 TA的每日心情 | 奋斗
前天 10:28 |
|---|
签到天数: 2370 天 [LV.Master]伴坛终老
|
此毒查杀比较难。
0 X) v; U h% j
; d: g5 j) H1 \1 R: O% n2 d我得到的原始“火种”是一个MSDOS.BAT文件。当时,用瑞星20.38.60扫此样本,瑞星不报毒。已将此样本提交瑞星公司。
, M# E7 ]) e0 `* V+ m中此病毒群后,MSDOS.BAT位于硬盘各个分区的根目录下(还有一个指向MSDOS.BAT的autorun.inf)。MSDOS.BAT运行后访问网络:58.53.128.37,下载大量病毒。4 U7 B4 i' X. p/ J' u
* y8 h2 i& H( i1 _4 p# ?
% O: T; Y; Y7 m2 y: r
1、释放/下载的主要病毒文件:. j* d6 B2 A' I! e% C2 Z0 q
c:\windows\tasks\0x01xx8p.exe2 l- y0 n$ p' e/ o2 H7 k) Z4 `
c:\windows\tasks\explorer.ext. B% @- ~. Z5 j
c:\windows\system32\7560.dat
4 [& @* P9 N0 F+ d( m7 J1 kc:\windows\system32\a0.ext
* M) O3 \7 B' n& s8 w& `& `.5 L- }, ]* F2 R; s
.- M1 j+ P3 G1 a# h0 {1 X
.
$ {' _6 \0 r5 o4 Z5 ?* Vc:\windows\system32\a25.ext
# b6 ], c7 z% h. D5 H8 i3 g) Y4 Qc:\windows\system32\oko.exe
" c; T' s6 ]/ w8 @2 t+ Cc:\windows\system32\msosdohs.dat
% K4 d2 S% x: h8 P k) x& Uc:\windows\system32\msosdohs00.dll(插入explorer.exe进程)5 ?6 p" z, v- c: s) }5 a
c:\windows\system32\msosdohs01.dll(插入explorer.exe进程)
* `4 D$ W: E0 `; B ]c:\windows\system32\ttEZZEZZ1044.dll+ l% C# ` h g/ }$ f% P7 |) X( n
c:\windows\system32\ttNNBNNB1047.dll
& w9 s; ^; c- Mc:\windows\system32\txWWQWWQ1006.dll
* M2 a* [6 t- j! v. e# Bc:\zzz.sys(加载后自动删除)
( d( S# T9 s/ g% g) c0 ]c:\windows\system32\drivers\msosfpids32.sys r$ E' [) G( T
病毒文件还有不少(见附件图), D9 Z( P1 M7 ~/ B
& Y: h/ g7 W8 Q4 |, M! L) N2、感染硬盘中的.exe、.htm、html文件;删除c:\windows\system32\verclsid.exe;替换C:\windows\explorer.exe。) ^0 v" Q* Y+ D. U
8 z5 S7 T( ]* y, b. D2 b/ T
MSDOS.BAT感染型下载器的病毒下载地址:
2 n5 Y7 o* f) S* F# t0 mhttp://58.53.128.37/a0.exe& I+ X- N X. G% }, n
http://58.53.128.37/a1.exe
/ s q `- r$ H9 V* Jhttp://58.53.128.37/a2.exe
: @; V4 \5 A' d+ u: w+ @http://58.53.128.37/a3.exe0 D% Z Y8 v& a! D0 i
http://58.53.128.37/a4.exe
( V% p) a; Y: v6 y+ Z2 `* P7 qhttp://58.53.128.37/a5.exe
: F- G W# c9 J& P0 Dhttp://58.53.128.37/a6.exe5 R/ x: _! y9 \5 J- ?- o
http://58.53.128.37/a7.exe
8 _* E- b, G; X Nhttp://58.53.128.37/a8.exe% B8 q: F. {6 v' Z) R
http://58.53.128.37/a9.exe% L5 `& P. V( c* u" I+ _7 W4 W: E& E1 e
