TA的每日心情 | 擦汗
5 天前 |
|---|
签到天数: 2402 天 [LV.Master]伴坛终老
|
此毒查杀比较难。. S ]* Q6 x+ ]* T T# O
* b+ ^! r, d+ |, Y) D O' S我得到的原始“火种”是一个MSDOS.BAT文件。当时,用瑞星20.38.60扫此样本,瑞星不报毒。已将此样本提交瑞星公司。; ^! \ [# L- x- V
中此病毒群后,MSDOS.BAT位于硬盘各个分区的根目录下(还有一个指向MSDOS.BAT的autorun.inf)。MSDOS.BAT运行后访问网络:58.53.128.37,下载大量病毒。 H/ t4 ^4 h5 K5 a+ L
& T7 r' g8 ?& a7 Q( W
# ^% p' h1 d; v- U
1、释放/下载的主要病毒文件:
! l2 [1 {9 ]% vc:\windows\tasks\0x01xx8p.exe/ e; x' C' h: e2 C/ h4 u. C. Z7 V
c:\windows\tasks\explorer.ext
4 | K0 t" `# r c5 M Hc:\windows\system32\7560.dat
" ~! Q |# L, r( @; lc:\windows\system32\a0.ext/ C( j8 d$ {+ w. K
.) Y& a) l8 m( k+ M3 x& s
., o! {; h$ A" M0 e
.7 v. W6 A# n7 X8 q; t
c:\windows\system32\a25.ext
' B- ^2 i5 N1 Lc:\windows\system32\oko.exe9 _+ D4 ~$ ]3 n( m9 [0 l! ~
c:\windows\system32\msosdohs.dat! n7 r. S6 A7 d
c:\windows\system32\msosdohs00.dll(插入explorer.exe进程)
) t+ F1 Y0 U0 ^. X) C y% f; \: Wc:\windows\system32\msosdohs01.dll(插入explorer.exe进程)& ~" e( B5 c2 ?7 V
c:\windows\system32\ttEZZEZZ1044.dll; k7 P j: g+ b3 G, J, O5 h
c:\windows\system32\ttNNBNNB1047.dll1 f# b6 `; r p- @
c:\windows\system32\txWWQWWQ1006.dll
$ Q6 B( o" h! J' E4 \* G1 E. {4 ac:\zzz.sys(加载后自动删除)& `5 J- S' c# ]/ E/ y) @
c:\windows\system32\drivers\msosfpids32.sys: ]; P6 w* u% |! F; [
病毒文件还有不少(见附件图)! a0 z- [- L. e1 S. k6 o/ l
- M% c6 n: |1 r" Z) D: \; z
2、感染硬盘中的.exe、.htm、html文件;删除c:\windows\system32\verclsid.exe;替换C:\windows\explorer.exe。; ^* I2 f) ^) g+ k$ I
/ z% G% a$ o2 Y6 P# {
MSDOS.BAT感染型下载器的病毒下载地址:
: @" J2 N0 j8 O2 l3 p! e/ uhttp://58.53.128.37/a0.exe# y$ f! M$ V! t7 D7 P
http://58.53.128.37/a1.exe. @3 e2 c+ @5 B% S' l' N
http://58.53.128.37/a2.exe
: W2 ~" b6 }% k: phttp://58.53.128.37/a3.exe
7 t7 m) T5 h6 I% x! Q5 t1 C! nhttp://58.53.128.37/a4.exe
2 l, V0 U, `$ n2 dhttp://58.53.128.37/a5.exe
& C" g% i; k! [& B, t% nhttp://58.53.128.37/a6.exe
0 {+ i4 S( I1 N: V4 N4 qhttp://58.53.128.37/a7.exe, O: A) s; [, A/ O3 Y6 N7 i @) u
http://58.53.128.37/a8.exe
: S# f8 \3 N6 j5 E# n9 Jhttp://58.53.128.37/a9.exe# }) [$ W# q, ~! B& T* ~0 i
