U盘病毒serdst.exe的分析以及其下载的木马的专杀方案

此病毒是先前流行的servver.exe的变种，最近几天中毒者增多。
File: serdst.exe
Size: 37888 bytes
Modified: 2007年10月27日, 13:41:01
MD5: 6D84039E781655F16185023A7A7C09E1
SHA1: 3FD12BE3D86DF261438BBED126C507D1E14A90E0
CRC32: 597058C5
AV命名：Trojan.DL.Win32.Autorun.ywk(瑞星)

技术细节：
1.病毒衍生以下副本
%systemroot%\system32\serdst.exe

并向可移动存储中写入serdst.exe和autorun.inf文件 达到传播自身的目的

2.通过添加服务达到启动自身的目的：
服务名称：Wdswsdewn
显示名称：Telephotsgoogle
描述：为即插即用设备提供支持

3.反病毒软件行为：

检测以下窗口
"IE执行保护"  通过SendMessageA函数发送WM_LBUTTONDOWN，WM_LBUTTONUP消息实现模拟鼠标点击事件 

"瑞星卡卡上网安全助手 - IE防漏墙",模拟用户按键"允许"

通过GetSystemTime函数获得系统当前时间
检测是否存在
drivers/klif.sys
如果存在则通过cmd /s date 1981-01-12 命令把时间调整为1981年1月12日
隔15s后把时间改回

4.其他行为
修改注册表HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoDriveTypeAutoRun的值为0
使得用户对于自动播放的免疫失效

5.启动IE浏览器，下载
http://down.*.net/kl/1.exe~http://down.*.net/kl/19.exe
到%systemroot%\system32下面
下载的木马依旧几乎都是盗号木马
可以盗如下游戏的帐号和密码（包括但不限于）：

魔兽世界
传奇世界
天龙八部
问道
...

其中IGM.exe,IGW.exe会启动IE访问http://www.cdpf.org.cn/ （中国残疾人联合会）的网站，汗一个
而且病毒体内有“庆贺十七大祖国越来越好”的字样

病毒木马植入完毕后，sreng日志如下

启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\

Policies\Explorer\Run]
    {MSDEG32}{LYLoader.exe}  []
    {MSDWG32}{LYLoadbr.exe}  [N/A]
    {MSDCG32    }{LYLeador.exe}  [N/A]
    {MSDOG32}{LYLoador.exe}  [N/A]
    {MSDSG32}{LYLoadar.exe}  [N/A]
    {MSDMG32}{LYLoadmr.exe}  [N/A]
    {MSDHG32}{LYLoadhr.exe}  [N/A]
    {MSDQG32}{LYLoadqr.exe}  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    {AppInit_DLLs}{rsmyfpm.dll}  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\

Explorer\ShellExecuteHooks]
    {{6E32FA58-3453-FA2D-BC49-F340348ACCE6}}{%systemroot%\system32\rsmyfpm.dll}  []

==================================
服务
[Telephotsgoogle / Wdswsdewn][Stopped/Auto Start]
  {%systemroot%\system32\serdst.exe}{N/A}

解决办法：

sreng：到down.45its.com下载

一.清除病毒主程序
1.打开sreng （就是你扫日志的软件）

“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”，
选中以下项目，点“删除服务”，再点“设置”，在弹出的框中点“否”：

Telephotsgoogle / Wdswsdewn

2.双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定
点击  菜单栏下方的 文件夹按钮（搜索右边的按钮）
在左边的资源管理器中单击系统盘
删除如下文件%systemroot%\system32\serdst.exe

