七位随机字母分析
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http://gudugengkekao.blog.51cto.com/172212/28707 |
今天刚得到的样本```7位随机字母的变种```
以前写的分析在:
Aditional Information
File size: 39304 bytes CRC32 : 5BCF89BB MD5: 9a254b760c6f49a3e19500efae683983 SHA1: 0bfdb2ffd92d95120c489f74dabd77a04ca57f14 SHA160 : 0BFDB2FFD92D95120C489F74DABD77A04CA57F14 编写语言:Borland Delphi 6.0 - 7.0 加壳方式:未知壳(Nspack??) 1、运行病毒后(随机7个字母.exe),释放二个随机7个字母病毒并写入RUN启动项,“分工明确”,不过在我看起来有点乱。那么一共有三个线程,其实都是同一个病毒(MD5和文件大小不变),病毒1负责释放文件,病毒2关闭杀软进程,另一个则连接外部下载病毒。
2、支持U盘传播,由1号线程释放,遍历,每个分区下生成Autorun.inf和7位随机字母.exe。并常驻进程,隔秒刷新,检测移动盘介入。
3、重定向劫持IFEO项。指向的是%systemroot%\system32\随机7位数字.exe (39304字节)
受影响的(只列一部分):
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\adam.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.com HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SREng.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Icesword.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rav.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMon.exe HKLME\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwcfg.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFW.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatch.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatch9x.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatchX.exe HKLME\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Iparmor.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\isPwdSvc.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kabaload.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KaScrScn.SCR HKLMSOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KASMain.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KASTask.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAV32.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVDX.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVPFW.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVSetup.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVStart.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KISLnchr.exe HKLME\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KMailMon.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KMFilter.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPFW32.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPFW32X.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPFWSvc.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KRegEx.exe 4、驻进程的双线程(其中一个退出),相互守护,监视对方存在,如果结束掉一个的话,那么对方会将其激活。并尝试关闭(只列一部分):
Ras.exe
avp.com avp.exe runiep.exe PFW.exe FYFireWall.exe rfwmain.exe rfwsrv.exe KAVPF.exe KPFW32.exe nod32kui.exe nod32.exe 360Safe.exe iparmo.exe adam.exe IceSword.exe 360rpt.exe 360tray.exe AgentSvr.exe AppSvc32.exe autoruns.exe avgrssvc.exe KASMain.exe KASTask.exe KAV32.exe KAVDX.exe KAVPFW.exe KAVSetup.exe KAVStart.exe KISLnchr.exe KMailMon.exe KMFilter.exe KPFW32.exe KPFW32X.exe KPFWSvc.exe KRegEx.exe KVMonXP.kxp KVMonXP_1.kxp kvol.exe kvolself.exe KvReport.kxp KVScan.kxp KVSrvXP.exe KVStub.kxp kvupload.exe kvwsc.exe KvXP.kxp KvXP_1.kxp KWatch.exe KWatch9x.exe KWatchX.exe loaddll.exe MagicSet.exe mcconsol.exe mmqczj.exe nod32krn.exe UIHost.exe UmxAgent.exe UmxAttachment.exe UmxCfg.exe UmxFwHlp.exe UmxPol.exe UpLive.exe 5、破坏安全模式和“显示隐藏文件”选项。并修改系统日期,倒回1980年,使一部分软件(杀软)无法运行。
6、在注册表HKEY_CURRENT_USER\Software\下,写入垃圾键。并检查下面键值,如不存在则写入:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun
值为145,以保证U盘的“自动运行”功能。
7、驻进程的随机7位字母.exe每隔2毫秒刷新,拦截信息函数,修改映像命令,发送“假情报”,向瑞星注册表监控捕捉并发送“允许”命令(不经过用户操作),同时也过卡吧的主动防御。(拦截AVP.AlertDialog、AVP.Button窗口命令,发送“允许”或“yes”)
8、外部连接下载病毒(每隔60秒),释放dll插进程,都是些盗号的木马````还有个嗅探网络,尝试ARP欺骗。
解决方法:
下载工具SREng、Autoruns、冰刃(IceSword)、PowerRMV、修复安全模式.reg和显示隐藏文件.reg。
http://free.ys168.com/?gudugengkekao这里下载,下完放桌面,断开网络并关闭一切不必要的进程。按步骤进行:
重要提示:SREng.exe、Autoruns.exe和冰刃(IceSword.exe)要改名字,不然由于IFEO影响,不能运行。
改成例如6.exe 9yw.exe pos6.exe 8lok.exe等,不要有规律。(这点很重要!!)
