病毒样本,重启后,被病毒替换explorer.exe以及病毒驱动C:\zzz.sys还在系统中。但是,我在全影模式下运行此毒,没有发现这个现象。重启后,系统是干净的。 |
|
/1 
IP卡
狗仔卡
发表于 2008-4-9 15:59:34
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