运行病毒样本
释放:
%Systemroot%\system32\DocProp1.dll 20992 字节
%Systemroot%\system32\msv1_1.dll 7680 字节
%Systemroot%\system32\servers.ini 138 字节
创建注册表:
其中msv1_1.dll插入Winlogon.exe(核心)进程。并隔一段时间利用IE调用dw15 -x -s 连接外部(实现反弹连接)
应该是下载一些乱七八糟的东东,不过测试时并未实现。
SSM的日志:
并每隔60秒调用regsvr32.exe注册serverhelp.dll(%Systemroot%\system32\下的),测试并未发现生成。
好像还遍历生成了Autorun.inf和icvas.exe(未验证)。
解决方法:
到down.45it.com下载:
IceSword120_cn.zip,PowerRmv.com,SREng.rar
下载后直接放桌面。关闭不必要的进程,断开网络。
方法一:
1、运行冰刃(即IceSword120_cn.zip),文件—设置—禁止进线程创建-确定。有看到IE进程的话全部结束掉。
2、打开冰刃文件功能,展开到C:\Windows\system32\下(如果是2K、ME系统的话是
C:\Winnt\system32\)删除:
DocProp1.dll msv1_1.dll servers.ini
3、用冰刃的注册表功能,展开到:
KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\下
把msv1_1这整个项删除,切记不要看错了。
4、如果在分区下有看到Autorun.inf和icvas.exe的话删除掉。(没有则忽略)
5、冰刃—重启并监视—确定。
6、重启完后打开SREng如果有看到msv1_1项不要删除,编辑置空(没有的话忽略)
方法二:
打开PowerRMV,填入:
如果是是2K、ME系统的话是把C:\windows\路径改成:C:\Winnt\system32\
开始—运行—输入“regedit”,打开注册表。展开到:
KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\下
把msv1_1这整个项删除,切记不要看错了(不能删除的话,用冰刃的注册表功能)
打开SREng,有看到msv1_1项不要删除,编辑置空(没有的话忽略)
|