File: ie7.exe Size: 37376 bytes MD5: FA931258C1FEFA770EB91A5EB6CA894D SHA1: 72EC4D4A8E9D15C1DEAF6FCE6F2C8867C6A38F41 CRC32: 04DC6B68 编写语言:Delphi
病毒运行后 生成如下文件 C:\WINDOWS\system32\ie7.exe 同时注册为服务:ie7 ,达到开机启动的目的 服务描述:为即插即用设备提供支持 显示名称:Telepho 启动类型:自动
启动一个svchost.exe 将自身注入到svchost.exe的进程空间中(方便下载木马,因为svchost.exe一般就是需要联网的,通过他联网,防火墙不会有任何反映)
试图向瑞星的卡卡上网助手的IE防漏墙发送模拟按键“允许”的命令 试图向IE执行保护的窗口发送模拟按键“允许执行”的命令
ping 127.0.0.0 15次 修改系统时间为 1981年1月12日
在每个分区下生成一个autorun.inf和ie7.exe
下载木马:http://ads.xxxxxxx.com/100.exe~119.exe到%system32%下面
下载的木马种类和上回分析的pegefile.pif几乎一样 木马植入完毕后 生成如下一些文件(包括但不限于)
C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Jmp C:\Program Files\Internet Explorer\PLUGINS\WinSys64.Sys(盗号木马,并在E盘下生成Autorun.exe) C:\Program Files\Internet Explorer\PLUGINS\WinSys64.Tao C:\WINDOWS\system32\drivers\usbinte.sys C:\WINDOWS\system32\AVPSrv.dll C:\WINDOWS\system32\cmdbcs.dll C:\WINDOWS\system32\ejcepm.dll C:\WINDOWS\system32\ezdngw.dll C:\WINDOWS\system32\Kvsc3.dll C:\WINDOWS\system32\kwuppx.dll C:\WINDOWS\system32\LYLOADER.EXE C:\WINDOWS\system32\LYMANGR.DLL C:\WINDOWS\system32\MSDEG32.DLL C:\WINDOWS\upxdnd.exe C:\WINDOWS\winow.dll C:\WINDOWS\winow.exe C:\WINDOWS\system32\NVDispDrv.dll C:\WINDOWS\system32\pfmlqz.dll C:\WINDOWS\system32\skguud.dll C:\WINDOWS\system32\TIMHost.dll C:\WINDOWS\system32\upxdnd.dll C:\WINDOWS\system32\visin.exe C:\WINDOWS\system32\xzqsmg.dll C:\WINDOWS\AVPSrv.exe C:\WINDOWS\cmdbcs.exe C:\WINDOWS\Kvsc3.exe C:\WINDOWS\NVDispDrv.exe C:\WINDOWS\RichDll.dll C:\WINDOWS\TIMHost.exe C:\WINDOWS\system32\nslkupi.exe(具备arp欺骗功能) C:\WINDOWS\uninstall\rundl132.exe(威金,感染可执行文件) C:\WINDOWS\system32\ntsokele.exe(感染htm asp html等文件,在其后面加入的代码)
| ... 对应sreng(该软件可到down.45its.com下载)日志如下
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <TIMHost><C:\WINDOWS\TIMHost.exe> [] <upxdnd><C:\WINDOWS\upxdnd.exe> [] <AVPSrv><C:\WINDOWS\AVPSrv.exe> [] <cmdbcs><C:\WINDOWS\cmdbcs.exe> [] <NVDispDrv><C:\WINDOWS\NVDispDrv.exe> [] <Kvsc3><C:\WINDOWS\Kvsc3.exe> [] <load><C:\WINDOWS\uninstall\rundl132.exe> [] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] <MSDEG32><LYLoader.exe> [] <MSDWG32><LYLoadbr.exe> [N/A] <MSDCG32 ><LYLeador.exe> [N/A] <MSDOG32><LYLoador.exe> [N/A] <MSDSG32><LYLoadar.exe> [N/A] <MSDMG32><LYLoadmr.exe> [N/A] <MSDHG32><LYLoadhr.exe> [N/A] <MSDQG32><LYLoadqr.exe> [N/A] <visin><C:\WINDOWS\system32\visin.exe> [Microsoft Corporation] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] <{5D83AD9C-3BFC-43F5-979D-2904DBC54A8E}><C:\Program Files\Internet Explorer\PLUGINS\WinSys64.Sys> [] 服务: [Telepho / ie7][Stopped/Auto Start] <C:\WINDOWS\system32\ie7.exe><N/A> [Remote Help Session Manager / Rasautol][Stopped/Auto Start] <C:\WINDOWS\system32\ntsokele.exe><N/A> | 手动清除办法:
