电脑软硬件应用网
当前位置: 电脑软硬件应用网 > 电脑学院 > 网络安全 > 正文
[组图]U盘病毒GHO.exe(兼答rav*mon.exe,rav*mon.dat等木马群的清除)
U盘病毒GHO.exe(兼答rav*mon.exe,rav*mon.dat等木马群的清除)
2007-9-10 8:03:58  文/清新阳光   出处:清新阳光bolg   

  具体分析如下:
  File: GHO.exe
  Size: 27956 bytes
  MD5: CE20FD06E488A52E991C87696E4797A7
  SHA1: 3AD8467C8414E666111A7DC76698D0271595DFC9
  CRC32: BC91AA1B

  病毒运行后:
  生成如下文件:
  %system32%\crsss.exe
  在每个分区下面释放
  autorun.inf和gho.exe 右键菜单无变化

  遍历所有分区的htm文件
  在其后面 插入代码(插入的代码由后面连接网络读取的http://www.*.com.cn/xz/3.txt里面的内容决定)

  注册表变化:

  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
  下添加键值crsss指向 C:\WINDOWS\system32\crsss.exe 达到开机启动的目的

  通过reg.exe不断修改以下注册表键值
  在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies下面增加WindowsUpdate子键 在其中设置名为

  DisableWindowsUpdateAccess键值 并把其值设置为0x00000001 关闭系统自动更新

  修改HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL的值为0x00000000 屏蔽显示隐藏文件

  试图修改HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page键值(被修改的键值随时改变,具体情况由

  http://www.*.com.cn/xz/2.txt里面的内容决定
  并且修改HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel\HomePage 的值为00000001
使得IE主页修改按钮失效

  其他变化:修改系统时间为2000年,月 日不变

  读取http://www.*.com.cn/xz/1.txt里面的内容下载木马
  http://www.*.com.cn/xz/mh.exe
  http://www.*.com.cn/xz/zt.exe
  http://www.*.com.cn/xz/qj.exe
  http://www.*.com.cn/xz/zx.exe
  http://www.*.com.cn/xz/ms.exe
  http://www.*.com.cn/xz/my.exe
  http://www.*.com.cn/xz/tl.exe
  http://www.*.com.cn/xz/rx.exe
  http://www.*.com.cn/xz/wd.exe
  http://www.*.com.cn/xz/dh.exe
  http://www.*.com.cn/xz/tz.exe
  http://www.*.com.cn/xz/gj.exe
  http://www.*.com.cn/xz/tt.exe
  到系统文件夹 分别命名为0temp.exe~13temp.exe(部分链接已失效)

  木马全部植入完毕以后,生成如下文件
  C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Jmp
  C:\Program Files\Internet Explorer\PLUGINS\WinSys64.Sys
  C:\Program Files\NetMeeting\rav*mon.cfg
  C:\Program Files\NetMeeting\rav*mon.dat
  C:\Program Files\NetMeeting\rav*mon.exe(*代表两个随机字母)
  C:\WINDOWS\system32\mssock.sys
  C:\WINDOWS\system32\mssql.dll
  ...

  其中的盗号木马会盗包括如下网络游戏的密码(但不限于)
  侏仙
  风云
  雄霸天下
  完美世界
  梦幻西游
  魔兽世界
  魔域
  奇迹世界
  问道
  QQ

