 TA的每日心情 | 擦汗
7 小时前 |
|---|
签到天数: 2367 天 [LV.Master]伴坛终老
|
此毒查杀比较难。
* k, h0 ~9 _; |6 P% U; x
# E* f/ Y. ~& x我得到的原始“火种”是一个MSDOS.BAT文件。当时,用瑞星20.38.60扫此样本,瑞星不报毒。已将此样本提交瑞星公司。& x! s( H1 N; P6 L: A4 c) X- L
中此病毒群后,MSDOS.BAT位于硬盘各个分区的根目录下(还有一个指向MSDOS.BAT的autorun.inf)。MSDOS.BAT运行后访问网络:58.53.128.37,下载大量病毒。
* N5 U% q$ P! @, e" @
4 c# ], D6 \% X9 \9 x, Z/ x$ x4 }. h& {3 M
1、释放/下载的主要病毒文件:( ^, P# c, T# \3 t- g5 d( a
c:\windows\tasks\0x01xx8p.exe4 w1 ~1 V9 [' V
c:\windows\tasks\explorer.ext
- \$ w! `1 s8 Nc:\windows\system32\7560.dat4 A" g3 ?) B" T! ^
c:\windows\system32\a0.ext
+ j1 N# q+ e. X( J3 ~./ h* ?9 f w) Y2 n: `
.
3 u, t( \1 e. }) ~2 |4 R5 t5 A.
8 J/ l5 W2 ^6 g) f' o8 j0 r. {c:\windows\system32\a25.ext
/ ?+ [9 [' U$ O- J ]0 zc:\windows\system32\oko.exe+ E. ~/ G+ l+ h6 |3 E
c:\windows\system32\msosdohs.dat
* H: ~/ Q8 q+ H# M b. @c:\windows\system32\msosdohs00.dll(插入explorer.exe进程)
& R! s+ a0 [! H' @$ G. _c:\windows\system32\msosdohs01.dll(插入explorer.exe进程)
! d% _& [. I, o# ac:\windows\system32\ttEZZEZZ1044.dll: X/ h& o4 n$ [; `- ]$ ]4 B
c:\windows\system32\ttNNBNNB1047.dll
: g+ Q% E4 f( R2 pc:\windows\system32\txWWQWWQ1006.dll; M, M5 g3 |! L8 V: N( K* v$ @3 [
c:\zzz.sys(加载后自动删除)
# ]3 W4 ?: F0 Y6 J' q, R! q2 j2 E$ gc:\windows\system32\drivers\msosfpids32.sys- }+ X8 v o, Y9 p
病毒文件还有不少(见附件图)
: ?. A( ~5 a9 s; k5 P- Z# C
/ [: {. ^. N2 Y2 p6 E! l3 T. r2 ^2、感染硬盘中的.exe、.htm、html文件;删除c:\windows\system32\verclsid.exe;替换C:\windows\explorer.exe。; q J, }8 R8 M" v" e/ h. F9 W0 K
3 K1 B% p5 ` v0 NMSDOS.BAT感染型下载器的病毒下载地址:
0 ^# z( z$ @. Vhttp://58.53.128.37/a0.exe
, s+ _: p. ], t* W7 f. Lhttp://58.53.128.37/a1.exe, v) j2 r: h* v" F/ U7 }; P X
http://58.53.128.37/a2.exe/ ^8 N9 i1 b* @
http://58.53.128.37/a3.exe/ F( ~+ ]3 D4 C
http://58.53.128.37/a4.exe
- c5 A/ _6 R9 {4 y8 Nhttp://58.53.128.37/a5.exe
3 X) ?5 a+ W7 p7 Bhttp://58.53.128.37/a6.exe! T: M4 @: E2 @0 k
http://58.53.128.37/a7.exe/ X' L l8 l9 d ~' H( a+ Y+ n9 A
http://58.53.128.37/a8.exe
, _* {2 D f8 T8 {( d# \5 b& Phttp://58.53.128.37/a9.exe- @* N/ @% g/ h
http://58.53.128.37/a10.exe, \% B }6 m3 i& N+ s: e& Y1 ^4 j
