|
Aditional Information
File size: 20000 bytes
MD5: 3087e68819f9521b7f8be1a17734c3fe SHA1: 82b39340a3da0bdde544f0f5e6b9df81e71797a2 CRC32 : 1C5A03D RIPEMD160: 397194446721BA5D7DD6A79CC2ADDC5690D9E49F Tiger_192: 4C55317A0FEEA4579665AE892B112E57972671985F50ABAC SHA160 : 82B39340A3DA0BDDE544F0F5E6B9DF81E71797A2 packers: Upack 0.3.9 beta2s Languages:Borland Delphi 6.0-7.0 运行,释放:
C:\WINNT\system\internat.exe 20000 字节 C:\WINNT\system\SYSTEM32.vxd 855 字节
1_.ii 20000 字节
1、internat.exe常驻进程,调用CMD的Dir命令,遍历分区搜索EXE可执行文件,保存列表至:%Windir%\win.log并修改所有运行中的程序的内存空间(便于用来后来捆绑)
2、按win.log里列表的"黑名单"进行捆绑,跳过系统盘、System Volume Information、Recycled文件夹和下列文件名:
CA.exe NMCOSrv.exe CONFIG.exe Updater.exe WE8.exe settings.exe PES5.exe PES6.exe
zhengtu.exe xenettools.exe laizi.exe proxy.exe Launcher.exe WoW.exe Repair.exeBackgroundDownloader.exe eo2_unins_web.exe O2Jam.exe O2JamPatchClient.exe
O2ManiaDriverSelect.exe OTwo.exe sTwo.exe GAME2.EXE GAME3.EXE Game4.exe game.exe hypwise.exe Roadrash.exe O2Mania.exe Lobby_Setup.exe eCoralQQ.exe QQ.exe QQexternal.exe BugReport.exe tm.exe ra2.exe ra3.exe ra4.exeexedzh.exe Findbug.EXE fb3.exe Meteor.exe mir.exe
KartRider.exe NMService.exeztconfig.exe patchupdate.exe
貌似都是网游、QQ等进程,给下载木马盗号埋下伏笔.....
3、接下来从D盘开始进行捆绑感染,被捆绑的文件增加21034字节。用WinHex对比了下,原来是把病毒代码捆绑到文件尾部,并修改了PE头,优先执行捆绑尾部的代码,后执行程序。(原程序运行无影响)。
4、另一个线程,参数是/update,连接222.220.16.186(TCP)下载16个木马,都是盗号木马(隔段时间重新连接)
被捆绑后文件,运行后首先执行1_.ii,后在同目录下生成个批处理,内容为:
也就是执行捆绑尾部的病毒后删除自身
那么每次运行被感染的程序其实就是重新激活病毒,重头做上面那些,并遍历分区生成
达到双击分区激活病毒的效果,并支持U盘等移动介质传播。
没有特别好的解决方法,因为每个被“感染”的文件都等于是病毒,只要不小心运行感染的文件后,之前做的一切将都是徒劳的。
最大限度遏制方法:
下载(可到down.45it.com下载):
PowerRmv.com 和SREng.rar
打开PowerRmv,填入(一次一个,找不到的忽略):
*为移动介质盘符。
打开SREng删除:
注册表(详细步骤:打开SREng-启动项目-注册表)
记得修改QQ、邮箱等密码。。。。
|