TA的每日心情 | 奋斗
1 小时前 |
|---|
签到天数: 2397 天 [LV.Master]伴坛终老
|
此毒查杀比较难。
: M7 G9 X& C# {; f! G1 A0 D5 S/ w L& j# ~) M/ C$ z" p
我得到的原始“火种”是一个MSDOS.BAT文件。当时,用瑞星20.38.60扫此样本,瑞星不报毒。已将此样本提交瑞星公司。
2 Z, { u' z6 ]: k& V中此病毒群后,MSDOS.BAT位于硬盘各个分区的根目录下(还有一个指向MSDOS.BAT的autorun.inf)。MSDOS.BAT运行后访问网络:58.53.128.37,下载大量病毒。* C5 N2 C# y& [- Q; Z
) ^/ q4 y' P' s
$ x6 c/ \- {: c1 _
1、释放/下载的主要病毒文件:
8 _/ W; |: `7 kc:\windows\tasks\0x01xx8p.exe! h1 [8 u9 `* i0 w& b
c:\windows\tasks\explorer.ext
! @8 @+ o$ ?+ `% E0 ~/ J' fc:\windows\system32\7560.dat; g" U& G) F3 {% M9 g j2 {
c:\windows\system32\a0.ext
( j, G( F6 ?& `+ P.
) @: I! O2 t# }. A4 M" r& K% I+ t5 S.& d* ]3 S- E" y; d8 Z
.
& d+ W! ]2 D* T3 k5 sc:\windows\system32\a25.ext8 K, j5 r b1 k9 `( `& }( p8 Q
c:\windows\system32\oko.exe3 g* |8 h# b( d1 `- V' L
c:\windows\system32\msosdohs.dat, G- c3 Z" v: g h0 m5 X4 p
c:\windows\system32\msosdohs00.dll(插入explorer.exe进程)8 }4 `$ F5 M- k
c:\windows\system32\msosdohs01.dll(插入explorer.exe进程)7 v3 ?! m. i& i$ w5 A' g
c:\windows\system32\ttEZZEZZ1044.dll# {8 z; c- W9 }, m2 F* q
c:\windows\system32\ttNNBNNB1047.dll
2 V: g2 }& T# G* K! B4 R2 V: Tc:\windows\system32\txWWQWWQ1006.dll" f2 z$ Z, h# O5 t ` G8 _
c:\zzz.sys(加载后自动删除); }$ p0 G& K- l; K
c:\windows\system32\drivers\msosfpids32.sys: N' |* Q5 z8 W7 y/ _- m
病毒文件还有不少(见附件图)# `- q5 z. q+ h1 M- y! u. \
, O- u# x/ |& j) k1 S9 Q2、感染硬盘中的.exe、.htm、html文件;删除c:\windows\system32\verclsid.exe;替换C:\windows\explorer.exe。
9 C& y' y4 e' J% ~, S* `5 r0 e( \) s# g, @
MSDOS.BAT感染型下载器的病毒下载地址: V% G% O2 J' c
http://58.53.128.37/a0.exe+ ?' K+ Z5 V8 T
http://58.53.128.37/a1.exe* D! x- E& w: k$ ^" Q8 U
http://58.53.128.37/a2.exe U1 R& E I# @8 R5 ?3 @% w( f, c
http://58.53.128.37/a3.exe3 |" H2 B9 o; \2 s. B# U
http://58.53.128.37/a4.exe9 A% a- e7 b' z" N O/ T
http://58.53.128.37/a5.exe
* r8 h- Y% V/ `http://58.53.128.37/a6.exe# F4 I2 |) ` J( J, f' d- w
http://58.53.128.37/a7.exe$ @8 T1 y+ i+ Z- ^) o
http://58.53.128.37/a8.exe
% K" W4 l! a) q5 O* hhttp://58.53.128.37/a9.exe7 P2 n I3 M% g$ w3 Z$ }
