TA的每日心情 | 擦汗
2025-1-24 09:05 |
|---|
签到天数: 2402 天 [LV.Master]伴坛终老
|
此毒查杀比较难。* u I) F9 ?7 e, k0 S4 _. H ]7 T0 |/ [
8 r5 v& M5 c# y; ]; g. K我得到的原始“火种”是一个MSDOS.BAT文件。当时,用瑞星20.38.60扫此样本,瑞星不报毒。已将此样本提交瑞星公司。; V' d0 I3 a( R9 S; {% [. K
中此病毒群后,MSDOS.BAT位于硬盘各个分区的根目录下(还有一个指向MSDOS.BAT的autorun.inf)。MSDOS.BAT运行后访问网络:58.53.128.37,下载大量病毒。! T6 w1 I" k/ Y* @4 u- g
0 ?4 y3 c2 c, Y7 H- v
6 j. h* \( t% @2 q+ T1 C8 p2 A7 a1、释放/下载的主要病毒文件:
4 p+ p9 i$ O4 B6 P" lc:\windows\tasks\0x01xx8p.exe
! N" n1 I% U: u/ j5 Kc:\windows\tasks\explorer.ext9 R9 V/ q& ~0 v* b6 c4 ?
c:\windows\system32\7560.dat
G; p; f9 K8 x% h: x# _ `c:\windows\system32\a0.ext5 L: o2 t$ }7 W9 ?. k* C) C$ R- y
.
# z* u: D8 u- W, J6 E.* c4 a V7 c" s: P
.* q3 w( j2 X% m
c:\windows\system32\a25.ext
1 ?7 K) Q0 `. |9 c" C sc:\windows\system32\oko.exe# g2 s7 O# E* n
c:\windows\system32\msosdohs.dat
* d A3 R( d& {& h7 g9 i% `' E lc:\windows\system32\msosdohs00.dll(插入explorer.exe进程)
( i" S* B# H6 d/ nc:\windows\system32\msosdohs01.dll(插入explorer.exe进程)6 d: c+ Y; G$ T& @& \3 W
c:\windows\system32\ttEZZEZZ1044.dll
0 a, c( ?. |" V1 @% D+ ~& F) Yc:\windows\system32\ttNNBNNB1047.dll
; l% C: Z+ o0 r# Bc:\windows\system32\txWWQWWQ1006.dll
2 F4 F$ S; ?8 Oc:\zzz.sys(加载后自动删除)
! b) [$ J2 {. {1 j: C* L1 kc:\windows\system32\drivers\msosfpids32.sys
$ X2 S9 ^/ Z1 r, v& x3 c) f病毒文件还有不少(见附件图)2 p$ u4 x" }' x% i
- j/ |2 X6 n- a/ e2、感染硬盘中的.exe、.htm、html文件;删除c:\windows\system32\verclsid.exe;替换C:\windows\explorer.exe。
# b2 K- F( t+ Y W1 n1 t8 [% Y0 j' q2 d. w5 d
MSDOS.BAT感染型下载器的病毒下载地址:
9 B! y1 H, Q8 B+ E; uhttp://58.53.128.37/a0.exe
5 p, c9 K% g5 d8 Whttp://58.53.128.37/a1.exe
3 [1 g: F/ A* m ]' P7 Thttp://58.53.128.37/a2.exe
1 U2 c e: e. i1 H, \http://58.53.128.37/a3.exe
% W) ^, n" u( F4 O5 w7 I4 A; yhttp://58.53.128.37/a4.exe. O2 K- |: ?0 x* U
http://58.53.128.37/a5.exe5 v5 H$ d% G5 C6 f
http://58.53.128.37/a6.exe9 E- o5 L- L0 V
http://58.53.128.37/a7.exe4 x7 I `, y0 k* [6 Z
http://58.53.128.37/a8.exe
, N5 v0 v" `( x. \/ J- Rhttp://58.53.128.37/a9.exe
