TA的每日心情 | 奋斗 12 小时前 |
---|
签到天数: 2384 天 [LV.Master]伴坛终老
|
此毒查杀比较难。
; T- f9 \) o: w5 p3 Q& d; B9 K
' k4 c B2 b* u! R我得到的原始“火种”是一个MSDOS.BAT文件。当时,用瑞星20.38.60扫此样本,瑞星不报毒。已将此样本提交瑞星公司。
% ?1 G. ]# y$ @( }中此病毒群后,MSDOS.BAT位于硬盘各个分区的根目录下(还有一个指向MSDOS.BAT的autorun.inf)。MSDOS.BAT运行后访问网络:58.53.128.37,下载大量病毒。& E! G! L2 g" U& p$ S
4 Q! Y6 U# a. N/ O& |
+ Q2 o/ O9 C% Q# C
1、释放/下载的主要病毒文件:
+ P* p% ~9 N6 oc:\windows\tasks\0x01xx8p.exe
# D* _$ F$ T$ s- p( L4 Gc:\windows\tasks\explorer.ext
9 _. A0 A& |+ h- r2 T- ~7 nc:\windows\system32\7560.dat1 A2 s/ f- G& p5 Y. l# g, v
c:\windows\system32\a0.ext
! @; q9 v/ k8 b/ X0 I4 p.: ]) @% C; v. i/ _
.
$ R. A' C, j5 E5 f2 B3 F.9 u/ W+ i; @/ g/ v# V
c:\windows\system32\a25.ext5 e F5 u1 |0 j9 Z& J
c:\windows\system32\oko.exe
( n* k% M3 j9 n4 ~5 v3 ]3 F3 ^9 dc:\windows\system32\msosdohs.dat$ E# S# c6 b% ?# \( _& v
c:\windows\system32\msosdohs00.dll(插入explorer.exe进程)/ L. ^9 Q7 y7 t5 e; p
c:\windows\system32\msosdohs01.dll(插入explorer.exe进程)
1 b( i* z5 \0 }c:\windows\system32\ttEZZEZZ1044.dll
& |: j3 ` v* p5 _# m$ xc:\windows\system32\ttNNBNNB1047.dll
+ `# ^0 p, o6 z) H7 W/ y7 s# qc:\windows\system32\txWWQWWQ1006.dll5 Q+ d/ q9 G: S4 {5 y X0 l+ D
c:\zzz.sys(加载后自动删除). `0 i! D" w# P, X2 M+ _2 y
c:\windows\system32\drivers\msosfpids32.sys
9 c% h% ?# h( L8 p, G" x, c7 p病毒文件还有不少(见附件图)0 ?" G- G0 {( n- L, ^$ u
9 v0 f" t: u9 s& }. r2、感染硬盘中的.exe、.htm、html文件;删除c:\windows\system32\verclsid.exe;替换C:\windows\explorer.exe。
5 f8 w2 I, ]: q" P$ n% Q* g' Z5 Y3 Z& h. V: D0 W: M$ {6 D4 x
MSDOS.BAT感染型下载器的病毒下载地址:
! \5 s/ w0 N, |0 o) ehttp://58.53.128.37/a0.exe
# K/ w8 }4 i) c1 |. ?8 x; g7 g1 k3 J thttp://58.53.128.37/a1.exe
% X4 G& U: w' ]* _ O! @7 fhttp://58.53.128.37/a2.exe
5 J& D! K$ K2 i ohttp://58.53.128.37/a3.exe
& S: i: a$ }7 B# fhttp://58.53.128.37/a4.exe X4 ~0 ~3 \7 {" N/ n& k+ a8 z" H; p
http://58.53.128.37/a5.exe
/ f6 E$ p- X) P, x( Yhttp://58.53.128.37/a6.exe
; M% c7 V$ V/ j3 d1 h& \http://58.53.128.37/a7.exe
, q9 Z+ _( w% C* e, t% W- [http://58.53.128.37/a8.exe
