TA的每日心情 | 擦汗
前天 09:05 |
|---|
签到天数: 2402 天 [LV.Master]伴坛终老
|
此毒查杀比较难。
3 B4 \' m5 @1 Q+ G; p) H H1 S' G, v6 o7 k5 x' w" [
我得到的原始“火种”是一个MSDOS.BAT文件。当时,用瑞星20.38.60扫此样本,瑞星不报毒。已将此样本提交瑞星公司。- V X. l+ K3 z; f7 W# n) @& P
中此病毒群后,MSDOS.BAT位于硬盘各个分区的根目录下(还有一个指向MSDOS.BAT的autorun.inf)。MSDOS.BAT运行后访问网络:58.53.128.37,下载大量病毒。( c! q) \' J+ b# Z5 H
. h( a9 K* |# J6 Z) ]; j
0 z) }( n" @' E$ D1、释放/下载的主要病毒文件:
( W$ ^: f6 X/ s) t6 H ~. xc:\windows\tasks\0x01xx8p.exe4 |1 N3 l ^+ @4 A! ~7 w6 O+ J
c:\windows\tasks\explorer.ext2 ^( r3 E* N, \+ j( A3 `; x- i
c:\windows\system32\7560.dat, P+ x" g* e7 x
c:\windows\system32\a0.ext1 Y. m/ X! {1 v' A" \: t
.* M5 A; z, R4 p
.
* s* [' i; H. W.
. j& L; c; u7 D( K b3 d' vc:\windows\system32\a25.ext- _: X! ~, \5 S" Z
c:\windows\system32\oko.exe1 |: H+ E }$ E; G
c:\windows\system32\msosdohs.dat
& \. i1 z/ f* z2 L. Ac:\windows\system32\msosdohs00.dll(插入explorer.exe进程)
* v' [2 \7 B9 z9 v5 Nc:\windows\system32\msosdohs01.dll(插入explorer.exe进程)1 ^, r/ A9 a3 E1 p* {8 U
c:\windows\system32\ttEZZEZZ1044.dll; c( w2 w1 x- R$ [) Y
c:\windows\system32\ttNNBNNB1047.dll
* C1 y9 L. a8 f- G% x, ^; tc:\windows\system32\txWWQWWQ1006.dll
% D( P. u) x o; W6 Yc:\zzz.sys(加载后自动删除)
# U/ v& O+ p! r3 @; vc:\windows\system32\drivers\msosfpids32.sys
% k U1 x1 q1 ?病毒文件还有不少(见附件图)
8 J& f/ }4 }1 I: ^ g. E; |9 R) d) f0 F! x' I! E: M
2、感染硬盘中的.exe、.htm、html文件;删除c:\windows\system32\verclsid.exe;替换C:\windows\explorer.exe。" i9 B* e! U- |$ G
7 y2 s( m$ d/ y8 f
MSDOS.BAT感染型下载器的病毒下载地址:
* v' r; `! ^* P F0 D2 y; E+ ~http://58.53.128.37/a0.exe8 m1 O+ C" Q% g& G
http://58.53.128.37/a1.exe
+ M; q- x: g$ L. dhttp://58.53.128.37/a2.exe
# Q# a8 c* S! o* l( Chttp://58.53.128.37/a3.exe! @. T2 V' p8 p, |2 Q/ \+ A
http://58.53.128.37/a4.exe! Y4 _2 r+ c# C8 X. c
http://58.53.128.37/a5.exe
, {2 E' H) [$ K) a; Bhttp://58.53.128.37/a6.exe2 a. b' {/ }6 `$ h* E5 s% \
http://58.53.128.37/a7.exe: i! ]& V& [9 n9 i- M! e
http://58.53.128.37/a8.exe$ V9 w9 S- b8 m1 h8 L. m9 H
http://58.53.128.37/a9.exe
