最近这个病毒似乎很流行,但一直没有拿到样本,今天拿到了,分析了一下,发现以前分析过类似行为的病毒,但那个时候好像不叫这个名字,并且那个时候的病毒与现在的也有些不同。下面是今天这个病毒的分析
病毒运行后:
释放文件
C:\WINDOWS\system32\IME\svchost.exe C:\WINDOWS\system32\progmon.exe C:\WINDOWS\system32\internt.exe |
试图向所有分区的根目录下写入setup.exe和autorun.inf
注册表变化: 创建服务Alerter COM+ 指向C:\WINDOWS\system32\IME\svchost.exe 在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下创建启动项目 <Internt><C:\WINDOWS\system32\internt.exe> <Program file><C:\WINDOWS\system32\progmon.exe> 修改 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue值为0x00000000 以屏蔽显示隐藏
关闭带有如下字样的窗口:
Windows 任务管理器 兔子 任务 优化 注册表 Process 进程 毒 木马 天网 防火墙 |
修改system32文件夹的属性 为隐藏 连接网络: 下载hxxp://www.xxxxxon9.com/tt11/psexec.exe hxxp://www.xxxxxon9.com/tt11/Server.exe 到system32文件夹 命名为1.exe和2.exe 1.exe不断试图访问局域网上的其他机器 试图将2.exe(就是前面的C:\WINDOWS\system32\IME\svchost.exe)复制到其他机器上 利用下列用户名和密码进行试探 用户名 密码 administrator 空 123456 login love admin 空 123456 login love Guest 空 123456 login love home 空 123456 login love
并通过http://union.itlearxxx.com/ip/getip.asp做感染统计
感染除如下目录以外的exe文件(虚拟机里由于只有一个分区,没看到这些,只是从病毒中看到的)
%Program Files%\Windows Media Player %Windows%\system %Program Files%\Internet Explorer\Connection Wizard Outlook Express Windows Media Player Internet Explorer NetMeeting ComPlus Applications Messenger WINNT Documents and Settings System Volume Information Recycled WindowsUpdate Windows NT Microsoft Frontpage Movie maker NetMeeting WINDOWS |
并且又在此病毒中发现了前几天发现的那个xiaohui的QQ号!!!
解决办法:
安全模式(重启系统长按F8直到出现提示,然后选择进入安全模式)
打开sreng(该软件可到down.45its.com下载) 启动项目 注册表 删除如下项目 (如果有哪项你认识或者确认不是病毒 请不要删除)
<Internt><C:\WINDOWS\system32\internt.exe> <Program file><C:\WINDOWS\system32\progmon.exe> |
“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”, 选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:
[Alerter COM+ / Alerter COM+][Stopped/Auto Start] <C:\WINDOWS\system32\IME\svchost.exe><N/A> |
把下面的 代码拷入记事本中然后另存为1.reg文件
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced" "Text"="@shell32.dll,-30500" "Type"="radio" "CheckedValue"=dword:00000001 "ValueName"="Hidden" "DefaultValue"=dword:00000002 "HKeyRoot"=dword:80000001 "HelpID"="shell.hlp#51105" |
双击1.reg把这个注册表项导入
去掉system32的隐藏属性(右击文件夹-属性-去掉隐藏前的对勾)
开始 运行 输入cmd 打开命令行窗口 输入attrib -h C:\windows\system32
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
然后删除:
C:\WINDOWS\system32\IME\svchost.exe C:\WINDOWS\system32\progmon.exe C:\WINDOWS\system32\internt.exe C:\WINDOWS\system32\1.exe C:\WINDOWS\system32\2.exe | 右键点击菜单中的 “打开” 打开其他分区 删除 autorun.inf和setup.exe
使用杀毒软件全盘杀毒 清理被感染的exe文件
|