今天接到群里用户求助说 瑞星防火墙打不开 注册表打不开 难道是AV又出新变种了?
拿到他的日志看了半天 只找到一个类似鸽子的服务 [Logical System Managet / llsservet][Stopped/Auto Start] <C:\Program Files\Common Files\svchost.cnc><N/A>
还有插入其他进程的一个tmp文件
[C:\DOCUME~1\xxxx\LOCALS~1\Temp\rsv1.tmp] [Beijing Rising Tech. Co., Ltd., 1, 2, 0, 5] 不会那个服务搞的吧 要来了样本 赶紧测试了一下
发现这个病毒实在是高深 有些东西我也不太明白,所以写出来给大家看看。
病毒分析报告:
虽然扩展名是cnc但实际上就是个exe文件
生成文件: C:\Program Files\Common Files\svchost.cnc
注册服务llsservet 服务相关键值:
HKLM\SYSTEM\ControlSet001\Services\llsservet\Enum\0: "Root\LEGACY_LLSSERVET\0000" HKLM\SYSTEM\ControlSet001\Services\llsservet\Enum\Count: 0x00000001 HKLM\SYSTEM\ControlSet001\Services\llsservet\Enum\NextInstance: 0x00000001 HKLM\SYSTEM\ControlSet001\Services\llsservet\Type: 0x00000110 HKLM\SYSTEM\ControlSet001\Services\llsservet\Start: 0x00000002 HKLM\SYSTEM\ControlSet001\Services\llsservet\ErrorControl: 0x00000000 HKLM\SYSTEM\ControlSet001\Services\llsservet\ImagePath: "C:\Program Files\Common Files\svchost.cnc" HKLM\SYSTEM\ControlSet001\Services\llsservet\DisplayName: "Logical System Managet" HKLM\SYSTEM\ControlSet001\Services\llsservet\ObjectName: "LocalSystem" HKLM\SYSTEM\ControlSet001\Services\llsservet\Description: "提供对系统磁盘检测及数据备份管理的支持。如果此服务被禁用,任何依赖它的服务将无法启动." |
服务启动后: 不断修改svchost.exe的虚拟内存 将自身完全注入到一个svchost.exe的内存中(原理不太懂,后面说明是如何看出的这个) 使得一个svchost.exe的进程完全变成病毒的傀儡
之后那个傀儡svchost.exe尝试关闭如下窗口 KPFW32.EXE yassistse.exe rfwcfg.exe rfwmain.exe rfwsrv.exe Ras.exe nod32kui.exe nod32.exe RavMon.exe RavTask.exe RavMonD.exe RavStub.exe Ccenter.exe regedit.exe 360tray.exe icesword.exe mctray.exe
修改C:\windows为隐藏属性
下面就说说为什么 我觉得病毒完全将自身注入到svchost.exe的内存中的 1.在中毒机器中装了个process explorer以后发现有个svchost.exe是由explorer.exe启动的 而一般svchost.exe都应该是由services.exe启动的 2.用winhex查看中毒机器的内存 发现其中一个svchost.exe的所占的内存明显比其他的大 而这个svchost.exe的PID和刚才那个由explorer.exe启动的svchost.exe是一样的 3.用冰刃等工具 结束这个svchost.exe后 防火墙可以开启 注册表也可以打开
不过以上都是我的猜测 具体原理不太懂 希望有明白原理的网友帮忙解答一下
虽然说得这么邪乎 但似乎他还是靠服务启动的 所以我们把那个服务禁用了 他重启也就不会嚣张了 解决方法如下:
打开sreng(可到down.45its.com 下载) “启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”, 选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”: Logical System Managet / llsservet
重启计算机 双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定 删除C:\Program Files\Common Files\svchost.cnc (如遇提示无法删除文件,到down.45its.com下载费尔木马强制删除器工具进行强制删除)
|