二.清除下载的木马和病毒（由于病毒连接的服务器上的木马随时更新，所以本操作仅供参考）

1.双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定
找到以下文件把他们重命名
%systemroot%\system32\avwgein.dll
%systemroot%\system32\avwgemn.dll
%systemroot%\system32\avwldin.dll
%systemroot%\system32\avwldmn.dll
%systemroot%\system32\avzxein.dll
%systemroot%\system32\avzxemn.dll
%systemroot%\system32\kapjccs.dll
%systemroot%\system32\kapjczy.dll
%systemroot%\system32\kaqhgcs.dll
%systemroot%\system32\kaqhgzy.dll
%systemroot%\system32\kawdacs.dll
%systemroot%\system32\kawdbzy.dll
%systemroot%\system32\kvdxgcf.dll
%systemroot%\system32\kvdxgma.dll
%systemroot%\system32\kvdxsfcf.dll
%systemroot%\system32\kvdxsfma.dll
%systemroot%\system32\raqjdni.dll
%systemroot%\system32\raqjdpi.dll
%systemroot%\system32\rarjani.dll
%systemroot%\system32\rarjbpi.dll
%systemroot%\system32\ratbani.dll
%systemroot%\system32\ratbfpi.dll
%systemroot%\system32\rsjzafg.dll
%systemroot%\system32\rsjzbpm.dll
%systemroot%\system32\rsmyafg.dll
%systemroot%\system32\rsmyfpm.dll
%systemroot%\system32\rsztffg.dll
%systemroot%\system32\rsztfpm.dll
%systemroot%\system32\sidjbcs.dll
%systemroot%\system32\sidjbzy.dll
然后重启计算机 进入
安全模式下(开机后不断 按F8键  然后出来一个高级菜单 选择第一项 安全模式 进入系统)

打开sreng （就是你扫日志的软件）
启动项目  注册表 删除如下项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\

CurrentVersion\Policies\Explorer\Run]
    {MSDEG32}{LYLoader.exe}  []
    {MSDWG32}{LYLoadbr.exe}  [N/A]
    {MSDCG32    }{LYLeador.exe}  [N/A]
    {MSDOG32}{LYLoador.exe}  [N/A]
    {MSDSG32}{LYLoadar.exe}  [N/A]
    {MSDMG32}{LYLoadmr.exe}  [N/A]
    {MSDHG32}{LYLoadhr.exe}  [N/A]
    {MSDQG32}{LYLoadqr.exe}  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\

Explorer\ShellExecuteHooks]
    {{6E32FA58-3453-FA2D-BC49-F340348ACCE6}}{%systemroot%\system32\rsmyfpm.dll}  []
双击AppInit_DLLs把其键值清空

删除如下文件
%systemroot%\system32\avwgein.dll
%systemroot%\system32\avwgemn.dll
%systemroot%\system32\avwgest.exe
%systemroot%\system32\avwldin.dll
%systemroot%\system32\avwldmn.dll
%systemroot%\system32\avwldst.exe
%systemroot%\system32\avzxein.dll
%systemroot%\system32\avzxemn.dll
%systemroot%\system32\avzxest.exe
%systemroot%\system32\kapjcaz.exe
%systemroot%\system32\kapjccs.dll
%systemroot%\system32\kapjczy.dll
%systemroot%\system32\kaqhgaz.exe
%systemroot%\system32\kaqhgcs.dll
%systemroot%\system32\kaqhgzy.dll
%systemroot%\system32\kawdacs.dll
%systemroot%\system32\kawdbaz.exe
%systemroot%\system32\kawdbzy.dll
%systemroot%\system32\kvdxgcf.dll
%systemroot%\system32\kvdxgis.exe
%systemroot%\system32\kvdxgma.dll
%systemroot%\system32\kvdxsfcf.dll
%systemroot%\system32\kvdxsfis.exe
%systemroot%\system32\kvdxsfma.dll
%systemroot%\system32\LYLOADER.EXE
%systemroot%\system32\LYMANGR.DLL
%systemroot%\system32\MSDEG32.DLL
%systemroot%\system32\raqjdni.dll
%systemroot%\system32\raqjdpi.dll
%systemroot%\system32\raqjdtl.exe
%systemroot%\system32\rarjani.dll
%systemroot%\system32\rarjbpi.dll
%systemroot%\system32\rarjbtl.exe
%systemroot%\system32\ratbani.dll
%systemroot%\system32\ratbfpi.dll
%systemroot%\system32\ratbftl.exe
%systemroot%\system32\rsjzafg.dll
%systemroot%\system32\rsjzbpm.dll
%systemroot%\system32\rsjzbsp.exe
%systemroot%\system32\rsmyafg.dll
%systemroot%\system32\rsmyfpm.dll
%systemroot%\system32\rsmyfsp.exe
%systemroot%\system32\rsztffg.dll
%systemroot%\system32\rsztfpm.dll
%systemroot%\system32\rsztfsp.exe
%systemroot%\system32\sidjbaz.exe
%systemroot%\system32\sidjbcs.dll
%systemroot%\system32\sidjbzy.dll
%systemroot%\608769MM.DLL
%systemroot%\608769WL.DLL
%systemroot%\608769WO.DLL
%systemroot%\IGM.exe
%systemroot%\IGW.exe
%systemroot%\swchost.exe