TA的每日心情 | 擦汗
7 天前 |
|---|
签到天数: 2402 天 [LV.Master]伴坛终老
|
此毒查杀比较难。
' V. i- \+ }" I; ]' x+ T) G
% g0 K" U7 R1 X3 t& a- V我得到的原始“火种”是一个MSDOS.BAT文件。当时,用瑞星20.38.60扫此样本,瑞星不报毒。已将此样本提交瑞星公司。
3 U$ R) _( K0 q8 U5 H9 o5 f0 a中此病毒群后,MSDOS.BAT位于硬盘各个分区的根目录下(还有一个指向MSDOS.BAT的autorun.inf)。MSDOS.BAT运行后访问网络:58.53.128.37,下载大量病毒。
, T! ~8 f% Y, K. t/ i5 L" D# B0 U
1 M/ b. h2 D' s5 _. m- |- I- k$ G1、释放/下载的主要病毒文件:
/ ]3 Y( m y7 F* O# kc:\windows\tasks\0x01xx8p.exe7 [2 o$ `. D" u2 A5 E
c:\windows\tasks\explorer.ext
6 A* w- K$ U, k. t& O4 j& yc:\windows\system32\7560.dat7 S' M, j1 z: B5 R. a6 Q
c:\windows\system32\a0.ext9 y9 s7 Q, J) Y6 q( ~7 }8 O$ I
.4 r# u7 s* b; k
.& t% F% i; k2 t3 Y% z1 J9 Z* s, d
.
# s- b! n3 U$ Q7 x; _c:\windows\system32\a25.ext
, E( q& ?" f+ T- l5 v) E- M7 {c:\windows\system32\oko.exe3 B! H1 B2 H" k/ O: l' O
c:\windows\system32\msosdohs.dat
+ R J7 G: A9 hc:\windows\system32\msosdohs00.dll(插入explorer.exe进程)6 \: d& U C+ `0 n
c:\windows\system32\msosdohs01.dll(插入explorer.exe进程)4 k0 ]# Q* z# L
c:\windows\system32\ttEZZEZZ1044.dll
2 m. y: [7 N3 nc:\windows\system32\ttNNBNNB1047.dll
+ w0 ]9 U: O i9 m* L0 l1 E+ ]c:\windows\system32\txWWQWWQ1006.dll
$ i# h. W6 O; N6 S& hc:\zzz.sys(加载后自动删除)
5 U3 E. H# a, F1 N8 s L' ~c:\windows\system32\drivers\msosfpids32.sys/ p3 I2 Z2 Z, H7 A; H; r
病毒文件还有不少(见附件图)/ q' M9 E; B" p6 y
1 q& D3 j6 w- p
2、感染硬盘中的.exe、.htm、html文件;删除c:\windows\system32\verclsid.exe;替换C:\windows\explorer.exe。9 i$ T# \9 Z2 g
9 U! k& S( F' u+ _2 B& s* i& m
MSDOS.BAT感染型下载器的病毒下载地址:
; B8 e' E7 q$ m) G% n* r( N, D, Qhttp://58.53.128.37/a0.exe
3 D/ R# P* {8 z, A, U1 F C; c3 s/ D) `) `http://58.53.128.37/a1.exe6 a" L3 R! F% p- B- D8 T# Z( ?% O
http://58.53.128.37/a2.exe
7 ~ V' p, I( b l Ihttp://58.53.128.37/a3.exe/ W; ~8 X- `( C% i; N1 p1 _
http://58.53.128.37/a4.exe0 Q+ V; O' O g- ^( V0 R2 g; s
http://58.53.128.37/a5.exe; y0 d( ~3 q6 S& d1 S! R! Y. m$ Q! {- T8 E
http://58.53.128.37/a6.exe4 q# ~. q0 }2 s Q! M' k
http://58.53.128.37/a7.exe8 D$ l3 b: l: R! V
http://58.53.128.37/a8.exe
. N4 B3 Y- Y, E" n, t' g- Vhttp://58.53.128.37/a9.exe) m& i' ^9 Z- p' M
