下沙论坛

 找回密码
 注册论坛(EC通行证)

QQ登录

QQ登录

下沙大学生网QQ群8(千人群)
群号:6490324 ,验证:下沙大学生网。
用手机发布本地信息严禁群发,各种宣传贴请发表在下沙信息版块有问必答,欢迎提问 提升会员等级,助你宣传
新会员必读 大学生的论坛下沙新生必读下沙币获得方法及使用
查看: 7193|回复: 0
打印 上一主题 下一主题

关于感染型下载器MSDOS.BAT

[复制链接]
  • TA的每日心情
    奋斗
    6 小时前
  • 签到天数: 2384 天

    [LV.Master]伴坛终老

    跳转到指定楼层
    1
    发表于 2008-4-9 15:59:34 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
    此毒查杀比较难。' c7 m, a- {; U0 \
    * K7 C) Y) Y9 f
    我得到的原始“火种”是一个MSDOS.BAT文件。当时,用瑞星20.38.60扫此样本,瑞星不报毒。已将此样本提交瑞星公司。8 R# }$ G6 V! o
    中此病毒群后,MSDOS.BAT位于硬盘各个分区的根目录下(还有一个指向MSDOS.BAT的autorun.inf)。MSDOS.BAT运行后访问网络:58.53.128.37,下载大量病毒。2 s' c4 H4 f# i

    $ r  n. E" D( w/ w
    0 n9 `) r2 N/ e$ \& o8 |9 g" Y7 G3 W1、释放/下载的主要病毒文件:! I# _1 [4 |5 G& ~1 V$ d
    c:\windows\tasks\0x01xx8p.exe
    " N7 g7 e( h6 s1 J* Jc:\windows\tasks\explorer.ext$ b6 n# ], p( S( m2 b
    c:\windows\system32\7560.dat
    * u- k3 P* q* Y8 U+ qc:\windows\system32\a0.ext8 J1 V+ l; M! j$ l
    .
    , u1 a$ [- x0 }.
    ' D( s$ V/ X  k.
    9 T, ~' N$ D* C2 kc:\windows\system32\a25.ext
    0 ]) C7 k5 w# a' i& U7 X; S, Zc:\windows\system32\oko.exe) v1 h( u& O8 j! e1 n1 w# X
    c:\windows\system32\msosdohs.dat
    % i. ^6 t; }$ y6 q  A; p5 qc:\windows\system32\msosdohs00.dll(插入explorer.exe进程)
    1 B( ]* _) Q$ X" wc:\windows\system32\msosdohs01.dll(插入explorer.exe进程)" ~7 d. ^: V: {( J& q
    c:\windows\system32\ttEZZEZZ1044.dll
    ; u7 P5 S  I4 c1 e! Hc:\windows\system32\ttNNBNNB1047.dll& \1 |. E# T% N( ^' E9 p
    c:\windows\system32\txWWQWWQ1006.dll
    & i+ J( O* Y2 m9 Rc:\zzz.sys(加载后自动删除)
    " Y- |4 W+ g  ic:\windows\system32\drivers\msosfpids32.sys+ F1 t! I3 _& m
    病毒文件还有不少(见附件图)
    ; W4 d( P( n: k' w
    $ N5 s2 D% Y& a2、感染硬盘中的.exe、.htm、html文件;删除c:\windows\system32\verclsid.exe;替换C:\windows\explorer.exe。
    5 M4 y. W: I4 L! ^1 b
      ]) k; G$ s. cMSDOS.BAT感染型下载器的病毒下载地址:
    $ r' S2 v1 F- o/ {# F5 s  Qhttp://58.53.128.37/a0.exe
    4 i4 m) W$ }4 {% P" \! rhttp://58.53.128.37/a1.exe$ m/ U# _4 Q/ z4 ?" X: b
    http://58.53.128.37/a2.exe
    & p5 A0 H7 ]2 p8 n& n% ~1 @5 vhttp://58.53.128.37/a3.exe
    2 ^/ u/ W: y, _8 l* v* S0 V7 Mhttp://58.53.128.37/a4.exe
    & b( b! j" k2 Q: Y) j6 Uhttp://58.53.128.37/a5.exe
    ; u0 \" n5 v( z! V6 g9 t, Phttp://58.53.128.37/a6.exe
    2 k" G  P* d/ ?1 C: ehttp://58.53.128.37/a7.exe
    , J$ u% d  p& ~http://58.53.128.37/a8.exe9 T6 M- X% y5 {3 S
    http://58.53.128.37/a9.exe
    8 l2 i: i1 w& R1 ghttp://58.53.128.37/a10.exe
    1 D; |$ z' u& ~- ^4 yhttp://58.53.128.37/a11.exe! q8 i+ D1 P0 [. M+ T
    http://58.53.128.37/a12.exe# z) w, x4 t4 d
    http://58.53.128.37/a13.exe
    ; p& d) C7 o6 k( o( ghttp://58.53.128.37/a14.exe' y- a) }6 `8 m% V
    http://58.53.128.37/a15.exe6 D& ~1 Q* q& ^+ X5 {- T- ?( Y
    http://58.53.128.37/a16.exe
    . _6 k% X# ^  a& j0 i4 \- ^http://58.53.128.37/a17.exe
    3 y! ]$ W5 x6 Mhttp://58.53.128.37/a18.exe
    - S+ O. A8 ]7 _: n8 h2 x3 Qhttp://58.53.128.37/a19.exe
    4 Y2 u& M' Y, Whttp://58.53.128.37/a20.exe
    2 o2 X8 I& F7 A. k, ^7 Z7 }http://58.53.128.37/a21.exe
    3 w& {1 m- D! \% chttp://58.53.128.37/a22.exe
    2 s0 W  x, B* c# \http://58.53.128.37/a23.exe
    * \6 K! a+ D0 e% zhttp://58.53.128.37/a24.exe6 ?8 u/ v" l4 p
    http://58.53.128.37/a25.exe7 f0 o" ]1 J  c5 @
    http://58.53.128.37/oko.exe
    # j- B/ r* e+ F0 q! @5 c' \% e" ~+ Q( ~' M0 p+ t
    查杀难点:
    1 d8 y$ N# V% @# j& {5 a) r1、c:\windows\system32\75132.dat和c:\windows\system32\urjuujdw.hew两个进程相互配合,指挥c:\windows\system32\msosdohs00.dll和c:\windows\system32\msosdohs01.dll插入系统核心进程、explorer.exe进程以及所有应用程序进程(包括安全软件的进程也被插入)。
    4 s* J$ N( g: G' w8 @+ K$ E1 q. Z* o3 e# }" U
    2、explorer.exe被病毒替换。如果强制删除这个被病毒替换explorer.exe,及上面提到的病毒文件,桌面消失。即使注销当前用户,重新登录系统,也无法显示桌面。# {6 |: y: \1 N2 m/ u