重启计算机进入安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)
打开sreng (推荐到down.45its.com下载)
启动项目 注册表 删除如下项目 <TIMHost><C:\WINDOWS\TIMHost.exe> [] <upxdnd><C:\WINDOWS\upxdnd.exe> [] <AVPSrv><C:\WINDOWS\AVPSrv.exe> [] <cmdbcs><C:\WINDOWS\cmdbcs.exe> [] <NVDispDrv><C:\WINDOWS\NVDispDrv.exe> [] <Kvsc3><C:\WINDOWS\Kvsc3.exe> [] <load><C:\WINDOWS\uninstall\rundl132.exe> [] <MSDEG32><LYLoader.exe> [] <MSDWG32><LYLoadbr.exe> [N/A] <MSDCG32 ><LYLeador.exe> [N/A] <MSDOG32><LYLoador.exe> [N/A] <MSDSG32><LYLoadar.exe> [N/A] <MSDMG32><LYLoadmr.exe> [N/A] <MSDHG32><LYLoadhr.exe> [N/A] <MSDQG32><LYLoadqr.exe> [N/A] <visin><C:\WINDOWS\system32\visin.exe> [Microsoft Corporation]
“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”,选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:
Telepho / ie7 Remote Help Session Manager / Rasautol
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定 点击 菜单栏下方的 文件夹按钮(搜索右边的按钮) 从左边的资源管理器 进入C盘 删除如下文件(如遇提示无法删除文件,到down.45its.com下载费尔木马强制删除器工具进行强制删除):
C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Jmp C:\Program Files\Internet Explorer\PLUGINS\WinSys64.Sys C:\Program Files\Internet Explorer\PLUGINS\WinSys64.Tao C:\WINDOWS\system32\drivers\usbinte.sys C:\WINDOWS\system32\AVPSrv.dll C:\WINDOWS\system32\cmdbcs.dll C:\WINDOWS\system32\ejcepm.dll C:\WINDOWS\system32\ezdngw.dll C:\WINDOWS\system32\Kvsc3.dll C:\WINDOWS\system32\kwuppx.dll C:\WINDOWS\system32\LYLOADER.EXE C:\WINDOWS\system32\LYMANGR.DLL C:\WINDOWS\system32\MSDEG32.DLL C:\WINDOWS\upxdnd.exe C:\WINDOWS\winow.dll C:\WINDOWS\winow.exe C:\WINDOWS\system32\NVDispDrv.dll C:\WINDOWS\system32\pfmlqz.dll C:\WINDOWS\system32\skguud.dll C:\WINDOWS\system32\TIMHost.dll C:\WINDOWS\system32\upxdnd.dll C:\WINDOWS\system32\visin.exe C:\WINDOWS\system32\xzqsmg.dll C:\WINDOWS\AVPSrv.exe C:\WINDOWS\cmdbcs.exe C:\WINDOWS\Kvsc3.exe C:\WINDOWS\NVDispDrv.exe C:\WINDOWS\RichDll.dll C:\WINDOWS\TIMHost.exe C:\WINDOWS\system32\nslkupi.exe C:\WINDOWS\uninstall\rundl132.exe C:\WINDOWS\system32\ntsokele.exe C:\ie7.exe C:\autorun.inf | 从左边的资源管理器 进入其他盘 删除ie7.exe autorun.inf 删除E盘下的autorun.exe 如果装有QQ请把QQ 安装文件夹中的Timplatform.exe删除 把Timplatfrom.exe重命名为Timplatform.exe
|