http://58.53.128.37/a10.exe4 G$ q$ F6 G( B* o6 U
http://58.53.128.37/a11.exe$ U0 a$ ]8 U4 X e/ h$ {
http://58.53.128.37/a12.exe k: U9 @; O8 u7 k2 q5 l
http://58.53.128.37/a13.exe
0 u9 g0 }6 S$ L! V" }% jhttp://58.53.128.37/a14.exe$ u3 V- f$ O) V
http://58.53.128.37/a15.exe
4 a8 A" X g& _- E5 x7 a5 Y9 Ghttp://58.53.128.37/a16.exe, f2 D. O0 k: g7 j2 K: e
http://58.53.128.37/a17.exe: e- X5 o1 e; w/ ~$ U1 T
http://58.53.128.37/a18.exe
0 x* r+ B$ m' P# whttp://58.53.128.37/a19.exe& C% ]# @* R1 ?! c8 r# f
http://58.53.128.37/a20.exe, B7 O4 B8 R) N" j( g1 F" b
http://58.53.128.37/a21.exe- Y, o4 U1 V# q( \, R, w8 A$ D t
http://58.53.128.37/a22.exe
. m' [; U! s! L" y5 f3 U$ Y9 s. Yhttp://58.53.128.37/a23.exe
# f/ p2 v- \+ chttp://58.53.128.37/a24.exe
: F% O' Y$ l! \7 N9 H# l- ~- Ghttp://58.53.128.37/a25.exe
) `3 Y& }- f3 @/ n( fhttp://58.53.128.37/oko.exe
' j! W2 B. a$ b0 g6 q8 J1 p6 e: Y
查杀难点:
* ]; Q7 ]- `. L, b9 |" s1、c:\windows\system32\75132.dat和c:\windows\system32\urjuujdw.hew两个进程相互配合,指挥c:\windows\system32\msosdohs00.dll和c:\windows\system32\msosdohs01.dll插入系统核心进程、explorer.exe进程以及所有应用程序进程(包括安全软件的进程也被插入)。4 {$ y1 J. K9 a' Y+ F
2 _' E1 h P2 p2 E4 X$ s, Y
2、explorer.exe被病毒替换。如果强制删除这个被病毒替换explorer.exe,及上面提到的病毒文件,桌面消失。即使注销当前用户,重新登录系统,也无法显示桌面。. g% X+ P6 `5 G% h* g1 I
. l7 c. z2 l o& u' V, e1 s3、此毒感染硬盘所有分区中的.exe、.htm、html文件。
' i+ f2 j+ s- d: l& Z. i6 z$ {
* {5 X! {$ G$ J7 [; N7 m$ O4、c:\windows\system32\文件夹、c:\windows\system32\drivers\文件夹、c:\windows\tasks\文件夹、当前用户临时文件夹中都有病毒文件。
9 `- q5 w2 g. z2 N% X! ~3 D, h
4 O4 i& L* a: @6 _$ R$ c' _7 b5、此毒貌似是针对SRENG的。中这堆病毒后,用户试图运行SRENG扫日志时,SRENG即刻被病毒删除。
, g @2 z7 ^) g% u- W V3 c( V: B( V% o+ z& m5 S/ P# V( U$ ?
我在影子系统(全影模式)中运行过这个病毒样本,用Tiny全程监控可以获得此病毒群感染系统的全部信息(见附件图)。有了这些信息,可以用IceSword手工删除那堆病毒文件。被感染的.exe、.htm、html等,需用杀软处理(量太大)。5 h* V. R9 m$ _0 h# b* [
! s2 m, X0 j- P; T另:有人说此毒可以穿透影子系统2.8。全影系统运行病毒样本,重启后,被病毒替换explorer.exe以及病毒驱动C:\zzz.sys还在系统中。但是,我在全影模式下运行此毒,没有发现这个现象。重启后,系统是干净的。 |
|
/1 
IP卡
狗仔卡
发表于 2008-4-9 15:59:34
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