下沙论坛

 找回密码
 注册论坛(EC通行证)

QQ登录

QQ登录

下沙大学生网QQ群8(千人群)
群号:6490324 ,验证:下沙大学生网。
用手机发布本地信息严禁群发,各种宣传贴请发表在下沙信息版块有问必答,欢迎提问 提升会员等级,助你宣传
新会员必读 大学生的论坛下沙新生必读下沙币获得方法及使用
查看: 7196|回复: 0
打印 上一主题 下一主题

关于感染型下载器MSDOS.BAT

[复制链接]
  • TA的每日心情
    奋斗
    12 小时前
  • 签到天数: 2384 天

    [LV.Master]伴坛终老

    跳转到指定楼层
    1
    发表于 2008-4-9 15:59:34 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
    此毒查杀比较难。
    ; T- f9 \) o: w5 p3 Q& d; B9 K
    ' k4 c  B2 b* u! R我得到的原始“火种”是一个MSDOS.BAT文件。当时,用瑞星20.38.60扫此样本,瑞星不报毒。已将此样本提交瑞星公司。
    % ?1 G. ]# y$ @( }中此病毒群后,MSDOS.BAT位于硬盘各个分区的根目录下(还有一个指向MSDOS.BAT的autorun.inf)。MSDOS.BAT运行后访问网络:58.53.128.37,下载大量病毒。& E! G! L2 g" U& p$ S
    4 Q! Y6 U# a. N/ O& |
    + Q2 o/ O9 C% Q# C
    1、释放/下载的主要病毒文件:
    + P* p% ~9 N6 oc:\windows\tasks\0x01xx8p.exe
    # D* _$ F$ T$ s- p( L4 Gc:\windows\tasks\explorer.ext
    9 _. A0 A& |+ h- r2 T- ~7 nc:\windows\system32\7560.dat1 A2 s/ f- G& p5 Y. l# g, v
    c:\windows\system32\a0.ext
    ! @; q9 v/ k8 b/ X0 I4 p.: ]) @% C; v. i/ _
    .
    $ R. A' C, j5 E5 f2 B3 F.9 u/ W+ i; @/ g/ v# V
    c:\windows\system32\a25.ext5 e  F5 u1 |0 j9 Z& J
    c:\windows\system32\oko.exe
    ( n* k% M3 j9 n4 ~5 v3 ]3 F3 ^9 dc:\windows\system32\msosdohs.dat$ E# S# c6 b% ?# \( _& v
    c:\windows\system32\msosdohs00.dll(插入explorer.exe进程)/ L. ^9 Q7 y7 t5 e; p
    c:\windows\system32\msosdohs01.dll(插入explorer.exe进程)
    1 b( i* z5 \0 }c:\windows\system32\ttEZZEZZ1044.dll
    & |: j3 `  v* p5 _# m$ xc:\windows\system32\ttNNBNNB1047.dll
    + `# ^0 p, o6 z) H7 W/ y7 s# qc:\windows\system32\txWWQWWQ1006.dll5 Q+ d/ q9 G: S4 {5 y  X0 l+ D
    c:\zzz.sys(加载后自动删除). `0 i! D" w# P, X2 M+ _2 y
    c:\windows\system32\drivers\msosfpids32.sys
    9 c% h% ?# h( L8 p, G" x, c7 p病毒文件还有不少(见附件图)0 ?" G- G0 {( n- L, ^$ u

