U盘病毒serdst.exe的分析以及其下载的木马的专杀方案
此病毒是先前流行的servver.exe的变种,最近几天中毒者增多。
File: serdst.exe
Size: 37888 bytes
Modified: 2007年10月27日, 13:41:01
MD5: 6D84039E781655F16185023A7A7C09E1
SHA1: 3FD12BE3D86DF261438BBED126C507D1E14A90E0
CRC32: 597058C5
AV命名:Trojan.DL.Win32.Autorun.ywk(瑞星)
技术细节:
1.病毒衍生以下副本
%systemroot%\system32\serdst.exe
并向可移动存储中写入serdst.exe和autorun.inf文件 达到传播自身的目的
2.通过添加服务达到启动自身的目的:
服务名称:Wdswsdewn
显示名称:Telephotsgoogle
描述:为即插即用设备提供支持
3.反病毒软件行为:
检测以下窗口
"IE执行保护" 通过SendMessageA函数发送WM_LBUTTONDOWN,WM_LBUTTONUP消息实现模拟鼠标点击事件
"瑞星卡卡上网安全助手 - IE防漏墙",模拟用户按键"允许"
通过GetSystemTime函数获得系统当前时间
检测是否存在
drivers/klif.sys
如果存在则通过cmd /s date 1981-01-12 命令把时间调整为1981年1月12日
隔15s后把时间改回
4.其他行为
修改注册表HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoDriveTypeAutoRun的值为0
使得用户对于自动播放的免疫失效
5.启动IE浏览器,下载
http://down.*.net/kl/1.exe~http://down.*.net/kl/19.exe
到%systemroot%\system32下面
下载的木马依旧几乎都是盗号木马
可以盗如下游戏的帐号和密码(包括但不限于):
魔兽世界
传奇世界
天龙八部
问道
...
其中IGM.exe,IGW.exe会启动IE访问http://www.cdpf.org.cn/ (中国残疾人联合会)的网站,汗一个
而且病毒体内有“庆贺十七大祖国越来越好”的字样
病毒木马植入完毕后,sreng日志如下
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Policies\Explorer\Run]
{MSDEG32}{LYLoader.exe} []
{MSDWG32}{LYLoadbr.exe} [N/A]
{MSDCG32 }{LYLeador.exe} [N/A]
{MSDOG32}{LYLoador.exe} [N/A]
{MSDSG32}{LYLoadar.exe} [N/A]
{MSDMG32}{LYLoadmr.exe} [N/A]
{MSDHG32}{LYLoadhr.exe} [N/A]
{MSDQG32}{LYLoadqr.exe} [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
{AppInit_DLLs}{rsmyfpm.dll} []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\ShellExecuteHooks]
{{6E32FA58-3453-FA2D-BC49-F340348ACCE6}}{%systemroot%\system32\rsmyfpm.dll} []
==================================
服务
[Telephotsgoogle / Wdswsdewn][Stopped/Auto Start]
{%systemroot%\system32\serdst.exe}{N/A}
解决办法:
sreng:到down.45its.com下载
一.清除病毒主程序
1.打开sreng (就是你扫日志的软件)
“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”,
选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:
Telephotsgoogle / Wdswsdewn
2.双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
点击 菜单栏下方的 文件夹按钮(搜索右边的按钮)
在左边的资源管理器中单击系统盘
删除如下文件%systemroot%\system32\serdst.exe
二.清除下载的木马和病毒(由于病毒连接的服务器上的木马随时更新,所以本操作仅供参考)
1.双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
找到以下文件把他们重命名
%systemroot%\system32\avwgein.dll
%systemroot%\system32\avwgemn.dll
%systemroot%\system32\avwldin.dll
%systemroot%\system32\avwldmn.dll
%systemroot%\system32\avzxein.dll
%systemroot%\system32\avzxemn.dll
%systemroot%\system32\kapjccs.dll
%systemroot%\system32\kapjczy.dll
%systemroot%\system32\kaqhgcs.dll
%systemroot%\system32\kaqhgzy.dll
%systemroot%\system32\kawdacs.dll
%systemroot%\system32\kawdbzy.dll
%systemroot%\system32\kvdxgcf.dll
%systemroot%\system32\kvdxgma.dll
%systemroot%\system32\kvdxsfcf.dll
%systemroot%\system32\kvdxsfma.dll
%systemroot%\system32\raqjdni.dll
%systemroot%\system32\raqjdpi.dll
