TA的每日心情 | 擦汗
4 天前 |
|---|
签到天数: 2402 天 [LV.Master]伴坛终老
|
此毒查杀比较难。
3 v- n7 @9 B; V
. T/ j: H7 |2 u) P1 T; u) |( u我得到的原始“火种”是一个MSDOS.BAT文件。当时,用瑞星20.38.60扫此样本,瑞星不报毒。已将此样本提交瑞星公司。
" v7 s& F" _/ I" [- H, t中此病毒群后,MSDOS.BAT位于硬盘各个分区的根目录下(还有一个指向MSDOS.BAT的autorun.inf)。MSDOS.BAT运行后访问网络:58.53.128.37,下载大量病毒。
+ e4 N$ Y' ]. r+ X+ Y2 D3 @5 e, |: c3 U p8 I, m3 ]
2 s3 e, g& y ^- X' g1、释放/下载的主要病毒文件:# v5 t+ {6 `$ H8 e
c:\windows\tasks\0x01xx8p.exe
! h# L& t& h, o8 x6 r; `c:\windows\tasks\explorer.ext
$ o* T1 p" g1 J1 [c:\windows\system32\7560.dat
0 ~" r; P. p2 @$ F1 ?$ o* @c:\windows\system32\a0.ext2 y- ]. U! O& x6 k- ]; \
.
4 u0 I7 W; O6 i5 m( I.
7 L- I' r4 J7 M* b% a6 A2 N5 ~7 t.
Q' g- F8 \: Ec:\windows\system32\a25.ext. W3 D" q5 j; k
c:\windows\system32\oko.exe
/ o+ N$ h& D; n* C$ r8 ?; yc:\windows\system32\msosdohs.dat
& M" a. V U2 G5 W/ t8 kc:\windows\system32\msosdohs00.dll(插入explorer.exe进程)
, ?2 ?7 e" @. b% O0 Ac:\windows\system32\msosdohs01.dll(插入explorer.exe进程)
4 ^+ W6 k& `( l2 rc:\windows\system32\ttEZZEZZ1044.dll
9 L2 M3 A, U- M, a& Mc:\windows\system32\ttNNBNNB1047.dll
4 H6 A( z* B" b3 S& i8 H- @& o( sc:\windows\system32\txWWQWWQ1006.dll
. _# M" u& `# [8 a, r8 `8 [9 Hc:\zzz.sys(加载后自动删除)' H2 c- I# {5 K2 U- Z, n
c:\windows\system32\drivers\msosfpids32.sys
6 v7 H4 J. ^8 k# a% v病毒文件还有不少(见附件图)! _6 N' f* }' R/ t/ \, l6 J% s
4 }# u$ P5 O1 \& F6 z2、感染硬盘中的.exe、.htm、html文件;删除c:\windows\system32\verclsid.exe;替换C:\windows\explorer.exe。* X8 l, c( d4 y6 `" J0 {
+ V: [: S. P2 R" v* n; HMSDOS.BAT感染型下载器的病毒下载地址:
% [9 l: \2 a' q" D/ q: rhttp://58.53.128.37/a0.exe
* X4 \3 G* Y8 ] [7 I% V* `http://58.53.128.37/a1.exe
- l r: h5 ^% G+ O0 qhttp://58.53.128.37/a2.exe6 R6 V5 ~$ q& s2 }+ _0 I2 ?