http://58.53.128.37/a11.exe
0 m# }) D1 k& Shttp://58.53.128.37/a12.exe
. L! c, G8 I9 \http://58.53.128.37/a13.exe
' {! @" ~6 w( k8 q _http://58.53.128.37/a14.exe' B. e; X+ x: Z- ^! i C
http://58.53.128.37/a15.exe
, ^1 k, M: L! [2 thttp://58.53.128.37/a16.exe1 ]0 u; v0 Q c/ [0 K. q# `: C
http://58.53.128.37/a17.exe7 V2 ~) l" o0 N( V
http://58.53.128.37/a18.exe+ G; G; J! f! G# B$ o* K4 k
http://58.53.128.37/a19.exe
: P+ S2 ^1 Y9 ~1 ?7 Xhttp://58.53.128.37/a20.exe
/ E% m; H' l9 ~/ L' s% G3 jhttp://58.53.128.37/a21.exe( k; T: c$ \2 W/ X3 n9 L0 m6 p
http://58.53.128.37/a22.exe
, {0 S# ]4 A* V! l8 K' ?. O Ohttp://58.53.128.37/a23.exe
+ |% y% K3 b8 m+ k, c9 T5 khttp://58.53.128.37/a24.exe5 J! p" E9 c: y, q9 @! O
http://58.53.128.37/a25.exe
+ x" a; @. M; J% ohttp://58.53.128.37/oko.exe
1 E/ P/ g) U% | r6 U( F3 n* t! R
" f6 y7 a+ S7 ~1 r3 L2 O查杀难点:! a6 a) S, \( T% a
1、c:\windows\system32\75132.dat和c:\windows\system32\urjuujdw.hew两个进程相互配合,指挥c:\windows\system32\msosdohs00.dll和c:\windows\system32\msosdohs01.dll插入系统核心进程、explorer.exe进程以及所有应用程序进程(包括安全软件的进程也被插入)。
* o! j4 R& y* Z0 l, v7 X( F4 J
; ]/ c! m5 ~. `$ f, x4 m- G2 h, a2、explorer.exe被病毒替换。如果强制删除这个被病毒替换explorer.exe,及上面提到的病毒文件,桌面消失。即使注销当前用户,重新登录系统,也无法显示桌面。. L) \" J& G- [8 i4 q1 m+ w
' ?& o$ @2 b+ n8 T4 P; _0 V3、此毒感染硬盘所有分区中的.exe、.htm、html文件。
/ Q# x/ {. i3 s. s) ~
6 W6 A! |3 `3 }4 D) M- I4、c:\windows\system32\文件夹、c:\windows\system32\drivers\文件夹、c:\windows\tasks\文件夹、当前用户临时文件夹中都有病毒文件。+ n5 P9 Q$ q: V2 U& j: C+ l
0 {2 {( ]$ M6 l/ x, B3 T
5、此毒貌似是针对SRENG的。中这堆病毒后,用户试图运行SRENG扫日志时,SRENG即刻被病毒删除。
/ y, I$ X3 X0 R o/ T' r
+ N. f0 M2 a% f3 @0 g我在影子系统(全影模式)中运行过这个病毒样本,用Tiny全程监控可以获得此病毒群感染系统的全部信息(见附件图)。有了这些信息,可以用IceSword手工删除那堆病毒文件。被感染的.exe、.htm、html等,需用杀软处理(量太大)。
( w6 p7 M% K. S8 B% K0 a9 u2 c) D4 d% p, X/ i" s" [9 `! E" D" D
另:有人说此毒可以穿透影子系统2.8。全影系统运行病毒样本,重启后,被病毒替换explorer.exe以及病毒驱动C:\zzz.sys还在系统中。但是,我在全影模式下运行此毒,没有发现这个现象。重启后,系统是干净的。 |
|
/1 
IP卡
狗仔卡
发表于 2008-4-9 15:59:34
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
转发到微博
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