最近U盘病毒auto.exe闹的比较凶,但与此同时,又发现了一个类似的通过U盘传播的下载者病毒,希望各位网友要提高警惕。
下面是这个病毒的分析: File: servver.exe Size: 37888 bytes MD5: 411AD11AC0FF5164C8B18AB4AD0D5739 SHA1: 04F46D6222232921CDC9882E8B82182DFB6479DA CRC32: F57CD054
生成如下文件 在系统盘下生成其副本 %system32%\servver.exe 并在每个磁盘分区下生成 autorun.inf和servver.exe
注册为服务 Windowsms 指向%system32%\servver.exe 启动类型:自动 显示名称:Telephots google 服务描述:为即插即用设备提供支持
试图修改注册表 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun的键值 但测试时未实现
查找窗口“IE执行保护”查找到以后 查找按钮“允许执行” 并发送WM_LBUTTONDOWN的指令 模拟按键 查找窗口“瑞星卡卡上网安全助手-IE防漏墙”查找到以后 查找按钮“允许” 并发送WM_LBUTTONDOWN的指令 模拟按键
查找有无drivers/klif.sys文件 如果有则通过cmd /c date 1981-01-12 命令把日期改为1981年1月12日 并在15s以后 把日期再改回来
调用CreateProcess打开进程c:\windows\system32\svchost.exe,然后调用WriteProcessMemory等函数往此进 程中写入病毒代码,实现下载功能 下载如下 http://ads.*.com/100.exe~http://ads.*.com/119.exe 到%system32%文件夹下,下载的病毒有盗号木马 威金等,其中117.exe可以进行arp欺骗.113.exe具有感染htm文件的功能
盗号木马可以盗以下一些网络游戏的帐号密码(包括但不限于) 征途 完美世界 QQ ...
并可结束如下进程或者服务(包括但不限于) Noton AntiVirus Server McTaskmanager McShield McAfeeFramework kvsrvxp DefWatch KPfwSvc KWatchSvc RavMon.exe RavMonD.exe ...
并可关闭自动更新和Windows自带的防火墙
木马和病毒植入完毕以后 sreng日志如下
启动项目 注册表 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] [] [] [] [] [] [] [N/A] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] [] [N/A] [N/A] [N/A] [N/A] [N/A] [N/A] [N/A] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows] [] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] <{E418E9ED-9221-4661-B1F3-4AA35BD83832}> [] <{2960356A-458E-DE24-BD50-268F589A56A2}> [] ================================== 服务 [Telephots google / Windowsms][Stopped/Auto Start] [Remote Help Session Manager / Rasautol][Stopped/Auto Start] [] ================================== 正在运行的进程 [PID: 3084][C:\WINDOWS\explorer.exe] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)] [C:\WINDOWS\system32\avwlbmn.dll] [N/A, ] [C:\WINDOWS\system32\LYMANGR.DLL] [N/A, ] [C:\WINDOWS\system32\DiskMan32.dll] [N/A, ] [C:\WINDOWS\system32\mppds.dll] [N/A, ] [C:\WINDOWS\system32\thjphl.dll] [N/A, ] [C:\WINDOWS\system32\bxtmaz.dll] [N/A, ] [C:\WINDOWS\system32\MsIMMs32.dll] [N/A, ] [C:\WINDOWS\system32\tojdcs.dll] [N/A, ] [C:\Program Files\Internet Explorer\PLUGINS\WinSys88.Sys] [N/A, ] ================================== Winsock 提供者 MSAPI Tcpip [TCP/IP] C:\WINDOWS\system32\qdshm.dll(, N/A) MSAPI Tcpip [UDP/IP] C:\WINDOWS\system32\qdshm.dll(, N/A) ...
手动清除办法:
一、清除病毒主程序 down.45it.com下载sreng2.zip和IceSword120_cn.zip(以下简称冰刃)
打开sreng “启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”, 选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:
Telephots google / Windowsms
重启计算机 使用冰刃删除如下文件 %system32%\servver.exe 以及各个分区下的autorun.inf和servver.exe
二、清除木马 以前写的好多了,这里不再赘述。 具体方法参考之前的auto.exe的木马群的查杀 以及随机7位字母的dll木马群的查杀方法
三、下载威金专杀修复受感染的exe文件
四、down.45it.com下载iframekill.rar修复受感染的htm文件
|