运行样本..分析: 释放文件 C:\WINDOWS\system\logo_1.exe C:\WINDOWS\system\SYSTEM32.vxd C:\WINDOWS\system\SYSTEM32.dat
每个盘根目录下生成(电脑软硬件应用网解决办法详解:清除每个盘根目录下以下文件,如遇提示不能删除建议用强制删除工具 PowerRMV进行强制删除,以下类同 ) X:\go.exe X:\autorun.inf
写入注册表(电脑软硬件应用网解决办法详解:用工具 SREng 删除如下各项) [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run] "ntaskldr"="C:\WINDOWS\system\logo_1.exe"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ntaskldr"="C:\WINDOWS\system\logo_1.exe"
最恶心的部分介绍下.. logo_1.exe 运行后 调用 cmd.exe 执行命令 cmd.exe /c dir X:\*.exe /s /b >>C:\WINDOWS\system\SYSTEM32.vxd.dat X为某个盘.. 运行命令后感染X盘里的所有 .exe 文件... 感染后还会释放一个同名文件后辍为 .exe.tmp
system volume information recycled 这俩个文件夹内的.exe文件..感染后释放的同名文件后辍为 .exe.dat
如果中毒的电脑打开 我的电脑 时.. logo_1.exe 会连网下载⒏个木马程序. (电脑软硬件应用网解决办法详解:删除以下出现的文件) 分别为: C:\WINDOWS\system\jwm.exe C:\WINDOWS\system\mhh.exe C:\WINDOWS\system\ztd.exe C:\WINDOWS\system\mir.exe C:\WINDOWS\system\wo3.exe C:\WINDOWS\system\ienet.exe C:\WINDOWS\system\wol.exe C:\WINDOWS\system\wll.exe
被感染的文件..头部写入: 19,738 字节 尾部写入:5 字节
地址=00407F80 反汇编=MOV EDX,2_.0040847C 文本字串=瑞星 卡巴 金山 诺盾 爱老虎油!!!!!!
作者留下的..
需要注意的事:杀毒前关闭系统还原(Win2000系统可以忽略):右键 我的电脑 ,属性,系统还原,在所有驱动器上关闭系统还原 打勾即可。 清除IE的临时文件:打开IE 点工具-->Internet选项 : Internet临时文件,点“删除文件”按钮 ,将 删除所有脱机内容 打勾,点确定删除。
以上提到的的软件均可到百度搜索下。
本文为在卡卡社区mopery 的文章《2007年的感染者(仿威金)..U盘使用需谨慎..》基础上整理而得
|