U盘病毒serdst.exe的分析以及其下载的木马的专杀方案
此病毒是先前流行的servver.exe的变种,最近几天中毒者增多。 File: serdst.exe Size: 37888 bytes Modified: 2007年10月27日, 13:41:01 MD5: 6D84039E781655F16185023A7A7C09E1 SHA1: 3FD12BE3D86DF261438BBED126C507D1E14A90E0 CRC32: 597058C5 AV命名:Trojan.DL.Win32.Autorun.ywk(瑞星)
技术细节: 1.病毒衍生以下副本 %systemroot%\system32\serdst.exe
并向可移动存储中写入serdst.exe和autorun.inf文件 达到传播自身的目的
2.通过添加服务达到启动自身的目的: 服务名称:Wdswsdewn 显示名称:Telephotsgoogle 描述:为即插即用设备提供支持
3.反病毒软件行为:
检测以下窗口 "IE执行保护" 通过SendMessageA函数发送WM_LBUTTONDOWN,WM_LBUTTONUP消息实现模拟鼠标点击事件
"瑞星卡卡上网安全助手 - IE防漏墙",模拟用户按键"允许"
通过GetSystemTime函数获得系统当前时间 检测是否存在 drivers/klif.sys 如果存在则通过cmd /s date 1981-01-12 命令把时间调整为1981年1月12日 隔15s后把时间改回
4.其他行为 修改注册表HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer NoDriveTypeAutoRun的值为0 使得用户对于自动播放的免疫失效
5.启动IE浏览器,下载 http://down.*.net/kl/1.exe~http://down.*.net/kl/19.exe 到%systemroot%\system32下面 下载的木马依旧几乎都是盗号木马 可以盗如下游戏的帐号和密码(包括但不限于):
魔兽世界 传奇世界 天龙八部 问道 ...
其中IGM.exe,IGW.exe会启动IE访问http://www.cdpf.org.cn/ (中国残疾人联合会)的网站,汗一个 而且病毒体内有“庆贺十七大祖国越来越好”的字样
病毒木马植入完毕后,sreng日志如下
启动项目 注册表 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Policies\Explorer\Run] {MSDEG32}{LYLoader.exe} [] {MSDWG32}{LYLoadbr.exe} [N/A] {MSDCG32 }{LYLeador.exe} [N/A] {MSDOG32}{LYLoador.exe} [N/A] {MSDSG32}{LYLoadar.exe} [N/A] {MSDMG32}{LYLoadmr.exe} [N/A] {MSDHG32}{LYLoadhr.exe} [N/A] {MSDQG32}{LYLoadqr.exe} [N/A] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows] {AppInit_DLLs}{rsmyfpm.dll} [] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\ShellExecuteHooks] {{6E32FA58-3453-FA2D-BC49-F340348ACCE6}}{%systemroot%\system32\rsmyfpm.dll} []
================================== 服务 [Telephotsgoogle / Wdswsdewn][Stopped/Auto Start] {%systemroot%\system32\serdst.exe}{N/A}
解决办法:
sreng:到down.45it.com下载
一.清除病毒主程序 1.打开sreng (就是你扫日志的软件)
“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”, 选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:
Telephotsgoogle / Wdswsdewn
2.双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定 点击 菜单栏下方的 文件夹按钮(搜索右边的按钮) 在左边的资源管理器中单击系统盘 删除如下文件%systemroot%\system32\serdst.exe
二.清除下载的木马和病毒(由于病毒连接的服务器上的木马随时更新,所以本操作仅供参考)
1.双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定 找到以下文件把他们重命名 %systemroot%\system32\avwgein.dll %systemroot%\system32\avwgemn.dll %systemroot%\system32\avwldin.dll %systemroot%\system32\avwldmn.dll %systemroot%\system32\avzxein.dll %systemroot%\system32\avzxemn.dll %systemroot%\system32\kapjccs.dll %systemroot%\system32\kapjczy.dll %systemroot%\system32\kaqhgcs.dll %systemroot%\system32\kaqhgzy.dll %systemroot%\system32\kawdacs.dll %systemroot%\system32\kawdbzy.dll %systemroot%\system32\kvdxgcf.dll %systemroot%\system32\kvdxgma.dll %systemroot%\system32\kvdxsfcf.dll %systemroot%\system32\kvdxsfma.dll %systemroot%\system32\raqjdni.dll %systemroot%\system32\raqjdpi.dll %systemroot%\system32\rarjani.dll %systemroot%\system32\rarjbpi.dll %systemroot%\system32\ratbani.dll %systemroot%\system32\ratbfpi.dll %systemroot%\system32\rsjzafg.dll %systemroot%\system32\rsjzbpm.dll %systemroot%\system32\rsmyafg.dll %systemroot%\system32\rsmyfpm.dll %systemroot%\system32\rsztffg.dll %systemroot%\system32\rsztfpm.dll %systemroot%\system32\sidjbcs.dll %systemroot%\system32\sidjbzy.dll 然后重启计算机 进入 安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)
打开sreng (就是你扫日志的软件) 启动项目 注册表 删除如下项目 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Policies\Explorer\Run] {MSDEG32}{LYLoader.exe} [] {MSDWG32}{LYLoadbr.exe} [N/A] {MSDCG32 }{LYLeador.exe} [N/A] {MSDOG32}{LYLoador.exe} [N/A] {MSDSG32}{LYLoadar.exe} [N/A] {MSDMG32}{LYLoadmr.exe} [N/A] {MSDHG32}{LYLoadhr.exe} [N/A] {MSDQG32}{LYLoadqr.exe} [N/A] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\ShellExecuteHooks] {{6E32FA58-3453-FA2D-BC49-F340348ACCE6}}{%systemroot%\system32\rsmyfpm.dll} [] 双击AppInit_DLLs把其键值清空
删除如下文件 %systemroot%\system32\avwgein.dll %systemroot%\system32\avwgemn.dll %systemroot%\system32\avwgest.exe %systemroot%\system32\avwldin.dll %systemroot%\system32\avwldmn.dll %systemroot%\system32\avwldst.exe %systemroot%\system32\avzxein.dll %systemroot%\system32\avzxemn.dll %systemroot%\system32\avzxest.exe %systemroot%\system32\kapjcaz.exe %systemroot%\system32\kapjccs.dll %systemroot%\system32\kapjczy.dll %systemroot%\system32\kaqhgaz.exe %systemroot%\system32\kaqhgcs.dll %systemroot%\system32\kaqhgzy.dll %systemroot%\system32\kawdacs.dll %systemroot%\system32\kawdbaz.exe %systemroot%\system32\kawdbzy.dll %systemroot%\system32\kvdxgcf.dll %systemroot%\system32\kvdxgis.exe %systemroot%\system32\kvdxgma.dll %systemroot%\system32\kvdxsfcf.dll %systemroot%\system32\kvdxsfis.exe %systemroot%\system32\kvdxsfma.dll %systemroot%\system32\LYLOADER.EXE %systemroot%\system32\LYMANGR.DLL %systemroot%\system32\MSDEG32.DLL %systemroot%\system32\raqjdni.dll %systemroot%\system32\raqjdpi.dll %systemroot%\system32\raqjdtl.exe %systemroot%\system32\rarjani.dll %systemroot%\system32\rarjbpi.dll %systemroot%\system32\rarjbtl.exe %systemroot%\system32\ratbani.dll %systemroot%\system32\ratbfpi.dll %systemroot%\system32\ratbftl.exe %systemroot%\system32\rsjzafg.dll %systemroot%\system32\rsjzbpm.dll %systemroot%\system32\rsjzbsp.exe %systemroot%\system32\rsmyafg.dll %systemroot%\system32\rsmyfpm.dll %systemroot%\system32\rsmyfsp.exe %systemroot%\system32\rsztffg.dll %systemroot%\system32\rsztfpm.dll %systemroot%\system32\rsztfsp.exe %systemroot%\system32\sidjbaz.exe %systemroot%\system32\sidjbcs.dll %systemroot%\system32\sidjbzy.dll %systemroot%\608769MM.DLL %systemroot%\608769WL.DLL %systemroot%\608769WO.DLL %systemroot%\IGM.exe %systemroot%\IGW.exe %systemroot%\swchost.exe
|