" U2 O/ k1 e( Y V8 N, K6 Jhttp://58.53.128.37/a10.exe
6 A' y) Q- h" M" f# `4 }6 _6 g dhttp://58.53.128.37/a11.exe
6 Z3 |# F: b, D. \3 K9 zhttp://58.53.128.37/a12.exe
' L' F6 h9 J% G# U0 w1 [http://58.53.128.37/a13.exe
5 S8 D0 x7 j4 R' \http://58.53.128.37/a14.exe. c6 N5 [6 ^; y' M
http://58.53.128.37/a15.exe! ~! Q @2 l1 ?3 g$ `" O+ x
http://58.53.128.37/a16.exe
0 Y: s/ ` u: w2 [8 I' Fhttp://58.53.128.37/a17.exe3 E* M( Z1 W! P$ E. j' z$ Q, F4 `
http://58.53.128.37/a18.exe) i; C$ u( W f q3 s
http://58.53.128.37/a19.exe
- n4 M1 N6 ^4 Rhttp://58.53.128.37/a20.exe
; x+ A0 S0 u4 x; Q, ehttp://58.53.128.37/a21.exe0 I5 B6 D8 a" y' B6 Y5 x% ^* t
http://58.53.128.37/a22.exe
5 C* Z6 r3 N& I' [http://58.53.128.37/a23.exe
/ t8 G" Y- q' ]& c) ihttp://58.53.128.37/a24.exe
3 q6 ]) g. Q. }' {1 R8 G% T' n, |http://58.53.128.37/a25.exe
/ V7 k% r B. I5 ]http://58.53.128.37/oko.exe
7 y, u4 w! |; B7 [3 O% r# i. k/ |. B9 u
查杀难点:
q2 n( B- K, P% k, t6 x7 }1、c:\windows\system32\75132.dat和c:\windows\system32\urjuujdw.hew两个进程相互配合,指挥c:\windows\system32\msosdohs00.dll和c:\windows\system32\msosdohs01.dll插入系统核心进程、explorer.exe进程以及所有应用程序进程(包括安全软件的进程也被插入)。
, F) D6 T6 k& A, Z5 d5 E* n9 f: H
( J" a2 R( X5 r" W" M2、explorer.exe被病毒替换。如果强制删除这个被病毒替换explorer.exe,及上面提到的病毒文件,桌面消失。即使注销当前用户,重新登录系统,也无法显示桌面。
: A$ o9 c0 y7 i" L" M' D6 h4 O6 Z- Z- o5 h) f4 W& I& u1 @
3、此毒感染硬盘所有分区中的.exe、.htm、html文件。
+ I1 d+ g1 f1 I! w
9 s4 G: ~. |2 T. M& B1 |) p0 }) N4、c:\windows\system32\文件夹、c:\windows\system32\drivers\文件夹、c:\windows\tasks\文件夹、当前用户临时文件夹中都有病毒文件。
f& p" X! ^4 h& `
5 j; `! ~$ w- n ^0 {5、此毒貌似是针对SRENG的。中这堆病毒后,用户试图运行SRENG扫日志时,SRENG即刻被病毒删除。, c+ Q3 O& E3 B. E
+ q$ X( Q6 K# U/ f
我在影子系统(全影模式)中运行过这个病毒样本,用Tiny全程监控可以获得此病毒群感染系统的全部信息(见附件图)。有了这些信息,可以用IceSword手工删除那堆病毒文件。被感染的.exe、.htm、html等,需用杀软处理(量太大)。
" ` n# v' R; l3 n" ?4 T/ ^& w; b! L9 z9 ^1 a! U" `& Z7 K+ N
另:有人说此毒可以穿透影子系统2.8。全影系统运行病毒样本,重启后,被病毒替换explorer.exe以及病毒驱动C:\zzz.sys还在系统中。但是,我在全影模式下运行此毒,没有发现这个现象。重启后,系统是干净的。 |
|
/1 
IP卡
狗仔卡
发表于 2008-4-9 15:59:34
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