注册 | 登录 忘记密码? 51cto首页 | 博客 | 论坛 | 招聘
热点文章 利用SMS OSD实现win2008操..
 帮助
51CTO培训学院:五天打造软件测试工程师   Linux学习月博客大比拼 博主的更多文章>>

“柯南”病毒.(Trojan-PSW.Win32.QQRob)

2008-02-26 20:17:02
 标签:QQRob 病毒 柯南   [推送到技术圈]

版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http://gudugengkekao.blog.51cto.com/172212/63304
其实这是之前Rose病毒的一个新变种,大多数杀软都能识别。
 
文件名称:sxs.exe
 
文件大小:40663 byte
 
AV命名:
 
卡巴斯基:Trojan-PSW.Win32.QQRob
瑞星:Worm.Pabug.l
 
加壳方式:Hmimys-Packer+Aspack
 
编写语言:Delphi
 
文件MD5:5aa93a60fcc9865fa2a60d9e73f2e373
 
行为分析:
 
1、释放文件:
 
C:\WINDOWS\system32\SVOHOST.exe 40663 字节
C:\WINDOWS\system32\winscok.dll 41120 字节
 
2、从D开始,判断可用磁盘(Z),生成sxs.exe 和autorun.inf 。
 
3、添加启动:
 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

SoundMam = REG_SZ, "C:\windows\system32\SVOHOST.exe"
 
3、修改注册表,保证U盘自动运行:
 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

NoDriveTypeAutoRun修改为 REG_DWORD, 189
 
4、%Systemroot%system32释放noruns.reg。为:
 
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:bd
 
????
 
5、尝试关闭:
 
sc.exe
cmd.exe
net.exe
sc1.exe
net1.exe
PFW.exe
Kav.exe
KVOL.exe
KVFW.exe
TBMon.exe
kav32.exe
kvwsc.exe
CCAPP.exe
EGHOST.exe
KRegEx.exe
kavsvc.exe
VPTray.exe
RAVMON.exe
KavPFW.exe
SHSTAT.exe
RavTask.exe
Iparmor.exe
MAILMON.exe
MCAGENT.exe
KAVPLUS.exe
RavMonD.exe
Rtvscan.exe
Nvsvc32.exe
KVMonXP.exe
Kvsrvxp.exe
CCenter.exe
KpopMon.exe
RfwMain.exe
KWATCHUI.exe
MCVSESCN.exe
MSKAGENT.exe
kvolself.exe
kavstart.exe
RAVTIMER.exe
RRfwMain.exe
FireTray.exe
UpdaterUI.exe
KVSrvXp_1.exe
RavService.exe
 
6、关闭窗口:
 
QQKav
QQAV
TKillqqvir
TKqqviru
qqav
TApplication
网镖
木马
噬菌体
删除
 
7、禁用服务:
 
stop sharedaccess
stop KVWSC
config KVWSC start= disabled
stop KVSrvXP
config KVSrvXP start= disabled
stop kavsvc
config kavsvc start= disabled
config RsRavMon start= disabled
stop RsCCenter
config RsCCenter start= disabled
stop RsRavMon
 
8、删除注册表启动项(如果有):
 
Software\Microsoft\Windows\CurrentVersion\Run
RavTask
KvMonXP
YLive
KAVPersonal50
SVCHOXT
NTdhcp
Winhoxt
yassistse
 
9、查找互斥体“111111111”,如不存在则释放资源dllfile(winscok.dll)。
 
10、创建钩子(Hook):WH_KEYBOARD、WH_MOUSE、WH_CALLWNDPROC。
 
11、检测QQ.exe启动,并将winscok.dll注入。并获得QQ绝对路径,删除npkcrypt.sys。
 
12、记录QQ帐号密码后,发送至*****@tom.comhttp://www.ctv163.com/alexa/Images/key.asp
 
密码邮箱都已失效。
 
13、每隔0.8秒查找"瑞星提示"窗口,并往"是(&Y)"发送BM_CLICK。
 
14、解密病毒体内字符串,发现一些链接,但测试时未有网络行为:
 
堆栈 ss:[0012FDE4]=00DE0040, (ASCII "http://www.ctv163.com/")
edx=004057EA (sxs_unpa.004057EA), ASCII "lqrs>*)tsr(`ps757+eli*"
 
堆栈 ss:[0012FDDC]=00DE00A8, (ASCII "http://www.677977.com/")
edx=0040580A (sxs_unpa.0040580A), ASCII "lqrs>*)tsr(532?43+eli*"
 
 
 
dqhx1.txt
 
…………
15、每隔一段时间会检测自身启动项,并在可用磁盘建立病毒附件。
 
16、还有其他小细节,不详细写了:-)
 
解决方法:
 
1、下载SREng直接放桌面:
 
http://www.kingzoo.com/tools/孤独更可靠/sreng2.5.zip
 
复制完整链接呃。。
 
2、打开任务管理器,关闭:SVOHOST.exe和Sxs.exe(如果有)。
 
3、删除启动项:“SoundMam”。
 
4、重启计算机。删除硬盘文件:
 
C:\WINDOWS\system32\SVOHOST.exe 40663 字节
C:\WINDOWS\system32\winscok.dll 41120 字节
 
还有磁盘下的sxs.exe 和autorun.inf
建议用Winrar删。记得别先进入磁盘呃,,不然要重来的。
 
5、修改QQ密码。
 
6、上述方法无法清除的,麻烦抓个病毒样本,仍到Lyhan_1988@163.com526170722@qq.com
 
加密virus
 
 
 
 
 

本文出自 “孤独更可靠” 博客,请务必保留此出处http://gudugengkekao.blog.51cto.com/172212/63304





    相关文章
病毒预报(2006.12.11-2006.12.17)
病毒如何进行网上传输
海缆损毁,恶性敲诈病毒变种现身作恶
病毒周报(071217至071223)
判断自己的电脑是否含有病毒
一个麻烦的病毒!~[清除方法]
杀毒软件是如果检测病毒的
H3C 6506某大学城防病毒案例
磁盘病毒病状的表现
手工清除自动运行的病毒
    文章评论
 
2008-02-27 09:42:51
呵呵 柯南病毒 名字有意思 听着都不像病毒的感觉

2008-02-28 10:00:12
我也遇到这样的病毒,Trend能很好的扫描到,
可是对病毒的分析,我一般是清除就结束了
孤独的分析很深入啊

2008-02-28 12:57:40
呵呵。不错!

2008-02-28 22:37:44
有防范方法么?

2008-02-29 11:25:22
打补丁
升级杀软防火墙

 

发表评论

昵   称:
验证码:  点击图片可刷新验证码  博客过2级,无需填写验证码
内   容: