当前位置: 电脑软硬件应用网 > 电脑学院 > 网络安全 > 正文 |
|
|||
C0NIME.EXE,ntldr.exe(Win32.Logogo)病毒分析手动解决 | |||
2007-12-11 15:54:06 文/孤独更可… 出处:网络博客 | |||
其实这东西就是之前的logogo.exe、XP.exe、logogogo.exe的东东 最近MS比较流行,我重新写次。 文件名称:C0NIME.EXE\ntldr.exe 文件大小:28000 bytes AV命名:瑞星(Win32.Logogo)卡吧斯基(Virus.Win32.AutoRun.aik ) 加壳方式:Upack 0.3.9 编写语言:Delphi 文件MD5:ac3a188ef9f96ced8ef8d4e4dfe8dc04 病毒类型:感染类\下载器 行为分析: 1、释放病毒副本: %Systemroot%\system\C0NIME.EXE 28000 字节 查找可用的磁盘,生成:Autorun.inf和ntldr.exe 2、添加注册表,开机启动: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
3、IFEO重定向劫持,一些安全工具和威金受影响: Logo_1.exe 4、访问网络,下载/Article/picture/200712/20071211155608795.jpg 里面包含加密过的木马下载地址。解密后开始连接,一共30来个(其中一个ARP病毒) 都被俺喀嚓了,嘿嘿 域名有下面这些,注意屏蔽: http://a.6u6.biz http://x.98725.com http://g.6u6.biz/ http://b.8q8.biz http://union.21575.com(在线解密校验) 5、HKEY_LOCAL_MACHINE\SOFTWARE\里记录一些病毒的状况,和那些主体有着密切的关系。 6、感染文件细节: (1)首先跳过一些文件夹,防止重要文件被破坏: windows winnt recycler system volume information Common Files Internet Explorer Windows NT (2)感染文件时,如果发现以下文件则跳过,不感染: CA.exe NMCOSrv.exe CONFIG.exe Updater.exe WE8.exe settings.exe PES5.exe PES6.exe zhengtu.exenettools.exe laizi.exe proxy.exe Launcher.exe WoW.exe Repair.exe BackgroundDownloader.exeo2_unins_web.exe O2Jam.exe O2JamPatchClient.exe O2ManiaDriverSelect.exe OTwo.exe sTwo.exeGAME2.EXE GAME3.EXE Game4.exe game.exe hypwise.exe Roadrash.exe O2Mania.exe Lobby_Setup.exeCoralQQ.exe QQ.exe QQexternal.exe BugReport.exe tm.exe ra2.exe ra3.exe ra4.exe ra21006ch.exedzh.exe Findbug.EXE fb3.exe Meteor.exe mir.exe KartRider.exe NMService.exe AdBalloonExt.exeztconfig.exe patchupdate.exe 好乱啊,不整理了。 (3)被感染的文件增加28802字节,还有一个节表.ani(同时也是感染标记,避免反复感染) 里面包含加载病毒的命令。 (4)如果运行感染后的文件会在原文件夹生成ani.ani和一个删ani.ani的批处理。 那么也就是先执行病毒体,再运行感染前程序。 手工修复方法: 这个东东好像杀毒软件能修复不多,我写个手工修复的方法,哎,好麻烦啊! 先说下感染方式: 1、把自身代码附加到正常程序的尾部。 2、添加一个节表".ani"里面包含加载尾部病毒的命令。 3、修改入口点,优先执行病毒体,后执行正常程序。 问题来了,如果把尾部附加数据删除了,系统会报错,提示无效Win32文件。 同样删除".ani"也不行,文件会报废。 手工修复方法: 1、修改入口点 用OD调试,然后看到jmp正常程序入口的地址,记录下来。 2、修改镜像大小。原来的镜像大小=感染后的大小-7082 例如,这个被感染的镜像大小是15082,减后就是E000(16进制的啊) 3、然后利用PE文件的编辑工具,修改对应的数据。
4、删除被增加的节表,也就是ani。
5、修改后程序可正常运行,但仍有冗余的数据。 6、用UE或Winhex删除附加的数据。 OK,运行,一切正常。 解决方法: 1、先下载这个: http://www.kingzoo.com/tools/孤独更可靠/修复IFEO之XP系统专用.rar 然后按提示运行。 2、这时候杀毒软件可以运行了,全盘扫。 扫描过程中,不要运行任何程序,不然可能病毒会再回来..。 3、再下载这个: http://www.kingzoo.com/tools/孤独更可靠/PowerRmv.com 选上抑制杀灭对象生成后填入: C:\windows\system\C0NIME.EXE C:\autorun.inf C:\ntldr.exe D:\autorun.inf D:\ntldr.exe E:\autorun.inf E:\ntldr.exe F:\autorun.inf F:\ntldr.exe 4、然后再去下载个SREng或用注册表,删除它的启动项.. |
|||
关于45IT | About 45IT | 联系方式 | 版权声明 | 网站导航 | |
Copyright © 2003-2011 45IT. All Rights Reserved 浙ICP备09049068号 |