U盘病毒ah.exe以及其下载的病毒的分析 这是一个类似AV终结者的木马下载器,具有U盘传播,关闭杀毒软件和指定窗口并下载木马的功能
File: ah.exe Size: 18432 bytes Modified: 2007年10月12日, 21:12:04 MD5: B329E5D20A1636F2A7EB7051A8ED55A1 SHA1: 4AAE08CB65BFBCC0F5F086AEDB3042ED16332F2F CRC32: 8300CEA6 AV命名:Trojan.DL.Win32.Autorun.yuz(瑞星)
技术细节: 1、释放病毒副本: %systemroot%\system32\dream.exe %systemroot%\system32\sbl.inf %systemroot%\system32\plmmsbl.dll
各个分区释放autorun.inf和ah.exe %systemroot%\system32\sbl.inf与autorun.inf内容相同
2.添加注册表启动项目 在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run 下添加 {melove}{%systemroot%\system32\dream.exe} 和{dream}{%systemroot%\system32\dream.exe}的启动项目
3.启动一个svchost.exe 然后利用
3.调用cmd.exe 执行cmd.exe /c net stop sharedaccess的命令 关闭Windows自带的防火墙
4.结束如下进程 360safe.exe 360tray.exe avp.exe
5.检测窗口,关闭带有如下字样的窗口 防火墙 任务管理器 木马清道夫 木马克星 超级巡警 NOD32核心 微点 安全卫士 木马杀客 NOD32 内核 杀毒 江民 金山
6.调用CreateProcess打开进程%systemroot%\system32\svchost.exe,把%systemroot%\system32\plmmsbl.dll注入到svchost.exe中,并调用urlmon.dll实现下载功能 下载http://*.8800.org/lxh.exe 到c盘并命名为a.exe(或者b.exe ,c.exe)
http://*.8800.org/lxh.exe会释放一个winsys16_071012.dll(文件名不固定,病毒几乎每天都在更新)到%systemroot%\system32\下面 并利用rundll32.exe加载
此病毒也是一个类似AV终结者的下载者病毒 添加启动项目 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\
下面添加
向瑞星的IE执行保护 发送允许的指令 向卡巴的安全警告 发送允许或者跳过的指令
并可关闭如下字样的窗口(包括但不限于) 卡巴斯基 瑞星 安全卫士 毒霸 360 江民 Windows任务管理器 雅虎助手 Kaspersky jiangmin rising NOD32 Symantec AntiVirus 系统配置实用程序 注册表编辑器 启动管理 木马 mcafee duba 金山反间谍 ...
之后病毒又会接连下载几个木马程序
木马全部植入完毕以后 木马生成物主要如下 %systemroot%\system\AlxRes071012.exe %systemroot%\system32\inf\scrsys071012.scr %systemroot%\system32\inf\scrsys16_071012.dll %systemroot%\system32\mywebhit.ini %systemroot%\system32\wincheck071008.dll %systemroot%\system32\wincheck071008.exe %systemroot%\system32\winsys16_071012.dll %systemroot%\system32\winsys32_071012.dll %systemroot%\checkcj.ini %systemroot%\mwinsys.ini
sreng日志如下 启动项目 注册表 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] {mscheck}{rundll32.exe %systemroot%\system32\wincheck071008.dll mymain} [N/A] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] {Userinit}{rundll32.exe %systemroot%\system32\winsys16_071012.dll start} [N/A] {melove}{%systemroot%\system32\dream.exe} [] {dream}{%systemroot%\system32\dream.exe} []
================================== Autorun.inf [C:\] [autorun] OPEN=ah.exe shellexecute=ah.exe shell\Auto\command=ah.exe shell=open [D:\] [autorun] OPEN=ah.exe shellexecute=ah.exe shell\Auto\command=ah.exe shell=open
解决方法: down.45it.com下载sreng2.zip和IceSword120_cn.zip(以下简称冰刃)
1.打开Icesword 进程栏中 结束dream.exe和rundll32.exe
单击 左下角文件按钮 删除如下文件 %systemroot%\system\AlxRes071012.exe %systemroot%\system32\inf\scrsys071012.scr %systemroot%\system32\inf\scrsys16_071012.dll %systemroot%\system32\mywebhit.ini %systemroot%\system32\wincheck071008.dll %systemroot%\system32\wincheck071008.exe %systemroot%\system32\winsys16_071012.dll %systemroot%\system32\winsys32_071012.dll %systemroot%\checkcj.ini %systemroot%\mwinsys.ini %systemroot%\system32\dream.exe %systemroot%\system32\sbl.inf %systemroot%\system32\plmmsbl.dll 以及每个分区下面的 ah.exe 和autorun.inf
2.打开sreng 启动项目 注册表 删除如下项目 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] {mscheck}{rundll32.exe %systemroot%\system32\wincheck071008.dll mymain} [N/A] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] {Userinit}{rundll32.exe %systemroot%\system32\winsys16_071012.dll start} [N/A] {melove}{%systemroot%\system32\dream.exe} [] {dream}{%systemroot%\system32\dream.exe} []
即可
|