    & P+ R& ~/ B% n* \3 H3 I3、此毒感染硬盘所有分区中的.exe、.htm、html文件。+ D/ k; b' f7 C4 ?9 Z/ ]
    ; C2 N" B" j, g9 L6 Q# x$ l" ~/ V
    4、c:\windows\system32\文件夹、c:\windows\system32\drivers\文件夹、c:\windows\tasks\文件夹、当前用户临时文件夹中都有病毒文件。8 a+ o$ c6 g4 {7 {
      ]. m$ a7 h0 i0 ^
    5、此毒貌似是针对SRENG的。中这堆病毒后,用户试图运行SRENG扫日志时,SRENG即刻被病毒删除。
    ; P+ e2 a& Q0 F0 h7 w1 w! I
    1 a8 i$ t/ ^: [- W" m6 g我在影子系统(全影模式)中运行过这个病毒样本,用Tiny全程监控可以获得此病毒群感染系统的全部信息(见附件图)。有了这些信息,可以用IceSword手工删除那堆病毒文件。被感染的.exe、.htm、html等,需用杀软处理(量太大)。
    4 q# A5 Z6 ~: u- d4 Y! w% _9 O+ V* m. ]$ s# ?% L
    另:有人说此毒可以穿透影子系统2.8。全影系统运行病毒样本,重启后,被病毒替换explorer.exe以及病毒驱动C:\zzz.sys还在系统中。但是,我在全影模式下运行此毒,没有发现这个现象。重启后,系统是干净的。
    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
    收藏收藏 分享分享 顶 踩

    本版积分规则

    关闭

    下沙大学生网推荐上一条 /1 下一条

    快速回复 返回顶部 返回列表