TA的每日心情 | 奋斗 6 小时前 |
---|
签到天数: 2384 天 [LV.Master]伴坛终老
|
此毒查杀比较难。' c7 m, a- {; U0 \
* K7 C) Y) Y9 f
我得到的原始“火种”是一个MSDOS.BAT文件。当时,用瑞星20.38.60扫此样本,瑞星不报毒。已将此样本提交瑞星公司。8 R# }$ G6 V! o
中此病毒群后,MSDOS.BAT位于硬盘各个分区的根目录下(还有一个指向MSDOS.BAT的autorun.inf)。MSDOS.BAT运行后访问网络:58.53.128.37,下载大量病毒。2 s' c4 H4 f# i
$ r n. E" D( w/ w
0 n9 `) r2 N/ e$ \& o8 |9 g" Y7 G3 W1、释放/下载的主要病毒文件:! I# _1 [4 |5 G& ~1 V$ d
c:\windows\tasks\0x01xx8p.exe
" N7 g7 e( h6 s1 J* Jc:\windows\tasks\explorer.ext$ b6 n# ], p( S( m2 b
c:\windows\system32\7560.dat
* u- k3 P* q* Y8 U+ qc:\windows\system32\a0.ext8 J1 V+ l; M! j$ l
.
, u1 a$ [- x0 }.
' D( s$ V/ X k.
9 T, ~' N$ D* C2 kc:\windows\system32\a25.ext
0 ]) C7 k5 w# a' i& U7 X; S, Zc:\windows\system32\oko.exe) v1 h( u& O8 j! e1 n1 w# X
c:\windows\system32\msosdohs.dat
% i. ^6 t; }$ y6 q A; p5 qc:\windows\system32\msosdohs00.dll(插入explorer.exe进程)
1 B( ]* _) Q$ X" wc:\windows\system32\msosdohs01.dll(插入explorer.exe进程)" ~7 d. ^: V: {( J& q
c:\windows\system32\ttEZZEZZ1044.dll
; u7 P5 S I4 c1 e! Hc:\windows\system32\ttNNBNNB1047.dll& \1 |. E# T% N( ^' E9 p
c:\windows\system32\txWWQWWQ1006.dll
& i+ J( O* Y2 m9 Rc:\zzz.sys(加载后自动删除)
" Y- |4 W+ g ic:\windows\system32\drivers\msosfpids32.sys+ F1 t! I3 _& m
病毒文件还有不少(见附件图)
; W4 d( P( n: k' w
$ N5 s2 D% Y& a2、感染硬盘中的.exe、.htm、html文件;删除c:\windows\system32\verclsid.exe;替换C:\windows\explorer.exe。
5 M4 y. W: I4 L! ^1 b
]) k; G$ s. cMSDOS.BAT感染型下载器的病毒下载地址:
$ r' S2 v1 F- o/ {# F5 s Qhttp://58.53.128.37/a0.exe
4 i4 m) W$ }4 {% P" \! rhttp://58.53.128.37/a1.exe$ m/ U# _4 Q/ z4 ?" X: b
http://58.53.128.37/a2.exe
& p5 A0 H7 ]2 p8 n& n% ~1 @5 vhttp://58.53.128.37/a3.exe
2 ^/ u/ W: y, _8 l* v* S0 V7 Mhttp://58.53.128.37/a4.exe
& b( b! j" k2 Q: Y) j6 Uhttp://58.53.128.37/a5.exe
; u0 \" n5 v( z! V6 g9 t, Phttp://58.53.128.37/a6.exe
2 k" G P* d/ ?1 C: ehttp://58.53.128.37/a7.exe
, J$ u% d p& ~http://58.53.128.37/a8.exe9 T6 M- X% y5 {3 S
http://58.53.128.37/a9.exe
8 l2 i: i1 w& R1 ghttp://58.53.128.37/a10.exe
1 D; |$ z' u& ~- ^4 yhttp://58.53.128.37/a11.exe! q8 i+ D1 P0 [. M+ T
http://58.53.128.37/a12.exe# z) w, x4 t4 d
http://58.53.128.37/a13.exe
; p& d) C7 o6 k( o( ghttp://58.53.128.37/a14.exe' y- a) }6 `8 m% V
http://58.53.128.37/a15.exe6 D& ~1 Q* q& ^+ X5 {- T- ?( Y
http://58.53.128.37/a16.exe
. _6 k% X# ^ a& j0 i4 \- ^http://58.53.128.37/a17.exe
3 y! ]$ W5 x6 Mhttp://58.53.128.37/a18.exe
- S+ O. A8 ]7 _: n8 h2 x3 Qhttp://58.53.128.37/a19.exe
4 Y2 u& M' Y, Whttp://58.53.128.37/a20.exe
2 o2 X8 I& F7 A. k, ^7 Z7 }http://58.53.128.37/a21.exe
3 w& {1 m- D! \% chttp://58.53.128.37/a22.exe
2 s0 W x, B* c# \http://58.53.128.37/a23.exe
* \6 K! a+ D0 e% zhttp://58.53.128.37/a24.exe6 ?8 u/ v" l4 p
http://58.53.128.37/a25.exe7 f0 o" ]1 J c5 @
http://58.53.128.37/oko.exe
# j- B/ r* e+ F0 q! @5 c' \% e" ~+ Q( ~' M0 p+ t
查杀难点:
1 d8 y$ N# V% @# j& {5 a) r1、c:\windows\system32\75132.dat和c:\windows\system32\urjuujdw.hew两个进程相互配合,指挥c:\windows\system32\msosdohs00.dll和c:\windows\system32\msosdohs01.dll插入系统核心进程、explorer.exe进程以及所有应用程序进程(包括安全软件的进程也被插入)。
4 s* J$ N( g: G' w8 @+ K$ E1 q. Z* o3 e# }" U
2、explorer.exe被病毒替换。如果强制删除这个被病毒替换explorer.exe,及上面提到的病毒文件,桌面消失。即使注销当前用户,重新登录系统,也无法显示桌面。# {6 |: y: \1 N2 m/ u
& P+ R& ~/ B% n* \3 H3 I3、此毒感染硬盘所有分区中的.exe、.htm、html文件。+ D/ k; b' f7 C4 ?9 Z/ ]
; C2 N" B" j, g9 L6 Q# x$ l" ~/ V
4、c:\windows\system32\文件夹、c:\windows\system32\drivers\文件夹、c:\windows\tasks\文件夹、当前用户临时文件夹中都有病毒文件。8 a+ o$ c6 g4 {7 {
]. m$ a7 h0 i0 ^
5、此毒貌似是针对SRENG的。中这堆病毒后,用户试图运行SRENG扫日志时,SRENG即刻被病毒删除。
; P+ e2 a& Q0 F0 h7 w1 w! I
1 a8 i$ t/ ^: [- W" m6 g我在影子系统(全影模式)中运行过这个病毒样本,用Tiny全程监控可以获得此病毒群感染系统的全部信息(见附件图)。有了这些信息,可以用IceSword手工删除那堆病毒文件。被感染的.exe、.htm、html等,需用杀软处理(量太大)。
4 q# A5 Z6 ~: u- d4 Y! w% _9 O+ V* m. ]$ s# ?% L
另:有人说此毒可以穿透影子系统2.8。全影系统运行病毒样本,重启后,被病毒替换explorer.exe以及病毒驱动C:\zzz.sys还在系统中。但是,我在全影模式下运行此毒,没有发现这个现象。重启后,系统是干净的。 |
|