    9 v0 f" t: u9 s& }. r2、感染硬盘中的.exe、.htm、html文件;删除c:\windows\system32\verclsid.exe;替换C:\windows\explorer.exe。
    5 f8 w2 I, ]: q" P$ n% Q* g' Z5 Y3 Z& h. V: D0 W: M$ {6 D4 x
    MSDOS.BAT感染型下载器的病毒下载地址:
    ! \5 s/ w0 N, |0 o) ehttp://58.53.128.37/a0.exe
    # K/ w8 }4 i) c1 |. ?8 x; g7 g1 k3 J  thttp://58.53.128.37/a1.exe
    % X4 G& U: w' ]* _  O! @7 fhttp://58.53.128.37/a2.exe
    5 J& D! K$ K2 i  ohttp://58.53.128.37/a3.exe
    & S: i: a$ }7 B# fhttp://58.53.128.37/a4.exe  X4 ~0 ~3 \7 {" N/ n& k+ a8 z" H; p
    http://58.53.128.37/a5.exe
    / f6 E$ p- X) P, x( Yhttp://58.53.128.37/a6.exe
    ; M% c7 V$ V/ j3 d1 h& \http://58.53.128.37/a7.exe
    , q9 Z+ _( w% C* e, t% W- [http://58.53.128.37/a8.exe
    6 w- |7 Z- K2 x4 ihttp://58.53.128.37/a9.exe# n+ F3 E+ x, y4 x
    http://58.53.128.37/a10.exe$ b, O6 H8 M& R9 V
    http://58.53.128.37/a11.exe+ M# S! p% }0 u/ w4 ]
    http://58.53.128.37/a12.exe
    % t, b3 s4 Y/ H$ y$ s6 }- G4 fhttp://58.53.128.37/a13.exe
    : V4 k: y* \; y' whttp://58.53.128.37/a14.exe
    1 Q  n. H; V* k: K1 b1 Zhttp://58.53.128.37/a15.exe
    7 P0 T# }8 b0 S; ~) Z8 v( k. L8 D, f- vhttp://58.53.128.37/a16.exe' k8 d& [+ m, ], u) o7 L% q
    http://58.53.128.37/a17.exe
    3 ]  |- D# n+ O$ uhttp://58.53.128.37/a18.exe  _6 J' h; g) Z5 y6 J/ g
    http://58.53.128.37/a19.exe
    4 z8 N+ E( }1 A& t& mhttp://58.53.128.37/a20.exe6 q  p% M- k4 f5 k0 C
    http://58.53.128.37/a21.exe
    , D( k, B+ o( d; J" Fhttp://58.53.128.37/a22.exe7 ^  a" e. F' C
    http://58.53.128.37/a23.exe! }* V. B: Q" Q/ \7 n! V5 i
    http://58.53.128.37/a24.exe% f% i! w1 g6 O1 ]1 `- Q
    http://58.53.128.37/a25.exe
    5 g3 B2 \1 g8 [2 x9 i# R! ~http://58.53.128.37/oko.exe1 `1 I5 C( t5 n) b+ L
    4 j1 ~* F; U( A4 D1 r$ q/ ]
    查杀难点:
    3 N: @8 X# C4 d6 _( ?7 i1、c:\windows\system32\75132.dat和c:\windows\system32\urjuujdw.hew两个进程相互配合,指挥c:\windows\system32\msosdohs00.dll和c:\windows\system32\msosdohs01.dll插入系统核心进程、explorer.exe进程以及所有应用程序进程(包括安全软件的进程也被插入)。
    # [( K0 E1 ^. {/ R
    8 O; j2 D6 Z# s: B+ ]9 }- {2、explorer.exe被病毒替换。如果强制删除这个被病毒替换explorer.exe,及上面提到的病毒文件,桌面消失。即使注销当前用户,重新登录系统,也无法显示桌面。
    - {$ W4 a/ i4 u% A, B. y/ O0 [3 X. h$ B: R7 @
    3、此毒感染硬盘所有分区中的.exe、.htm、html文件。
    , \. R6 q1 D9 w1 d! f  q
    # o& O+ l' y2 H! Y% d& w4、c:\windows\system32\文件夹、c:\windows\system32\drivers\文件夹、c:\windows\tasks\文件夹、当前用户临时文件夹中都有病毒文件。
    ' {( |! Q! H" z% s# c4 C
    9 Y9 n4 W2 E9 u: A1 e( t/ h/ C5、此毒貌似是针对SRENG的。中这堆病毒后,用户试图运行SRENG扫日志时,SRENG即刻被病毒删除。
    6 v" I9 B7 t+ W( u3 A3 Y% a
    3 E+ q5 ?$ n5 b# F: a  I. Q) M3 ]我在影子系统(全影模式)中运行过这个病毒样本,用Tiny全程监控可以获得此病毒群感染系统的全部信息(见附件图)。有了这些信息,可以用IceSword手工删除那堆病毒文件。被感染的.exe、.htm、html等,需用杀软处理(量太大)。" N. I: J, ^# t9 ]7 q& S. R; o" w0 ]" u# q
    ( {# g: g8 W& a. T% C- O% Z
    另:有人说此毒可以穿透影子系统2.8。全影系统运行病毒样本,重启后,被病毒替换explorer.exe以及病毒驱动C:\zzz.sys还在系统中。但是,我在全影模式下运行此毒,没有发现这个现象。重启后,系统是干净的。
    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
    收藏收藏 分享分享 顶 踩

    本版积分规则

    关闭

    下沙大学生网推荐上一条 /1 下一条

    快速回复 返回顶部 返回列表