6 w- |7 Z- K2 x4 ihttp://58.53.128.37/a9.exe# n+ F3 E+ x, y4 x
http://58.53.128.37/a10.exe$ b, O6 H8 M& R9 V
http://58.53.128.37/a11.exe+ M# S! p% }0 u/ w4 ]
http://58.53.128.37/a12.exe
% t, b3 s4 Y/ H$ y$ s6 }- G4 fhttp://58.53.128.37/a13.exe
: V4 k: y* \; y' whttp://58.53.128.37/a14.exe
1 Q n. H; V* k: K1 b1 Zhttp://58.53.128.37/a15.exe
7 P0 T# }8 b0 S; ~) Z8 v( k. L8 D, f- vhttp://58.53.128.37/a16.exe' k8 d& [+ m, ], u) o7 L% q
http://58.53.128.37/a17.exe
3 ] |- D# n+ O$ uhttp://58.53.128.37/a18.exe _6 J' h; g) Z5 y6 J/ g
http://58.53.128.37/a19.exe
4 z8 N+ E( }1 A& t& mhttp://58.53.128.37/a20.exe6 q p% M- k4 f5 k0 C
http://58.53.128.37/a21.exe
, D( k, B+ o( d; J" Fhttp://58.53.128.37/a22.exe7 ^ a" e. F' C
http://58.53.128.37/a23.exe! }* V. B: Q" Q/ \7 n! V5 i
http://58.53.128.37/a24.exe% f% i! w1 g6 O1 ]1 `- Q
http://58.53.128.37/a25.exe
5 g3 B2 \1 g8 [2 x9 i# R! ~http://58.53.128.37/oko.exe1 `1 I5 C( t5 n) b+ L
4 j1 ~* F; U( A4 D1 r$ q/ ]
查杀难点:
3 N: @8 X# C4 d6 _( ?7 i1、c:\windows\system32\75132.dat和c:\windows\system32\urjuujdw.hew两个进程相互配合,指挥c:\windows\system32\msosdohs00.dll和c:\windows\system32\msosdohs01.dll插入系统核心进程、explorer.exe进程以及所有应用程序进程(包括安全软件的进程也被插入)。
# [( K0 E1 ^. {/ R
8 O; j2 D6 Z# s: B+ ]9 }- {2、explorer.exe被病毒替换。如果强制删除这个被病毒替换explorer.exe,及上面提到的病毒文件,桌面消失。即使注销当前用户,重新登录系统,也无法显示桌面。
- {$ W4 a/ i4 u% A, B. y/ O0 [3 X. h$ B: R7 @
3、此毒感染硬盘所有分区中的.exe、.htm、html文件。
, \. R6 q1 D9 w1 d! f q
# o& O+ l' y2 H! Y% d& w4、c:\windows\system32\文件夹、c:\windows\system32\drivers\文件夹、c:\windows\tasks\文件夹、当前用户临时文件夹中都有病毒文件。
' {( |! Q! H" z% s# c4 C
9 Y9 n4 W2 E9 u: A1 e( t/ h/ C5、此毒貌似是针对SRENG的。中这堆病毒后,用户试图运行SRENG扫日志时,SRENG即刻被病毒删除。
6 v" I9 B7 t+ W( u3 A3 Y% a
3 E+ q5 ?$ n5 b# F: a I. Q) M3 ]我在影子系统(全影模式)中运行过这个病毒样本,用Tiny全程监控可以获得此病毒群感染系统的全部信息(见附件图)。有了这些信息,可以用IceSword手工删除那堆病毒文件。被感染的.exe、.htm、html等,需用杀软处理(量太大)。" N. I: J, ^# t9 ]7 q& S. R; o" w0 ]" u# q
( {# g: g8 W& a. T% C- O% Z
另:有人说此毒可以穿透影子系统2.8。全影系统运行病毒样本,重启后,被病毒替换explorer.exe以及病毒驱动C:\zzz.sys还在系统中。但是,我在全影模式下运行此毒,没有发现这个现象。重启后,系统是干净的。 |
|