文件名称:一个被感染的文件
文件大小:61440 byte(系统显示60K)
AV命名:Trojan.Win32.Agent.cli [AVP]
加壳方式:未
编写语言:Microsoft Visual C++ 6.0
病毒类型:感染类病毒
文件MD5:1b9fc1f8d919a3a597fae7e54bfc4f0
病毒描述: 该病毒为VC编写,未加壳,目前大部分杀软都无法检测。运行后,会覆盖除C盘外的所有EXE和COM格式文件。并于后台开启网络线程刷某网站流量,关闭一些特定的字体,导致浏览器无法正常使用。 行为分析:
1、运行病毒体,释放其他副本:
C:\Program Files\Internet Explorer\SVCH0ST.EXE 49152 字节
C:\Program Files\Internet Explorer\winoperl.sys 3039 字节
C:\Program Files\Windows Media Player\smigrate.exe 20480 字节
C:\WINNT\system32\WinRSLD.dll 28672 字节
2、读取磁盘文件,查找D-H盘的".exe"、".com"文件并覆盖!!如文件大于2011571600则删除,不覆盖。
遇到".gho"也删除。
覆盖后的感染标记应该是"XXC",避免反复感染
这导致系统所有的可执行程序都成病毒体。。恢复可能性为0
3、反注册一些Dll文件,使系统一些功能失效:
/u /s shimgvw.dll
/u /s itss.dll
/u /s scrrun.dll
/u /s vbscript.dll
4、注册病毒文件: /s WinRSLD.dll,刷流量用的。。
5、SVCH0ST.EXE驻进程,于后台不停刷新某网页流量。
5、查找C-H盘,根据系统目录查找系统的一些提示音,并删除:
X:\WINDOWS\Media\Windows XP 开始.wav X:\WINDOWS\Media\Windows XP 信息栏.wav X:\WINDOWS\Media\Windows XP 弹出窗口已阻止.wav
6、smigrate.exe注册为系统服务,开机自启:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SecondarySENS] "Type"=dword:00000110 "Start"=dword:00000002 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):43,00,3a,00,5c,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,\ 20,00,46,00,69,00,6c,00,65,00,73,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,\ 00,73,00,20,00,4d,00,65,00,64,00,69,00,61,00,20,00,50,00,6c,00,61,00,79,00,\ 65,00,72,00,5c,00,73,00,6d,00,69,00,67,00,72,00,61,00,74,00,65,00,2e,00,65,\ 00,78,00,65,00,00,00 "DisplayName"="SecondarySENS" "ObjectName"="LocalSystem" "Description"="系统事件通知服务(SENS),此服务为订阅组件对象模型(COM)组件事件提供自动分布功能。如
果禁用此服务,显式依赖此服务的其他服务将无法启动"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SecondarySENS\Security] "Security"=hex:01,00,14,80,a0,00,00,00,ac,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,70,00,04,00,00,00,00,00,18,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,00,00,00,00,1c,00,ff,01,0f,00,01,02,00,00,00,00,00,05,\ 20,00,00,00,20,02,00,00,00,00,00,00,00,00,18,00,8d,01,02,00,01,01,00,00,00,\ 00,00,05,0b,00,00,00,20,02,00,00,00,00,1c,00,fd,01,02,00,01,02,00,00,00,00,\ 00,05,20,00,00,00,23,02,00,00,00,00,00,00,01,01,00,00,00,00,00,05,12,00,00,\ 00,01,01,00,00,00,00,00,05,12,00,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SecondarySENS\Enum] "0"="Root\\LEGACY_SECONDARYSENS\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001
7、修改注册表,禁用一些IE功能:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Display Inline Videos Display Inline Videos REG_SZ, "yes " ==} REG_SZ, "no "
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Enable AutoImageResize Enable AutoImageResize REG_SZ, "yes " ==} REG_SZ, "no "
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Play_Animations Play_Animations REG_SZ, "yes " ==} REG_SZ, "no "
这包括禁止IE自动播发在线视频、动画和自动适应屏幕大小,
还有其他的,如禁止脚本调试、禁用ActiveX 控件等等,不发了
哈哈``别指望病毒帮你系统优化,其实是在后台刷流量怕太卡了,请允许我鄙视一下。
8、如果发现以下窗口,则发送关闭命令:
内存 rror 安全 .wmf 错误 服务器正在 主页 cript 收藏
哈,看来是针对IE的,刷网页流量的铺脚石
8、关闭出现在窗口的属性页,可能是防止病毒属性被修改吧:
.exe :\ .com .bat
9、其中释放出来的驱动:winoperl.sys,检测系统进程状况。
如果运行了被感染的文件,在满足一定条件下(进程有多个病毒体被执行),那么这次请求会失败。
然后会释放个P处理,删除这个文件。
可能是病毒怕拖跨了系统,哈哈``
最大限制方法:
下载PowerRmv和SREng(可到down.45it.com下载):
1、断开网络,打开PowerRmv,选上抑制杀灭对象生成,填入:
C:\Program Files\Internet Explorer\SVCH0ST.EXE
C:\Program Files\Internet Explorer\winoperl.sys
C:\Program Files\Windows Media Player\smigrate.exe
C:\WIndows\system32\WinRSLD.dll
2、SREng,删除:
[SecondarySENS / SecondarySENS][Running/Auto Start] {C:\Program Files\Windows Media Player\smigrate.exe}{N/A}
3、升级杀毒软件,如还不能识别的话,上报`````
|