当前位置: 电脑软硬件应用网 > 电脑学院 > 网络安全 > 正文 |
|
|||
Worm.Win32.Agent.aj的手动清除 | |||
2007-7-8 9:38:12 文/孤独更可… 出处:孤独更可靠 | |||
病毒样本来至剑盟,好像是感染性的。 测试结束时候忘记收几个比较重要的``所以下面分析可能不一定全(也不一定准确): Aditional Information 运行,释放: %Systemroot%\system32\2.exe 13327 字节 %Systemroot%\system32\internt.exe 13327 字节 %Systemroot%\system32\progmon.exe 13327 字节 %Systemroot%\system32\IME\svchost.exe 13327 字节 其实都是同一个(MD5不变)。 其中internt.exe和progmon.exe 写入注册表Run启动项,达到开机自启```` %Systemroot%\system32\IME\svchost.exe 是主体,常驻进程``做监视工作`` 每隔1毫秒以访问的方法试探自身同党存在和修改的注册表项,如不再则生成``` 在每个分区下(C——F)下生成Autorun.inf和Setup.exe`` 每秒刷新检测移动介质的介入```并尝试在移动介质目录下生成Autorun.inf和Setup.exe(U盘传播) 内容为: [AutoRun] open=setup.exe shellexecute=setup.exe shell\Auto\command=setup.exe 释放服务: [Alerter COM+ / Alerter COM+][Running/Auto Start] 指向的是主体病毒,实现服务方式启动`````` 修改注册表: Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue的CheckedValue值`` 改为:0(破坏显示隐藏文件)`` 随后驻进程的svchost.exe(冒牌货)访问210.245.162.**,下载远程执行工具PsExec,命名为1.exe 路径:%Systemroot%\system32\1.exe 131072 字节 并以用户名为: "administrator" 密码为: "NULL" 随机组合方式访问192.168.0.*,试图穷举破解口令```` 如成功破解,则拷贝%Systemroot%\system32\2.exe 至共享目录```(局域传播) svchost.exe 随后遍历进程,尝试关闭下列关键字: Windows 任务管理器 兔子 任务 优化 注册表 Process 进程 木马 天网 防火墙 看似完美的病毒``作者似乎还不放心,最后使用捆绑文件方式结束了这次行动: 首先跳过系统盘、IME、Windows Media Player、OE、IE、Documents and Settings、系统还原、回收站、Setup.exe等目录然后从D盘开始感染`````` 不过测试时候并未实现`````可能不一定准确```` 做完上面的全部工作后,Svchost还不闲着```连接HXXp://union.itlearner.com/ip/getip.asp以计算IP的方式统计感染人数。(未验证) 解决方法: 到down.45its.com下载 SREng.rar,IceSword120_cn.zip(备用),PowerRmv.com以及参考《无法正常显示隐藏文件的解决》www.45its.com/Article/pc120/Fault/200612/14165.htm 直接放到桌面,关闭不需要的进程,断开网络,并清空所有临时文件夹``` 1、打开PowrnRmv,选上“抑制对象再次生成”,填入:(一次一个,找不到的忽略,注意路径后面不要有空格) C:\autorun.inf C:\setup.exe D:\autorun.inf D:\setup.exe E:\autorun.inf E:\setup.exe F:\autorun.inf F:\setup.exe *:\autorun.inf *:\setup.exe (*为移动介质盘) C:\Windows\system32\2.exe C:\Windows\system32\internt.exe C:\Windows\system32\progmon.exe C:\Windows\system32\IME\svchost.exe C:\Windows\system32\1.exe C:\WIindows\system32\hs3midia.dll C:\WIindows\system32\drivers\ws2ifsl.sys (如果是2K、ME系统的话,C:\Windows\自行改为C:\Winnt) 注:上面的东西也可以用冰刃删除```如果可以的话,最好先用冰刃把假冒的Svchost先结束掉``` 2、打开SREng,删除: 注册表(详细步骤:打开SREng-启动项目-注册表) [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <Internt><C:\winnt\system32\internt.exe> 服务(详细步骤:打开SREng-启动项目-win32服务应用程序) [Alerter COM+ / Alerter COM+][Running/Auto Start] 还有个是指向C:\WIindows\system32\hs3midia.dll的服务,我跟丢了,如果有发现的话删除吧`` 还有驱动项```汗``也跟丢了,后来从HIPS日志来抓出来的,叫ws2ifsl.sys`` SREng里有发现这项的也删除~~ ```````````然后升级杀软,全盘扫``如果有文件被感染的,顺便修复。。。。。。。。。。 |
|||
关于45IT | About 45IT | 联系方式 | 版权声明 | 网站导航 | |
Copyright © 2003-2011 45IT. All Rights Reserved 浙ICP备09049068号 |