  对应的sreng日志如下
  [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
            []
            []
            []
            []
            []
            []
            []
            []
            []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
       <{5D83AD9C-3BFC-43F5-979D-2904DBC54A8E}>     []
       <{DD7D4640-4464-48C0-82FD-21338366D2D2}>     []
==================================
正在运行的进程
[PID: 1680][C:\WINDOWS\Explorer.EXE]     [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
       [C:\Program Files\Internet Explorer\PLUGINS\WinSys64.Sys]     [N/A, ]
       [C:\Program Files\NetMeeting\ravmhmon.dat]     [N/A, ]
       [C:\Program Files\NetMeeting\ravztmon.dat]     [N/A, ]
       [C:\Program Files\NetMeeting\ravqjmon.dat]     [N/A, ]
       [C:\Program Files\NetMeeting\ravzxmon.dat]     [N/A, ]
       [C:\Program Files\NetMeeting\ravmymon.dat]     [N/A, ]
       [C:\Program Files\NetMeeting\ravmsmon.dat]     [N/A, ]
       [C:\Program Files\NetMeeting\ravfymon.dat]     [N/A, ]
       [C:\Program Files\NetMeeting\ravgjmon.dat]     [N/A, ]
       [C:\Program Files\NetMeeting\ravwdmon.dat]     [N/A, ]
       [C:\Program Files\Internet Explorer\InfoMs.tdm]     [N/A, ]
       [C:\WINDOWS\system32\mssql.dll]     [N/A, ]
==================================
Winsock 提供者
MSSQL Tcpip [TCP/IP]
       C:\WINDOWS\system32\mssql.dll(, N/A)
MSSQL Tcpip [UDP/IP]
       C:\WINDOWS\system32\mssql.dll(, N/A)
            []

  手动清除办法:
  1.首先把系统时间改回来
  下载sreng这个软件(到down.45its.com下载)

  重启计算机进入安全模式(开机后不断 按F8键       然后出来一个高级菜单 选择第一项 安全模式 进入系统)

  打开sreng
  启动项目       注册表 删除如下项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
            []
            []
            []
            []
            []
            []
            []
            []
            []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
       <{5D83AD9C-3BFC-43F5-979D-2904DBC54A8E}>     []
       <{DD7D4640-4464-48C0-82FD-21338366D2D2}>     []

  系统修复-Windows shell/IE 选中
  设置主页为"about:blank"和允许Internet Explorer选项窗口和选项窗口的所有内容
然后点击下面的修复

  2.把下面的代码拷入记事本中然后另存为1.reg文件
 Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

  双击1.reg把这个注册表项导入

  3.双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提

  示确定更改时,单击“是” 然后确定,点击       菜单栏下方的 文件夹按钮(搜索右边的按钮)

从左边的资源管理器 进入C盘
  删除如下文件:
  C:\WINDOWS\system32\crsss.exe
  C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Jmp
  C:\Program Files\Internet Explorer\PLUGINS\WinSys64.Sys
  C:\Program Files\Internet Explorer\InfoMs.tdm
  C:\Program Files\NetMeeting\rav*mon.cfg
  C:\Program Files\NetMeeting\rav*mon.dat
  C:\Program Files\NetMeeting\rav*mon.exe(*代表两个随机字母)
  C:\gho.exe
  C:\autorun.inf
  点击 菜单栏下方的 文件夹按钮(搜索右边的按钮)
  
从左边的资源管理器 进入其他盘
  删除gho.exe autorun.inf
  以及E盘的Autorun.exe
  4.重启计算机
  删除C:\WINDOWS\system32\mssock.sys
  C:\WINDOWS\system32\mssql.dll
  5.使用iframekill.rar工具清理被感染的htm等文件(可到down.45its.com下载)
  • 上一篇文章:

  • 下一篇文章:
  • 最新热点 最新推荐 相关文章
    删不掉的"淘宝图标"来侵 教你删"淘宝…
    微软高危漏洞"快捷方式自动执行"手工…
    acad.vlx删除方法
    360se.exe病毒清除解决方案
    regedit32.exe 病毒清除解决方案
    3874jr98.exe,long.exe等病毒清除解…
    RG8.tmp病毒清除解决方案
    139ujf939.exe,2.exe等病毒清除解决…
    EntSoQn.exe病毒清除解决方案
    360safess.net.exe等病毒清除解决方…
    关于45IT | About 45IT | 联系方式 | 版权声明 | 网站导航 |

    Copyright © 2003-2011 45IT. All Rights Reserved 浙ICP备09049068号