auto.exe(Worm.Win32.Agent.wn)恶意下载器木马的分析解决_电脑软硬件应用网

首页·电脑学院·电脑故障·操作系统·硬件教程·局域网技术·QQ技巧·网络安全·办公软件· 数据库

导航·设计学院·图像处理·网页设计·软件教程·服务器技术·笔记本·专家装机·网络编程·在线问答

当前位置：电脑软硬件应用网 > 电脑学院 > 网络安全 > 正文

auto.exe(Worm.Win32.Agent.wn)恶意下载器木马的分析解决

auto.exe(Worm.Win32.Agent.wn)恶意下载器木马的分析解决

2007-7-2 16:34:20　　文/清新阳光　　出处:清新阳光BOLG 　　

　　其实此病毒就是前些日子流行的木马下载器rising.exe的变种，改个名字而已，手法相同。

　　File: auto.exe
　　Size: 20139 bytes
　　MD5: C8C1710C47B42258023F620D0C047F36
　　SHA1: 79462300E3B85583FC87CBB56936719B6CC0616E
　　CRC32: 0F6AC47C

　　病毒运行后，病毒将检测系统是否装有卡巴斯基软件，如装有卡巴斯基软，则将系统日期修改为2005年1月18日！并在系统文件夹下创建一个随机8位数字和字母组合而成的exe并且注册成随机8位数字和字母组合而成的服务。同时释放一个随机8位数的dll文件。控制winlogon把那个随机8位数的dll 插入几乎所有进程！遍历所有分区，在根目录下生成auto.exe和autorun.inf两个文件！

　　作者在病毒里留下了自己的QQ号

　　连接网络60.191.135.155:80 下载木马：

　　首先读取http://count.xxxxxxxxxx.com/cnzz//update.txt 的下载配置文件，然后根据里面的内容下载木马kxxxxxxxxxx.exe到系统文件夹，并下载http://count.xxxxxxxxxx.com/cnzz/soft/cnzz.exe更新自身

　　具体木马下载的过程:(略)

　　木马植入成功后
　　增加的文件如下

C:\Program Files\Internet Explorer\Connection Wizard\icwres.ocx
C:\Program Files\Internet Explorer\Connection Wizard\isignup.dll
C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys
C:\WINDOWS\system32\107E7AF5.DLL（随机文件名）
C:\WINDOWS\system32\AC254E44.EXE（随机文件名）
C:\WINDOWS\system32\AVPSrv.dll
C:\WINDOWS\system32\B96A05C.EXE（随机文件名）
C:\WINDOWS\system32\bcawvt.dll
C:\WINDOWS\system32\chzzyi.dll
C:\WINDOWS\system32\dllhost32.exe
C:\WINDOWS\system32\eykesr.dll
C:\WINDOWS\system32\F7F735F8.DLL（随机文件名）
C:\WINDOWS\system32\gafjib.dll
C:\WINDOWS\system32\humnyb.dll
C:\WINDOWS\system32\install.exe
C:\WINDOWS\system32\kxxxxxxxxxxx.exe（随机文件名）
C:\WINDOWS\system32\k118335740863qso.dll
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\system32\msdebug.dll
C:\WINDOWS\system32\Msf3sf.sys
C:\WINDOWS\system32\nwizdh.exe
C:\WINDOWS\system32\qqcnpk.dll
C:\WINDOWS\system32\Shell.exe
C:\WINDOWS\system32\Shell.pci
C:\WINDOWS\system32\skblsj.dll
C:\WINDOWS\system32\TIMHost.dll
C:\WINDOWS\system32\unlmon.dll
C:\WINDOWS\system32\upxdnd.dll
C:\WINDOWS\system32\uzgeey.dll
C:\WINDOWS\AVPSrv.exe
C:\WINDOWS\fqpatv.exe
C:\WINDOWS\mppds.exe
C:\WINDOWS\TIMHost.exe
C:\WINDOWS\upxdnd.exe
其中C:\WINDOWS\system32\Shell.exe为感染下载者感染除系统分区外的所有exe 并且在每个分区根目录

　　下面生成pagefile.pif文件

　　sreng日志如下

启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
       <Shell><"C:\WINDOWS\system32\Rundll32.exe" "C:\WINDOWS\system32
\shell32.dll",Control_RunDLL "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dat9.tmp">     [N/A]
       <Shell.exe><C:\WINDOWS\system32\Shell.exe>     []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
       <upxdnd><C:\WINDOWS\upxdnd.exe>     []
       <mppds><C:\WINDOWS\mppds.exe>     []
       <TIMHost><C:\WINDOWS\TIMHost.exe>     []
       <AVPSrv><C:\WINDOWS\AVPSrv.exe>     []
       <Microsoft Autorun1><C:\WINDOWS\system32\nwizdh.exe>     []
       <Microsoft Autorun9><C:\WINDOWS\system32\Ravasktao.exe>     []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
       <{E25C29AB-12B9-4523-A53C-324B5FBA648C}><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dat9.tmp>

[]
       <{13BB17A1-1B9D-1F83-235F-27552B3B2F17}><C:\WINDOWS\system32\k118335740863qso.dll>     []
       <{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}><C:\Program Files\Internet Explorer\Connection

Wizard\isignup.sys>     []

服务
[3FC3578B / 3FC3578B][Stopped/Auto Start]
     <C:\WINDOWS\system32\AC254E44.EXE -k><Microsoft Corporation>
[E539E00C / E539E00C][Stopped/Auto Start]
     <C:\WINDOWS\system32\B96A05C.EXE -p><Microsoft Corporation>
[Win32 Debug Service / MSDebugsvc][Stopped/Auto Start]
     <C:\WINDOWS\system32\rundll32.exe msdebug.dll,input><Microsoft Corporation>
进程
[PID: 1456][C:\WINDOWS\Explorer.EXE]     [Microsoft Corporation, 6.00.2900.2180