http://58.53.128.37/a10.exe2 Y6 e5 u% D' S/ }3 B! K
http://58.53.128.37/a11.exe
! j4 S9 h( p" l" u2 }http://58.53.128.37/a12.exe
1 Y9 Q4 s" b6 e/ {; h$ ihttp://58.53.128.37/a13.exe
6 N. Q& ^8 O& F5 c5 M* ghttp://58.53.128.37/a14.exe
6 F0 ~" H$ e W" Chttp://58.53.128.37/a15.exe
$ P% v( D) } }0 ^& m5 Ahttp://58.53.128.37/a16.exe
7 R2 W5 o- L# zhttp://58.53.128.37/a17.exe
$ ]! [. |& [; @ R. V1 `" j/ Fhttp://58.53.128.37/a18.exe
& n/ B* h" R& ~& n7 R1 P2 a0 v+ khttp://58.53.128.37/a19.exe6 ^! {1 Q. m) z: g2 i. t1 i2 Q
http://58.53.128.37/a20.exe& h/ ?2 ^: c3 P9 Y
http://58.53.128.37/a21.exe
) e8 m" ~ j3 p6 D* ^# I% v) yhttp://58.53.128.37/a22.exe# C. e( F7 ?9 b6 Y6 a
http://58.53.128.37/a23.exe0 h' y* \5 c h9 n( w E2 ^
http://58.53.128.37/a24.exe: T& s6 _! F U% R" ]9 U
http://58.53.128.37/a25.exe
7 j0 W! L: K+ D7 c$ `http://58.53.128.37/oko.exe
; V& Y) I% ~, B# T- j( s, |7 W) x Z- [5 b
查杀难点:
0 ^% w+ D6 K$ ?5 b: h1、c:\windows\system32\75132.dat和c:\windows\system32\urjuujdw.hew两个进程相互配合,指挥c:\windows\system32\msosdohs00.dll和c:\windows\system32\msosdohs01.dll插入系统核心进程、explorer.exe进程以及所有应用程序进程(包括安全软件的进程也被插入)。
( X& W: s, f2 J# W: n
0 X4 A" l. M! Z+ _0 z' V2、explorer.exe被病毒替换。如果强制删除这个被病毒替换explorer.exe,及上面提到的病毒文件,桌面消失。即使注销当前用户,重新登录系统,也无法显示桌面。* ]6 ^* P. U0 U. }
. v: v# U5 P0 ?$ v3、此毒感染硬盘所有分区中的.exe、.htm、html文件。
) z4 A3 s; I# }6 K/ N, B. i$ P0 h2 @: T
4、c:\windows\system32\文件夹、c:\windows\system32\drivers\文件夹、c:\windows\tasks\文件夹、当前用户临时文件夹中都有病毒文件。
! e; `" u/ f" h5 p( G
1 J& o. R; P3 E/ t* n+ {1 u+ ]5、此毒貌似是针对SRENG的。中这堆病毒后,用户试图运行SRENG扫日志时,SRENG即刻被病毒删除。: L! s- f+ c T
$ n. _; o; F' w* }# C4 l0 Q我在影子系统(全影模式)中运行过这个病毒样本,用Tiny全程监控可以获得此病毒群感染系统的全部信息(见附件图)。有了这些信息,可以用IceSword手工删除那堆病毒文件。被感染的.exe、.htm、html等,需用杀软处理(量太大)。
( ]# K3 I/ M) x3 t8 Y8 E/ {; |7 g- A& U, v8 k d
另:有人说此毒可以穿透影子系统2.8。全影系统运行病毒样本,重启后,被病毒替换explorer.exe以及病毒驱动C:\zzz.sys还在系统中。但是,我在全影模式下运行此毒,没有发现这个现象。重启后,系统是干净的。 |
|
/1 
IP卡
狗仔卡
发表于 2008-4-9 15:59:34
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
转发到微博
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