病毒名称:Trojan.DL.Agent.ncd(rising报毒名称) 样本名字:小心有鬼.txt.exe,文件图标是记事本图标 病毒大小:216,379 字节(原始样本) 加壳方式:() MD5:55A7929CBA30824EFE8AFC6F35D4FB14 SHA1:E403D50B0267F4770666408EC10E5CA56CB07A1F
该病毒首先在用户桌面上生成 1.exe/小心有鬼.pif(病毒副本) 和 小心有鬼,胆小勿看.txt(文本文件,内容为:
恭喜你中毒了,呵呵!!!!!!)
将自身释放到系统目录(替换系统文件) C:\WINDOWS\system32\severe.exe C:\WINDOWS\system32\tgejsy.exe C:\WINDOWS\system32\drivers\cwyumh.exe(替换系统文件) C:\WINDOWS\system32\drivers\conime.exe(替换系统文件)
生成下面两个文件 C:\WINDOWS\system32\tgejsy.dll C:\WINDOWS\system32\hx1.bat
利用U盘传播: X:\OSO.exe X:\autorun.inf
修改注册表键值: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL "CheckedValue" = 0(建议改为1)
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run "cwyumh" = %SYSTEM%\TGEJSY.EXE "tgejsy" = %SYSTEM%\SEVERE.EXE
SYSTEM.INI\BOOT "SHELL" = EXPLORER.EXE %SYSTEM%\DRIVERS\CONIME.EXE
修改 C:\WINDOWS\system32\drivers\etc\hosts 文件,以阻止中毒用户访问安全论坛或升级安全软件,添加以下内
容(需手动删除) 127.0.0.1 mmsk.cn 127.0.0.1 ikaka.com 127.0.0.1 safe.qq.com 127.0.0.1 360safe.com 127.0.0.1 www.mmsk.cn 127.0.0.1 www.ikaka.com 127.0.0.1 tool.ikaka.com 127.0.0.1 www.360safe.com 127.0.0.1 zs.kingsoft.com 127.0.0.1 forum.ikaka.com 127.0.0.1 up.rising.com.cn 127.0.0.1 scan.kingsoft.com 127.0.0.1 kvup.jiangmin.com 127.0.0.1 reg.rising.com.cn 127.0.0.1 update.rising.com.cn 127.0.0.1 update7.jiangmin.com 127.0.0.1 download.rising.com.cn 127.0.0.1 dnl-us1.kaspersky-labs.com 127.0.0.1 dnl-us2.kaspersky-labs.com 127.0.0.1 dnl-us3.kaspersky-labs.com 127.0.0.1 dnl-us4.kaspersky-labs.com 127.0.0.1 dnl-us5.kaspersky-labs.com 127.0.0.1 dnl-us6.kaspersky-labs.com 127.0.0.1 dnl-us7.kaspersky-labs.com 127.0.0.1 dnl-us8.kaspersky-labs.com 127.0.0.1 dnl-us9.kaspersky-labs.com 127.0.0.1 dnl-us10.kaspersky-labs.com 127.0.0.1 dnl-eu1.kaspersky-labs.com 127.0.0.1 dnl-eu2.kaspersky-labs.com 127.0.0.1 dnl-eu3.kaspersky-labs.com 127.0.0.1 dnl-eu4.kaspersky-labs.com 127.0.0.1 dnl-eu5.kaspersky-labs.com 127.0.0.1 dnl-eu6.kaspersky-labs.com 127.0.0.1 dnl-eu7.kaspersky-labs.com 127.0.0.1 dnl-eu8.kaspersky-labs.com 127.0.0.1 dnl-eu9.kaspersky-labs.com 127.0.0.1 dnl-eu10.kaspersky-labs.com
解决方法:
1.到down.45it.com下载IceSword120_cn.zip删除以下文件:
C:\WINDOWS\system32\severe.exe C:\WINDOWS\system32\tgejsy.exe C:\WINDOWS\system32\drivers\cwyumh.exe(此处替换系统文件) C:\WINDOWS\system32\drivers\conime.exe(此处替换系统文件) C:\WINDOWS\system32\tgejsy.dll C:\WINDOWS\system32\hx1.bat: X:\OSO.exe X:\autorun.inf
2.开始菜单-运行-输入“Regedit”打开注册表编辑器依次打开以下选项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL "CheckedValue" = 0(建议改为1)
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run "cwyumh" = %SYSTEM%\TGEJSY.EXE(此处删除) "tgejsy" = %SYSTEM%\SEVERE.EXE(此处删除)
SYSTEM.INI\BOOT "SHELL" = EXPLORER.EXE %SYSTEM%\DRIVERS\CONIME.EXE(此处删除)
3.打开C:\WINDOWS\system32\drivers\etc\hosts,删除分析中提到的劫持
|