http://58.53.128.37/a3.exe
: C1 h0 t: B/ ~. vhttp://58.53.128.37/a4.exe
7 x: }* r! o# u3 e6 P" bhttp://58.53.128.37/a5.exe a& P: N6 @7 |$ ]9 w
http://58.53.128.37/a6.exe: i3 v. i6 b6 @
http://58.53.128.37/a7.exe
; ?: r* ^8 t# Y- O7 Qhttp://58.53.128.37/a8.exe
* [! p# Z, s+ T' @* f/ fhttp://58.53.128.37/a9.exe: Z9 G- @% J# \3 {# u
http://58.53.128.37/a10.exe8 B; w% X: [' O4 g" O! @+ f$ @
http://58.53.128.37/a11.exe
2 r% l: _: S+ r4 } `* G/ @http://58.53.128.37/a12.exe
1 |8 L4 e+ o. n* V6 P+ m; ]& Shttp://58.53.128.37/a13.exe
& _. [0 W2 w* x6 Q; Z" S9 V* ahttp://58.53.128.37/a14.exe
0 u4 s' b' |# P8 f" J | _( ^1 dhttp://58.53.128.37/a15.exe) y9 I1 X, ^: P0 E* o+ x
http://58.53.128.37/a16.exe) W5 J: z! M. C n3 w3 ^( V0 [+ y
http://58.53.128.37/a17.exe
9 n. h7 b6 v/ P2 j4 \& Ahttp://58.53.128.37/a18.exe/ u/ m# Q1 b; [6 x4 h
http://58.53.128.37/a19.exe- ?2 \% \- W! u+ P5 k1 K
http://58.53.128.37/a20.exe
" w8 G' L- x; L; e) N, e9 Uhttp://58.53.128.37/a21.exe
4 A) U* N* p. ^/ rhttp://58.53.128.37/a22.exe
( I! R; C% E' A. G. l9 t$ Thttp://58.53.128.37/a23.exe
% @, b8 B7 ~% n4 Z+ H0 hhttp://58.53.128.37/a24.exe2 N( j$ S0 y- T+ [
http://58.53.128.37/a25.exe
: z$ x% q9 k* [) }8 Khttp://58.53.128.37/oko.exe
5 q. R9 r* z6 H
+ W$ x+ k& I& a. @查杀难点:
* c" O/ B8 `8 x" r1、c:\windows\system32\75132.dat和c:\windows\system32\urjuujdw.hew两个进程相互配合,指挥c:\windows\system32\msosdohs00.dll和c:\windows\system32\msosdohs01.dll插入系统核心进程、explorer.exe进程以及所有应用程序进程(包括安全软件的进程也被插入)。- h' `" }. X2 f9 y
' K* Z u3 c: t/ V
2、explorer.exe被病毒替换。如果强制删除这个被病毒替换explorer.exe,及上面提到的病毒文件,桌面消失。即使注销当前用户,重新登录系统,也无法显示桌面。
* h: n% d+ Z- }
1 _6 E C. o( `+ F: |" ]3、此毒感染硬盘所有分区中的.exe、.htm、html文件。
2 R) Q- [$ R+ U( h& _/ g. U, q0 F- r+ O; J, u5 T' x: o
4、c:\windows\system32\文件夹、c:\windows\system32\drivers\文件夹、c:\windows\tasks\文件夹、当前用户临时文件夹中都有病毒文件。2 g1 n7 n4 R; J
) q I5 E! x; i( Y& f4 ^
5、此毒貌似是针对SRENG的。中这堆病毒后,用户试图运行SRENG扫日志时,SRENG即刻被病毒删除。
; N7 Y* Y% N; h2 d, q: q
+ {; {, D. _3 ]' Z我在影子系统(全影模式)中运行过这个病毒样本,用Tiny全程监控可以获得此病毒群感染系统的全部信息(见附件图)。有了这些信息,可以用IceSword手工删除那堆病毒文件。被感染的.exe、.htm、html等,需用杀软处理(量太大)。* M# ?) |5 F- o- l. ?2 H
; i X" M. V- M. c5 v& n7 ?' n
另:有人说此毒可以穿透影子系统2.8。全影系统运行病毒样本,重启后,被病毒替换explorer.exe以及病毒驱动C:\zzz.sys还在系统中。但是,我在全影模式下运行此毒,没有发现这个现象。重启后,系统是干净的。 |
|
/1 
IP卡
狗仔卡
发表于 2008-4-9 15:59:34
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