电脑软硬件应用网
当前位置: 电脑软硬件应用网 > 电脑学院 > 网络安全 > 正文
Worm.Agent.xo感染型下载者病毒的分析及解决
Worm.Agent.xo感染型下载者病毒的分析及解决
2007-6-17 17:06:47  文/清新阳光   出处:网友博客   
  一:分析病毒

  病毒文件运行后生成:

  C:\WINDOWS\system\winlogon.exe

  从最后一个盘符开始遍历除系统分区外的所有分区
  并把所有分区的exe的名字写入C:\WINDOWS\win.log。感染win.log中所记录的exe 被感染文件被加入20577字节的病毒代码 且感染后文件图标不变(具体感染方式没找到,还望各位高手给予指导)

  运行被感染文件后会释放0_.ii的一个病毒体 运行病毒体后 删除0_.ii自身

  在每个分区下面生成autorun.inf和setup.exe
  病毒体内有字样:我恨卡巴

  病毒连接网络222.220.16.186:80
  下载以下文件:
 http://mm.xxxx1.com/server.exe
http://xxxx1.com/1.exe
http://xxxx1.com/2.exe
http://xxxx1.com/3.exe
http://xxxx1.com/4.exe
http://xxxx1.com/5.exe
http://xxxx1.com/6.exe
http://xxxx1.com/7.exe
http://xxxx1.com/8.exe
http://xxxx1.com/9.exe
http://xxxx1.com/10.exe
http://xxxx1.com/11.exe
http://xxxx1.com/12.exe
http://xxxx1.com/13.exe
http://xxxx1.com/14.exe
http://xxxx1.com/15.exe
http://xxxx1.com/16.exe

  到C:\WINDOWS\system\下分别命名为1.exe~16.exe

  木马植入成功后,sreng日志(可到down.45its.com下载)显示如下

 启动项目
     <WinForm><C:\WINDOWS\WinForm.exe>    []
      <upxdnd><C:\WINDOWS\upxdnd.exe>    []
      <mppds><C:\WINDOWS\mppds.exe>    []
      <msccrt><C:\WINDOWS\msccrt.exe>    []
      <AVPSrv><C:\WINDOWS\AVPSrv.exe>    []
      <Kvsc3><C:\WINDOWS\Kvsc3.exe>    []
      <crqt><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\iexplorer.exe>    []
      <499g4w9rv><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\c0nime.exe>    []

服务

[Remote Debug Service / RemoteDbg][Stopped/Auto Start]
    <C:\WINDOWS\system32\rundll32.exe RemoteDbg.dll,input><Microsoft Corporation>

  解决方法:(电脑软硬件应用网:对于普通用户,上述分析可跳过,直接看解决教程)

  1.用serng(down.45its.com已提供下载)清理启动项目和如下服务

     <WinForm><C:\WINDOWS\WinForm.exe>    []
      <upxdnd><C:\WINDOWS\upxdnd.exe>    []
      <mppds><C:\WINDOWS\mppds.exe>    []
      <msccrt><C:\WINDOWS\msccrt.exe>    []
      <AVPSrv><C:\WINDOWS\AVPSrv.exe>    []
      <Kvsc3><C:\WINDOWS\Kvsc3.exe>    []
      <crqt><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\iexplorer.exe>    []
      <499g4w9rv><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\c0nime.exe>    []
[Remote Debug Service / RemoteDbg][Stopped/Auto Start]
    <C:\WINDOWS\system32\rundll32.exe RemoteDbg.dll,input><Microsoft Corporation>


  2.重启计算机后

  双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定,右键点击-右键菜单中的第二个打开-打开每一个分区-删除分区下的autorun.inf和setup.exe文件。

  删除以下文件:(如不能正常状态下删除,可到down.45its.com下载费尔木马强制删除器工具.zip进行强制删除。)

 C:\WINDOWS\system\SYSTEM32.vxd
C:\WINDOWS\system\winlogon.exe
C:\WINDOWS\system32\AVPSrv.dll
C:\WINDOWS\system32\Kvsc3.dll
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\system32\msccrt.dll
C:\WINDOWS\system32\RemoteDbg.dll
C:\WINDOWS\system32\upxdnd.dll
C:\WINDOWS\system32\WinForm.dll
C:\WINDOWS\AVPSrv.exe
C:\WINDOWS\Kvsc3.exe
C:\WINDOWS\mppds.exe
C:\WINDOWS\msccrt.exe
C:\WINDOWS\upxdnd.exe
C:\WINDOWS\WinForm.exe

  电脑软硬件应用网提醒:请尊重原作者,转载时请保留原作者相关版权信息(本文为网友博客(清新阳光)处转载,本站稍加编辑整理。)。

  • 上一篇文章:

  • 下一篇文章:
  • 最新热点 最新推荐 相关文章
    删不掉的"淘宝图标"来侵 教你删"淘宝…
    微软高危漏洞"快捷方式自动执行"手工…
    acad.vlx删除方法
    360se.exe病毒清除解决方案
    regedit32.exe 病毒清除解决方案
    3874jr98.exe,long.exe等病毒清除解…
    RG8.tmp病毒清除解决方案
    139ujf939.exe,2.exe等病毒清除解决…
    EntSoQn.exe病毒清除解决方案
    360safess.net.exe等病毒清除解决方…
    关于45IT | About 45IT | 联系方式 | 版权声明 | 网站导航 |

    Copyright © 2003-2011 45IT. All Rights Reserved 浙ICP备09049068号