我的电脑-系统盘(C盘?)-属性-磁盘清理-全部勾选上-点确定即可(也可以用专门的软件清理)
1、首先打开PowerRMV,填入:
C:\autorun.inf
D:\autorun.inf
E:\autorun.inf
F:\autorun.inf
(有几个分区,填几次)和autorun.inf指向的7位随机字母.exe
也可以用冰刃删除。冰刃的“文件”功能里。
2、打开autoruns,列出IFEO劫持项目,然后挨个删````
3、打开冰刃,左上角设置,文件-设置-勾选“禁止进线程创建”-确定
结束病毒进程(2个7位字母.exe),还有个用rootkit技术隐藏的病毒(expseny.exe),在临时文件夹下,也一并结束。然后在冰刃里选项-点“文件”,删除(也可以PowerRMV删除)下面的(
(注意路径:2000系统的为C:\Winnt,XP系统的为C:\windows)
C:\WInnt\system32\7位随机字母.exe(应该是有3个,注意创建日期)
C:\WINNT\system32\meex.com (其实是主体的备份,这个不要漏了,找不到的话则忽略)
C:\WINNT\Kvsc3.exe
C:\WINNT\mppds.exe
C:\WINNT\system32\dllhost32.exe
C:\WINNT\system32\DLD.DAT
C:\WINNT\system32\mppds.dll
C:\WINNT\system32\RAVWL516.dll
C:\WINNT\system32\Kvsc3.dll
C:\WINNT\system32\msdebug.dll
C:\WINNT\system32\netsrvcs.dll
4、设置冰刃,去掉"禁止进线程创建",打开SREng,删除下面的:
注册表
<svc><C:\DOCUME~1\admin\LOCALS~1\Temp\expseny.exe> [N/A]
<dnpsalq><C:\winnt\system32\7个字母.exe> []
<cmxpbpl><C:\winnt\system32\7个字母e.exe> [] <mppds><C:\winnt\mppds.exe> [] <Kvsc3><C:\winnt\Kvsc3.exe> [] 服务
[WinWMServiceNow / WinWMServiceNow][Stopped/Auto Start]
<C:\DOCUME~1\admin\LOCALS~1\Temp\RAVWM.EXE><N/A> [Win32 Debug Service / MSDebugsvc][Stopped/Auto Start]
<C:\winnt\system32\rundll32.exe msdebug.dll,input><Microsoft Corporation> [Wireless Service / WZCSRVC][Stopped/Auto Start] <C:\winnt\system32\rundll32.exe netsrvcs.dll,input><Microsoft Corporation> 驱动程序
[Bluesky / Bluesky][Running/]
<2 - 系统找不到指定的文件。 ><N/A> [Netgroup Packet Filter / NPF][Stopped/Manual Start]
<system32\drivers\npf.sys><N/A> 5、下载的修复安全模式.reg和显示隐藏文件.reg导入注册表,其中安全模式也可以用SREng修复。
6、手动改正系统日期。然后打开杀软,升级最高版本,全盘扫````
 此主题相关图片如下: 此主题相关图片如下: 此主题相关图片如下: 此主题相关图片如下: 此主题相关图片如下: 此主题相关图片如下: 本文出自 “孤独更可靠” 博客,请务必保留此出处http://gudugengkekao.blog.51cto.com/172212/28707 本文出自 51CTO.COM技术博客 |
孤独更可靠
博客统计信息
热门文章
最新评论
友情链接