http://58.53.128.37/a10.exe. F" W4 u, h3 M7 A3 |- o5 y4 L) P/ F
http://58.53.128.37/a11.exe
9 O8 W" V2 X/ [' N2 R. m1 k; ehttp://58.53.128.37/a12.exe
/ h6 s% e l5 e4 A" uhttp://58.53.128.37/a13.exe' D5 V! C% Q8 {: k& }
http://58.53.128.37/a14.exe
1 A9 F# A8 T- |3 k8 ]1 ~3 [0 Vhttp://58.53.128.37/a15.exe* p Z1 Y6 U5 u, V/ i4 K; _
http://58.53.128.37/a16.exe
7 H ?9 f* D% r" Thttp://58.53.128.37/a17.exe
6 l, v% z. {+ B6 X. }) O3 m3 o6 dhttp://58.53.128.37/a18.exe
- G; c8 v7 R2 _; i2 Y- x! s2 khttp://58.53.128.37/a19.exe
2 n# F, H4 F* h/ G7 A8 o9 C4 B6 l& qhttp://58.53.128.37/a20.exe
1 E8 ]+ k. Y! K2 ]. Vhttp://58.53.128.37/a21.exe
( A) \8 ^% w; T# V: w7 ^http://58.53.128.37/a22.exe; g( T7 ?) Q6 S: r+ K5 p# n
http://58.53.128.37/a23.exe
3 @" T* F0 n3 F; |0 o1 r+ [http://58.53.128.37/a24.exe
* j1 A y* \% C' r9 c( b% V# h9 E! ]http://58.53.128.37/a25.exe
( S3 L+ S' n( Z& |9 @. G; nhttp://58.53.128.37/oko.exe
9 S. U* l0 e+ C0 @0 `. ?9 F$ W8 j8 n
查杀难点:
- e4 ]1 f0 T. M" f& o+ g! P) m4 b1、c:\windows\system32\75132.dat和c:\windows\system32\urjuujdw.hew两个进程相互配合,指挥c:\windows\system32\msosdohs00.dll和c:\windows\system32\msosdohs01.dll插入系统核心进程、explorer.exe进程以及所有应用程序进程(包括安全软件的进程也被插入)。
( Q+ X( @+ s0 r* g3 W" I& z
1 v3 j9 b4 A7 L1 j+ b/ C2、explorer.exe被病毒替换。如果强制删除这个被病毒替换explorer.exe,及上面提到的病毒文件,桌面消失。即使注销当前用户,重新登录系统,也无法显示桌面。
- Y6 h% `0 _3 O1 x3 m/ p2 f+ _( H1 m! S
3、此毒感染硬盘所有分区中的.exe、.htm、html文件。8 K Z4 u9 J9 ?. E5 R0 y
# S8 ~: {" D9 y
4、c:\windows\system32\文件夹、c:\windows\system32\drivers\文件夹、c:\windows\tasks\文件夹、当前用户临时文件夹中都有病毒文件。3 d9 K# U' W. c( k
3 h1 `( n+ L% W- x& q D) a4 A
5、此毒貌似是针对SRENG的。中这堆病毒后,用户试图运行SRENG扫日志时,SRENG即刻被病毒删除。2 J, }8 e4 Z o7 s1 F2 e
! {: D- V$ k" ]) D6 X0 U. Z
我在影子系统(全影模式)中运行过这个病毒样本,用Tiny全程监控可以获得此病毒群感染系统的全部信息(见附件图)。有了这些信息,可以用IceSword手工删除那堆病毒文件。被感染的.exe、.htm、html等,需用杀软处理(量太大)。" w" R; S1 P- O0 c/ F( | l+ M0 X
: G2 J0 r) ]# ~8 ?另:有人说此毒可以穿透影子系统2.8。全影系统运行病毒样本,重启后,被病毒替换explorer.exe以及病毒驱动C:\zzz.sys还在系统中。但是,我在全影模式下运行此毒,没有发现这个现象。重启后,系统是干净的。 |
|
/1 
IP卡
狗仔卡
发表于 2008-4-9 15:59:34
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