这是一个木马下载者病毒,通过替换微软相关服务启动自身,同时具有反病毒软件和关闭指定窗口的作用,值得一提的是关闭的窗口的关键字中含有某些与色情有关的关键字,因此本文题目中的AV自然就有了两种含义...
File: OiZQdnX.com Size: 68096 bytes Modified: 2007年11月9日, 18:13:47 MD5: 7BBF143B15089D0ADA39A323429BC7C4 SHA1: 2B3BE95F577AF7D22FDBA12454E6CFF61F023693 CRC32: C534F3F1
技术细节: 1、释放病毒副本: %systemroot%\system32\KK.dll
2.调用TerminateProcess函数关闭如下进程 360safe.exe 360tray.exe Ras.exe runiep.exe
3.注册表变化 创建HKLM\SYSTEM\ControlSet001\Control\GetData在其写入与下载有关的一些配置信息 修改HKLM\SYSTEM\ControlSet001\Services\BITS(与windows update有关的一个服务)的相关键值 使得其加载的dll改为%systemroot%\system32\KK.dll 达到开机启动自身的目的 并把该服务的启动类型改为“自动”
4.将KK.dll注入到IE中,通过IE实现下载行为
5.在系统盘下面释放KKSoft.bat删除自身
6.关闭带有如下关键字的窗口(与后面的下载行为有关) 病毒 杀毒 色情 强奸 做爱 奇虎360
7.不定时弹出某个网站页面
8.下载行为分析: 病毒联网后会下载http://*.cn/data.txt的配置文件
其中里面详细描述了病毒的其他一些行为 [Homepage]--描述了病毒锁定的主页地址(目前为空) [runie] close=... --描述了病毒关闭的指定窗口的名称 [DownloadFile]--描述了下载的木马程序的路径 [showie]--描述了定期弹出的窗口或网站的地址
下载后的病毒(木马)会释放到windows下的Temp目录下 并分别命名为*kf(*代表数字)
待所有木马植入完毕以后,sreng日志如下 启动项目 注册表 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\ShellExecuteHooks] {{25799B4A-E35A-4A34-BFE5-07C0784C37C7}}{%Program Files%\Internet Explorer\PLUGINS\WinSys8x.Sys} [] ================================== 服务 [Background Intelligent Transfer Service / BITS][Running/Auto Start] {%systemroot%\system32\svchost.exe -k netsvcs--}%systemroot%\system32\KK.dll}{N/A} [Windows Accounts Driver / WindowsRemote][Running/Auto Start] {%systemroot%\system32\1kf.exe}{N/A} [Transaction Provisioning Service / 919mm][Running/Auto Start] {%systemroot%\system32\3kf.exe}{N/A}
解决办法: 下载sreng: 可到down.45it.com下载
启动计算机进入安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)
1.打开sreng 启动项目 注册表 删除如下项目 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\ShellExecuteHooks] {{25799B4A-E35A-4A34-BFE5-07C0784C37C7}}{%Program Files%\Internet Explorer\PLUGINS\WinSys8x.Sys} []
在“启动项目”-“服务”-“驱动程序”中点“隐藏经认证的微软项目”, 选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”: [Windows Accounts Driver / WindowsRemote][Running/Auto Start] {%systemroot%\system32\1kf.exe}{N/A} [Transaction Provisioning Service / 919mm][Running/Auto Start] {%systemroot%\system32\3kf.exe}{N/A}
2.双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定 点击 菜单栏下方的 文件夹按钮(搜索右边的按钮) 在左边的资源管理器中单击系统所在盘 删除如下文件 %systemroot%\system32\KK.dll %systemroot%\system32\1kf.exe %systemroot%\system32\3kf.exe %Program Files%\Internet Explorer\PLUGINS\WinSys8x.Sys
在左边的资源管理器中单击E盘(如果有的话) 删除如下文件 E:\autorun.inf E:\Autorun.exe
3.开始--运行 输入regedit打开注册表编辑器 展开HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BITS (X代表数字) 找到Parameters子键 把ServiceDll的键值改为%systemroot%\system32\qmgr.dll
|