当前位置: 电脑软硬件应用网 > 电脑学院 > 网络安全 > 正文 |
|
|||
skype蠕虫Worm.Win32.Skipi(odcwinst.exe)手动解决 | |||
2007-9-17 8:01:10 文/孤独更可… 出处:孤独更可靠博客 | |||
文件名称:stwinsdat.exe 文件大小:188416 bytes AV命名:Worm.Win32.Skipi(卡吧) 加壳方式:未 编写语言:VC++ 病毒类型:IM类蠕虫 文件MD5:F86F7C9642474BD93FB22185EC27FFEE 传播方式:skype 行为: 1、释放病毒副本: %Systemroot%\system32\odcwinst.exe 188416 字节 %Systemroot%\system32\servftc.exe 188416 字节 %Systemroot%\system32\stwinsdat.exe 188416 字节 %Systemroot%\system32\windb32.exe 188416 字节 并0。2秒检测上述文件是否存在,若不在,则重新拷贝。 注意:文件名不是固定的! 2、修改多处注册表,开机自启: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Services Start2 REG_SZ, "odcwinst.exe " HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Logon Settings2 REG_SZ, "odcwinst.exe " HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Windows Sysdat REG_SZ, "explorer.exe odcwinst.exe " HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run Policies Options2 = REG_SZ, "o" 以至于SREng、Autoruns等日志无法发现其启动项。。 3、非法修改HOSTS,实现DNS劫持,受影响的厂家有: kaspersky drweb f-secure norman mcafee CA symantec microsoft virustotal(汗,这个也不放过) nod32 avast eset 当试图升级上述公司产品时,连接请求会被重定向。 包含了1160行记录。HOSTS多达30000K+。 列一部分: 78.92.101.95 www.networkassociates.com 28.180.212.147 ftp.downloads1.kaspersky-labs.com 109.75.145.104 download26.avast.com 4、在Explorer.exe创建远程线程,当主体被结束时候,由Explorer重新加载。 每6秒检测一次主体是否存在,若不在,则激活。 5、每150毫秒检测一次,获取尝试激活的PID,并关闭一部分安全工具。 具体判断方式还未知。这导致安全工具即使是重命名,仍无法开启。 (有谁知道的请告诉我,Q526170722,谢谢) 6、每隔60毫秒检测skype窗口,并获取文本输入函数,尝试发送扩展名为scr文件与一些语言 (这点和MSN蠕虫相似) 不过偶没有安装skype,所以没有实现,可能不准确。 7、当Skype用户接受并执行该文件时候,它会尝试用图片浏览工具激活系统自带的Soap Bubbles.bmp。 但你看到这张图片的时候,事实上病毒已经激发了。 (这点创意很不错,避免用户怀疑) 8、枚举进程模块,当发现mscoree.dll时候,则退出病毒线程? (呵呵,可能也不准确) 解决方法: 由于这个病毒使用随机命名方式,所以可能会比较麻烦。。 等等,对了,你发现了什么,呵呵,它们的文件大小都是一样的!!! 哈哈```` 1、到down.45its.com下载sreng2.zip和PowerRmv.com 直接放桌面,后断开网络连接。 然后按F3打开系统搜索,填入例如: 例如酱紫拉,我的是2K(如:2000)系统,可能会有点不一样啊。 PS:一共有4个病毒副本,3个是隐藏和系统属性,搜索时记得也选上搜索隐藏文件啊,或者先显示它们。 另外如果输入的大小188416无法查找到的话,那么改为188000K试试! 2、找到后,记住他们的文件名,打开Powerrmv. 选上抑制对象再次生成,填入: C:\Windows\System32\你查找到的文件.exe 我的是: C:\Windows\system32\odcwinst.exe C:\Windows\system32\servftc.exe 一共有3个,不要漏了。 3、打开SREng,删除: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
并用SREng重置HOSTS。 然后 开始-运行regedit,删除第2点分析的注册表项,不要删错了! |
|||
关于45IT | About 45IT | 联系方式 | 版权声明 | 网站导航 | |
Copyright © 2003-2011 45IT. All Rights Reserved 浙ICP备09049068号 |