Kimi's NutShell
          
				
          我荒廢的今日,正是昨日殞身之人祈求的明日
          
			          		
		
          
	
          

          

          
	
          
		
          
		    
		        
		        BlogJava

新隨筆



管理

			
			
				

          
	
          
		
          
			
			
			
				 
				141 
				Posts ::
				0 Stories
				::
				75 Comments
				::
				0 Trackbacks
			
		
          
	
          

          

			          		
		
          
	
          

          


          


          
	
					

          
	
	
	
          
		上午跟此病毒斗爭,總算在服務(wù)里看不到這個(gè)恐怖的服務(wù)了。
          將收集到的資料放在這里,以備后患!


          該病毒就是前些日子流行的“修改系統(tǒng)時(shí)間”的病毒之變種。此次變種可謂是集N種破壞性病毒之大成了。主要破壞功能有:
          ??????? 1.感染exe 并使得被感染的exe的公司等屬性變?yōu)椤胺鸦▓@”
            2.感染html asp 等文件 插入惡意代碼
            3.通過雙擊磁盤啟動(dòng)
            4.下載木馬,盜取網(wǎng)游帳號(hào)
            5.修改注冊(cè)表 使系統(tǒng)無法顯示隱藏文件
            6.通過hook API 函數(shù) 導(dǎo)致任務(wù)管理器中 無法看見其進(jìn)程

            分析報(bào)告如下:
          ?File: rising.exe
          Size: 64775 bytes
          File Version: 1.00
          MD5: 86311B37D938BB35645E7B092014DD63
          SHA1: 47C324A5A691DD31DC0410E51ADBD35065E6C7C3
          CRC32: 88ABBD9B 

          rising.exe 運(yùn)行后 首先釋放一個(gè)rising.eve的文件 然后由rising.exe啟動(dòng)他
          之后 釋放139CA82A.EXE 139CA82A.dll(隨機(jī)的8個(gè)數(shù)字字母組合成的文件名)到系統(tǒng)文件夾
          注冊(cè)服務(wù)139CA82A.EXE
          139CA82A.EXE控制winlogon進(jìn)程 使得139CA82A.dll插入幾乎所有進(jìn)程
          釋放rising.exe 和autorun.inf 到每個(gè)分區(qū) 使得雙擊磁盤啟動(dòng)
          感染 除系統(tǒng)分區(qū)外的exe文件 使得其公司名全變?yōu)?番茄花園
          感染 html asp 等文件 在其后面插入代碼
          <iframe src="
          修改系統(tǒng)時(shí)間 隨機(jī)把年份往前調(diào) 月,日不變
          修改 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue:
          值為 0x00000000
          導(dǎo)致無法顯示臨時(shí)文件
          rising.exe 還會(huì)hook 多個(gè) API函數(shù) 使其進(jìn)程在任務(wù)管理器中隱藏
          使用Explorer.exe連接網(wǎng)絡(luò) 61.152.92.98:80下載木馬
          下載的木馬一般為K117815XXXXX.exe
          XXXXX代表隨機(jī)
          到系統(tǒng)文件夾
          由于 每臺(tái)機(jī)器上下載的木馬的名稱不同 但最后結(jié)果相同 所以中間釋放的過程省略
          最后 這些木馬運(yùn)行后分別釋放了如下文件
          C:\WINDOWS\system32\buchehuo.exe(創(chuàng)建了服務(wù)inetsvr)
          C:\WINDOWS\system32\cmdbs.dll
          C:\WINDOWS\cmdbs.exe
          C:\WINDOWS\system32\Kvsc3.dll
          C:\WINDOWS\Kvsc3.exe
          C:\WINDOWS\system32\mppds.dll
          C:\WINDOWS\mppds.exe
          C:\WINDOWS\system32\msccrt.dll
          C:\WINDOWS\msccrt.exe
          C:\WINDOWS\system32\winform.dll
          C:\WINDOWS\winform.exe
          C:\WINDOWS\system32\winsock.exe
          臨時(shí)文件夾下 釋放upxdnd.exe和upxdnd.dll

            解決辦法:

            安全模式下(開機(jī)后不斷 按F8鍵 然后出來一個(gè)高級(jí)菜單 選擇第一項(xiàng) 安全模式 進(jìn)入系統(tǒng))
            首先把系統(tǒng)日期 改回來
            然后打開sreng(可到down.45it.com下載)
            啟動(dòng)項(xiàng)目 注冊(cè)表 刪除如下項(xiàng)目 
          ?<upxdnd><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\upxdnd.exe> []
          <msccrt><C:\WINDOWS\msccrt.exe> []
          <cmdbs><C:\WINDOWS\cmdbs.exe> []
          <mppds><C:\WINDOWS\mppds.exe> []
          <Kvsc3><C:\WINDOWS\Kvsc3.exe> []
          <winform><C:\WINDOWS\winform.exe> []
            “啟動(dòng)項(xiàng)目”-“服務(wù)”-“Win32服務(wù)應(yīng)用程序”中點(diǎn)“隱藏經(jīng)認(rèn)證的微軟項(xiàng)目”,
            選中以下項(xiàng)目,點(diǎn)“刪除服務(wù)”,再點(diǎn)“設(shè)置”,在彈出的框中點(diǎn)“否”:
          ?139CA82A / 139CA82A
          Wireless Zero Conflguration / inetsvr

          把下面的 代碼拷入記事本中然后另存為1.reg文件
          ?Windows Registry Editor Version 5.00 

          [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
          "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
          "Text"="@shell32.dll,-30500"
          "Type"="radio"
          "CheckedValue"=dword:00000001
          "ValueName"="Hidden"
          "DefaultValue"=dword:00000002
          "HKeyRoot"=dword:80000001
          "HelpID"="shell.hlp#51105"
            雙擊1.reg把這個(gè)注冊(cè)表項(xiàng)導(dǎo)入注冊(cè)表
            然后雙擊我的電腦-工具-文件夾選項(xiàng)-查看-顯示所有文件和文件夾,把“隱藏受保護(hù)的系統(tǒng)文件”的勾去掉。
            右鍵 點(diǎn)擊C盤 點(diǎn)擊右鍵菜單中的“打開”打開C盤 (千萬不要雙擊)(如圖)
            刪除 如下文件
          ?C:\rising.exe
          C:\autorun.inf
          C:\WINDOWS\system32\buchehuo.exe
          C:\WINDOWS\system32\cmdbs.dll
          C:\WINDOWS\cmdbs.exe
          C:\WINDOWS\system32\Kvsc3.dll
          C:\WINDOWS\Kvsc3.exe
          C:\WINDOWS\system32\mppds.dll
          C:\WINDOWS\mppds.exe
          C:\WINDOWS\system32\msccrt.dll
          C:\WINDOWS\msccrt.exe
          C:\WINDOWS\system32\winform.dll
          C:\WINDOWS\winform.exe
          C:\WINDOWS\system32\winsock.exe
          C:\WINDOWS\unspapik.txt
          C:\WINDOWS\wiasevct.txt
          C:\WINDOWS\wiasvctr.txt
          C:\WINDOWS\ganran.txt
          C:\WINDOWS\system32\139CA82A.DLL(隨機(jī)的8個(gè)數(shù)字字母組合成的文件名)
          C:\WINDOWS\system32\139CA82A.EXE(隨機(jī)的8個(gè)數(shù)字字母組合成的文件名)
          C:\WINDOWS\system32\K117815XXXXX.exe(XXXXX代表隨機(jī)數(shù)字)
          清空C:\Documents and Settings\用戶名\Local Settings\Temp
            右鍵 點(diǎn)擊分別打開系統(tǒng)分區(qū)以外的分區(qū) 還是點(diǎn)擊右鍵菜單中的“打開” (千萬不要雙擊)

            刪除每個(gè)分區(qū)下面的autorun.inf和rising.exe文件
	
          
	
	
          
		posted on 2007-09-28 10:17 Kimi 閱讀(639) 評(píng)論(0)  編輯  收藏  所屬分類: Other Skills 
	
          

          







          
	    
    




          








          

				

          



    







          
        
	




主站蜘蛛池模板:
新乐市|
连城县|
安陆市|
盐山县|
庄浪县|
海林市|
西林县|
达尔|
怀远县|
永泰县|
射洪县|
鲜城|
奈曼旗|
额济纳旗|
盘山县|
定兴县|
偏关县|
石景山区|
汉沽区|
和平县|
江津市|
连江县|
酒泉市|
泰和县|
永寿县|
宾阳县|
东城区|
海丰县|
平山县|
宝山区|
湘乡市|
门源|
上虞市|
衡阳县|
镇远县|
仁布县|
合阳县|
壤塘县|
高要市|
隆昌县|
新宁县|