http://58.53.128.37/a10.exe
. f6 ` v0 U( W! Y, U9 `http://58.53.128.37/a11.exe0 e! z: F2 u; `% I; a2 k K) I/ k4 D
http://58.53.128.37/a12.exe
1 t# S2 X+ d# D% t* }( q& w& zhttp://58.53.128.37/a13.exe
' w% s7 Z( v. ehttp://58.53.128.37/a14.exe
) a/ N9 Y' s/ Z4 ~% a4 x" Z$ vhttp://58.53.128.37/a15.exe
# g- y7 l: M H' l s" A1 [http://58.53.128.37/a16.exe: B4 K2 k* \) Q3 N+ P
http://58.53.128.37/a17.exe$ ~4 ?2 v- s" r0 _2 [& c7 U
http://58.53.128.37/a18.exe# `; C# |& F% f0 F
http://58.53.128.37/a19.exe7 q# U9 Y6 @! Y1 |# t- w; N# _
http://58.53.128.37/a20.exe
0 {9 E+ i$ |& V# o9 m, I& @( A! [http://58.53.128.37/a21.exe
; @/ F) x( Y% uhttp://58.53.128.37/a22.exe
+ g/ S! Z* q7 mhttp://58.53.128.37/a23.exe
j; @/ o+ u+ M6 ^. B( \; qhttp://58.53.128.37/a24.exe
7 S- N' y/ E5 ^' ^7 i7 E, U! b. o1 Hhttp://58.53.128.37/a25.exe* V W. O9 p1 f
http://58.53.128.37/oko.exe
5 v/ h1 h$ H, \, K2 Q$ A2 j9 R, g7 O% j% |/ ]
查杀难点:
* }7 f& a) |; K0 h% P1、c:\windows\system32\75132.dat和c:\windows\system32\urjuujdw.hew两个进程相互配合,指挥c:\windows\system32\msosdohs00.dll和c:\windows\system32\msosdohs01.dll插入系统核心进程、explorer.exe进程以及所有应用程序进程(包括安全软件的进程也被插入)。
! A( Q# C4 i& N( }9 e$ L
4 h! p+ j; e; W& _& i5 `2、explorer.exe被病毒替换。如果强制删除这个被病毒替换explorer.exe,及上面提到的病毒文件,桌面消失。即使注销当前用户,重新登录系统,也无法显示桌面。) u5 p( Z% t7 X# ~1 p
/ w% m0 f- R$ P, n6 P& f3、此毒感染硬盘所有分区中的.exe、.htm、html文件。" @0 y s& z5 F' G4 g
. r* G C/ y# r0 B. U9 V6 k' h% t4、c:\windows\system32\文件夹、c:\windows\system32\drivers\文件夹、c:\windows\tasks\文件夹、当前用户临时文件夹中都有病毒文件。& }5 C0 J2 u( b& \
- R5 v, S1 a- Z! f* Z0 m( V' ~& ]5、此毒貌似是针对SRENG的。中这堆病毒后,用户试图运行SRENG扫日志时,SRENG即刻被病毒删除。
, Q# r$ j& E4 C d
* x) F$ ]1 U8 ]我在影子系统(全影模式)中运行过这个病毒样本,用Tiny全程监控可以获得此病毒群感染系统的全部信息(见附件图)。有了这些信息,可以用IceSword手工删除那堆病毒文件。被感染的.exe、.htm、html等,需用杀软处理(量太大)。
- T* q( y% \, @! Z3 x9 e0 L7 T
G* N( @7 v) O ~% _8 j另:有人说此毒可以穿透影子系统2.8。全影系统运行病毒样本,重启后,被病毒替换explorer.exe以及病毒驱动C:\zzz.sys还在系统中。但是,我在全影模式下运行此毒,没有发现这个现象。重启后,系统是干净的。 |
|
/1 
IP卡
狗仔卡
发表于 2008-4-9 15:59:34
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