% T( \' N' I% G: ^, vhttp://58.53.128.37/a10.exe7 {! m b4 G2 V. e* c% r
http://58.53.128.37/a11.exe
* f. C* c3 d* S1 dhttp://58.53.128.37/a12.exe0 k! a4 m1 h) {& V- t3 P
http://58.53.128.37/a13.exe
! N/ Z: X/ \* b& |$ Z% ]http://58.53.128.37/a14.exe. ~0 h g$ D$ ~$ a9 f J
http://58.53.128.37/a15.exe0 R- b! g0 J! Z5 H. r9 o: G
http://58.53.128.37/a16.exe
4 D4 Q7 y/ K4 d7 y6 P$ ~; hhttp://58.53.128.37/a17.exe
( i7 `+ A8 `+ `0 u7 q" M2 Xhttp://58.53.128.37/a18.exe
3 c8 L1 b! s: D7 Y1 s, xhttp://58.53.128.37/a19.exe8 z$ [( z* e2 f8 z
http://58.53.128.37/a20.exe: R, N# C( l0 k) }& F2 Y' _
http://58.53.128.37/a21.exe
1 {; u% W W$ B3 U' X5 chttp://58.53.128.37/a22.exe
/ D1 f4 k% c+ I ]http://58.53.128.37/a23.exe1 M: `* @( a: u5 Z" q9 Q! o
http://58.53.128.37/a24.exe8 L2 W5 q1 k: g' b5 O
http://58.53.128.37/a25.exe
V3 }: K; t$ [: `# Jhttp://58.53.128.37/oko.exe
7 {- l% T: `( S5 w6 o( h: f$ a* J- P" _6 ~! \, d
查杀难点:
\3 f/ S& X$ B% @- V" _5 ~6 j1、c:\windows\system32\75132.dat和c:\windows\system32\urjuujdw.hew两个进程相互配合,指挥c:\windows\system32\msosdohs00.dll和c:\windows\system32\msosdohs01.dll插入系统核心进程、explorer.exe进程以及所有应用程序进程(包括安全软件的进程也被插入)。
* l. h1 n% N9 X4 _% C' H
- z& ~/ b" Z0 B( z# K; z( e2、explorer.exe被病毒替换。如果强制删除这个被病毒替换explorer.exe,及上面提到的病毒文件,桌面消失。即使注销当前用户,重新登录系统,也无法显示桌面。
5 K( t, E% f% I' K$ k9 K- [7 _3 h e3 R! p# t+ N# Y2 |7 o9 z, @
3、此毒感染硬盘所有分区中的.exe、.htm、html文件。2 E2 n8 h7 S0 f6 D
" X% X' p) ~2 c" @, i1 e4、c:\windows\system32\文件夹、c:\windows\system32\drivers\文件夹、c:\windows\tasks\文件夹、当前用户临时文件夹中都有病毒文件。" y. }: T, S) | t
% `/ Z" u5 T8 m' f0 Z e$ \5、此毒貌似是针对SRENG的。中这堆病毒后,用户试图运行SRENG扫日志时,SRENG即刻被病毒删除。
4 w, l, L) z6 @2 l
6 R$ J9 P4 y6 l7 j6 u我在影子系统(全影模式)中运行过这个病毒样本,用Tiny全程监控可以获得此病毒群感染系统的全部信息(见附件图)。有了这些信息,可以用IceSword手工删除那堆病毒文件。被感染的.exe、.htm、html等,需用杀软处理(量太大)。
9 e& H4 n1 F! Q; g) N* s# T2 N$ y5 x& b
另:有人说此毒可以穿透影子系统2.8。全影系统运行病毒样本,重启后,被病毒替换explorer.exe以及病毒驱动C:\zzz.sys还在系统中。但是,我在全影模式下运行此毒,没有发现这个现象。重启后,系统是干净的。 |
|
/1 
IP卡
狗仔卡
发表于 2008-4-9 15:59:34
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