(xpsp_sp2_rtm.040803-2158)]
       [C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dat9.tmp]     [N/A, ]
       [C:\WINDOWS\system32\k118335740863qso.dll]     [N/A, ]
       [C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys]     [N/A, ]
       [C:\WINDOWS\system32\upxdnd.dll]     [N/A, ]
       [C:\WINDOWS\system32\AVPSrv.dll]     [N/A, ]
       [C:\WINDOWS\system32\107E7AF5.DLL]     [Microsoft Corporation, ]
       [C:\WINDOWS\system32\F7F735F8.DLL]     [Microsoft Corporation, ]
       [C:\WINDOWS\system32\TIMHost.dll]     [N/A, ]
       [C:\WINDOWS\system32\dh2104.dll]     [N/A, ]
       [C:\WINDOWS\system32\Ravasktao.dll]     [N/A, ]
       [C:\WINDOWS\system32\uihfev.dll]     [N/A, ]

　　解决办法：

　　如果时间被改,首先把日期改回来

　　打开sreng（可到down.45its.com下载）

　　启动项目     注册表删除如下项目（详细步骤：打开SREng－启动项目－注册表）

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
       <Shell><"C:\WINDOWS\system32\Rundll32.exe" "C:\WINDOWS\system32
\shell32.dll",Control_RunDLL "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dat9.tmp">     [N/A]
       <Shell.exe><C:\WINDOWS\system32\Shell.exe>     []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
       <upxdnd><C:\WINDOWS\upxdnd.exe>     []
       <mppds><C:\WINDOWS\mppds.exe>     []
       <TIMHost><C:\WINDOWS\TIMHost.exe>     []
       <AVPSrv><C:\WINDOWS\AVPSrv.exe>     []
       <Microsoft Autorun1><C:\WINDOWS\system32\nwizdh.exe>     []
       <Microsoft Autorun9><C:\WINDOWS\system32\Ravasktao.exe>     []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
       <{E25C29AB-12B9-4523-A53C-324B5FBA648C}><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dat9.tmp>

[]
       <{13BB17A1-1B9D-1F83-235F-27552B3B2F17}><C:\WINDOWS\system32\k118335740863qso.dll>     []
       <{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}><C:\Program Files\Internet Explorer\Connection

Wizard\isignup.sys>     []

　　“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”，选中以下项目，点“删除服务”，再点“设置”，在弹出的框中点“否”：

3FC3578B / 3FC3578B
E539E00C / E539E00C
Win32 Debug Service / MSDebugsvc

　　重启计算机
　　双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作

　　系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定，点击菜单栏下方的文件夹按钮进入资源管理器。从资源管理器中进入C盘删除：

C:\autorun.inf
C:\auto.exe
C:\pagefile.pif
C:\Program Files\Internet Explorer\Connection Wizard\icwres.ocx
C:\Program Files\Internet Explorer\Connection Wizard\isignup.dll
C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys
C:\WINDOWS\system32\107E7AF5.DLL（随机文件名）
C:\WINDOWS\system32\AC254E44.EXE（随机文件名）
C:\WINDOWS\system32\AVPSrv.dll
C:\WINDOWS\system32\B96A05C.EXE（随机文件名）
C:\WINDOWS\system32\bcawvt.dll
C:\WINDOWS\system32\chzzyi.dll
C:\WINDOWS\system32\dllhost32.exe
C:\WINDOWS\system32\eykesr.dll
C:\WINDOWS\system32\F7F735F8.DLL（随机文件名）
C:\WINDOWS\system32\gafjib.dll
C:\WINDOWS\system32\humnyb.dll
C:\WINDOWS\system32\install.exe
C:\WINDOWS\system32\kxxxxxxxxxxx.exe（随机文件名）
C:\WINDOWS\system32\k118335740863qso.dll
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\system32\msdebug.dll
C:\WINDOWS\system32\Msf3sf.sys
C:\WINDOWS\system32\nwizdh.exe
C:\WINDOWS\system32\qqcnpk.dll
C:\WINDOWS\system32\Shell.exe
C:\WINDOWS\system32\Shell.pci
C:\WINDOWS\system32\skblsj.dll
C:\WINDOWS\system32\TIMHost.dll
C:\WINDOWS\system32\unlmon.dll
C:\WINDOWS\system32\upxdnd.dll
C:\WINDOWS\system32\uzgeey.dll
C:\WINDOWS\AVPSrv.exe
C:\WINDOWS\fqpatv.exe
C:\WINDOWS\mppds.exe
C:\WINDOWS\TIMHost.exe
C:\WINDOWS\upxdnd.exe

　　同理打开其他分区删除其他分区根目录下的
　　autorun.inf
　　auto.exe
　　pagefile.pif

　　升级杀毒软件至最新版本全盘杀毒！清理被感染的exe。如怕存在其它恶意软件，可到down.45its.com下载360安全卫士进行清理！

上一篇文章：手动清除servet.exe病毒

下一篇文章：间谍软件SpywareWall(systemroot+,dsr.exe)的手动清除

最新热点		最新推荐		相关文章
				删不掉的"淘宝图标"来侵教你删"淘宝… 微软高危漏洞"快捷方式自动执行"手工… acad.vlx删除方法 360se.exe病毒清除解决方案 regedit32.exe 病毒清除解决方案 3874jr98.exe,long.exe等病毒清除解… RG8.tmp病毒清除解决方案 139ujf939.exe,2.exe等病毒清除解决… EntSoQn.exe病毒清除解决方案 360safess.net.exe等病毒清除解决方…