- 积分
- 87
UID6559
注册时间2005-12-9
最后登录1970-1-1
人气值 点
在线时间 小时
|
发表于 2007-6-24 20:38:41
|
显示全部楼层
一:分析病毒
病毒文件运行后生成:
C:\\WINDOWS\\system\\winlogon.exe
从最后一个盘符开始遍历除系统分区外的所有分区
并把所有分区的exe的名字写入C:\\WINDOWS\\win.log。感染win.log中所记录的exe 被感染文件被加入20577字节的病毒代码 且感染后文件图标不变(具体感染方式没找到,还望各位高手给予指导)
运行被感染文件后会释放0_.ii的一个病毒体 运行病毒体后 删除0_.ii自身
在每个分区下面生成autorun.inf和setup.exe
病毒体内有字样:我恨卡巴
病毒连接网络222.220.16.186:80
下载以下文件:
http://mm.xxxx1.com/server.exe
http://xxxx1.com/1.exe
http://xxxx1.com/2.exe
http://xxxx1.com/3.exe
http://xxxx1.com/4.exe
http://xxxx1.com/5.exe
http://xxxx1.com/6.exe
http://xxxx1.com/7.exe
http://xxxx1.com/8.exe
http://xxxx1.com/9.exe
http://xxxx1.com/10.exe
http://xxxx1.com/11.exe
http://xxxx1.com/12.exe
http://xxxx1.com/13.exe
http://xxxx1.com/14.exe
http://xxxx1.com/15.exe
http://xxxx1.com/16.exe
到C:\\WINDOWS\\system\\下分别命名为1.exe~16.exe
木马植入成功后,sreng日志(可到down.45it.com下载)显示如下
启动项目
<WinForm><C:\\WINDOWS\\WinForm.exe> []
<upxdnd><C:\\WINDOWS\\upxdnd.exe> []
<mppds><C:\\WINDOWS\\mppds.exe> []
<msccrt><C:\\WINDOWS\\msccrt.exe> []
<AVPSrv><C:\\WINDOWS\\AVPSrv.exe> []
<Kvsc3><C:\\WINDOWS\\Kvsc3.exe> []
<crqt><C:\\DOCUME~1\\ADMINI~1\\LOCALS~1\\Temp\\iexplorer.exe> []
<499g4w9rv><C:\\DOCUME~1\\ADMINI~1\\LOCALS~1\\Temp\\c0nime.exe> []
服务
[Remote Debug Service / RemoteDbg][Stopped/Auto Start]
<C:\\WINDOWS\\system32\\rundll32.exe RemoteDbg.dll,input><Microsoft Corporation>
解决方法:(电脑软硬件应用网:对于普通用户,上述分析可跳过,直接看解决教程)
1.用serng(down.45it.com已提供下载)清理启动项目和如下服务
<WinForm><C:\\WINDOWS\\WinForm.exe> []
<upxdnd><C:\\WINDOWS\\upxdnd.exe> []
<mppds><C:\\WINDOWS\\mppds.exe> []
<msccrt><C:\\WINDOWS\\msccrt.exe> []
<AVPSrv><C:\\WINDOWS\\AVPSrv.exe> []
<Kvsc3><C:\\WINDOWS\\Kvsc3.exe> []
<crqt><C:\\DOCUME~1\\ADMINI~1\\LOCALS~1\\Temp\\iexplorer.exe> []
<499g4w9rv><C:\\DOCUME~1\\ADMINI~1\\LOCALS~1\\Temp\\c0nime.exe> []
[Remote Debug Service / RemoteDbg][Stopped/Auto Start]
<C:\\WINDOWS\\system32\\rundll32.exe RemoteDbg.dll,input><Microsoft Corporation>
2.重启计算机后
双击我的电脑,工具,文件夹选项,查看,单击选取\"显示隐藏文件或文件夹\" 并清除\"隐藏受保护的操作系统文件(推荐)\"前面的钩。在提示确定更改时,单击“是” 然后确定,右键点击-右键菜单中的第二个打开-打开每一个分区-删除分区下的autorun.inf和setup.exe文件。
删除以下文件:(如不能正常状态下删除,可到down.45it.com下载费尔木马强制删除器工具.zip进行强制删除。)
C:\\WINDOWS\\system\\SYSTEM32.vxd
C:\\WINDOWS\\system\\winlogon.exe
C:\\WINDOWS\\system32\\AVPSrv.dll
C:\\WINDOWS\\system32\\Kvsc3.dll
C:\\WINDOWS\\system32\\mppds.dll
C:\\WINDOWS\\system32\\msccrt.dll
C:\\WINDOWS\\system32\\RemoteDbg.dll
C:\\WINDOWS\\system32\\upxdnd.dll
C:\\WINDOWS\\system32\\WinForm.dll
C:\\WINDOWS\\AVPSrv.exe
C:\\WINDOWS\\Kvsc3.exe
C:\\WINDOWS\\mppds.exe
C:\\WINDOWS\\msccrt.exe
C:\\WINDOWS\\upxdnd.exe
C:\\WINDOWS\\WinForm.exe |
|
窥视卡
雷达卡
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡
发表于 2007-6-21 09:08:54