%systemroot%\system32\rarjani.dll
%systemroot%\system32\rarjbpi.dll
%systemroot%\system32\ratbani.dll
%systemroot%\system32\ratbfpi.dll
%systemroot%\system32\rsjzafg.dll
%systemroot%\system32\rsjzbpm.dll
%systemroot%\system32\rsmyafg.dll
%systemroot%\system32\rsmyfpm.dll
%systemroot%\system32\rsztffg.dll
%systemroot%\system32\rsztfpm.dll
%systemroot%\system32\sidjbcs.dll
%systemroot%\system32\sidjbzy.dll
然后重启计算机 进入
安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)
打开sreng (就是你扫日志的软件)
启动项目 注册表 删除如下项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Policies\Explorer\Run]
{MSDEG32}{LYLoader.exe} []
{MSDWG32}{LYLoadbr.exe} [N/A]
{MSDCG32 }{LYLeador.exe} [N/A]
{MSDOG32}{LYLoador.exe} [N/A]
{MSDSG32}{LYLoadar.exe} [N/A]
{MSDMG32}{LYLoadmr.exe} [N/A]
{MSDHG32}{LYLoadhr.exe} [N/A]
{MSDQG32}{LYLoadqr.exe} [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\ShellExecuteHooks]
{{6E32FA58-3453-FA2D-BC49-F340348ACCE6}}{%systemroot%\system32\rsmyfpm.dll} []
双击AppInit_DLLs把其键值清空
删除如下文件
%systemroot%\system32\avwgein.dll
%systemroot%\system32\avwgemn.dll
%systemroot%\system32\avwgest.exe
%systemroot%\system32\avwldin.dll
%systemroot%\system32\avwldmn.dll
%systemroot%\system32\avwldst.exe
%systemroot%\system32\avzxein.dll
%systemroot%\system32\avzxemn.dll
%systemroot%\system32\avzxest.exe
%systemroot%\system32\kapjcaz.exe
%systemroot%\system32\kapjccs.dll
%systemroot%\system32\kapjczy.dll
%systemroot%\system32\kaqhgaz.exe
%systemroot%\system32\kaqhgcs.dll
%systemroot%\system32\kaqhgzy.dll
%systemroot%\system32\kawdacs.dll
%systemroot%\system32\kawdbaz.exe
%systemroot%\system32\kawdbzy.dll
%systemroot%\system32\kvdxgcf.dll
%systemroot%\system32\kvdxgis.exe
%systemroot%\system32\kvdxgma.dll
%systemroot%\system32\kvdxsfcf.dll
%systemroot%\system32\kvdxsfis.exe
%systemroot%\system32\kvdxsfma.dll
%systemroot%\system32\LYLOADER.EXE
%systemroot%\system32\LYMANGR.DLL
%systemroot%\system32\MSDEG32.DLL
%systemroot%\system32\raqjdni.dll
%systemroot%\system32\raqjdpi.dll
%systemroot%\system32\raqjdtl.exe
%systemroot%\system32\rarjani.dll
%systemroot%\system32\rarjbpi.dll
%systemroot%\system32\rarjbtl.exe
%systemroot%\system32\ratbani.dll
%systemroot%\system32\ratbfpi.dll
%systemroot%\system32\ratbftl.exe
%systemroot%\system32\rsjzafg.dll
%systemroot%\system32\rsjzbpm.dll
%systemroot%\system32\rsjzbsp.exe
%systemroot%\system32\rsmyafg.dll
%systemroot%\system32\rsmyfpm.dll
%systemroot%\system32\rsmyfsp.exe
%systemroot%\system32\rsztffg.dll
%systemroot%\system32\rsztfpm.dll
%systemroot%\system32\rsztfsp.exe
%systemroot%\system32\sidjbaz.exe
%systemroot%\system32\sidjbcs.dll
%systemroot%\system32\sidjbzy.dll
%systemroot%\608769MM.DLL
%systemroot%\608769WL.DLL
%systemroot%\608769WO.DLL
%systemroot%\IGM.exe
%systemroot%\IGW.exe
%systemroot%\swchost.exe