百度空间 | 百度首页 
 
查看文章
  
凝逸反毒.修复NET.EXE感染的EXE+病毒分析
2008-04-26 01:44

凝逸反毒.修复NET.EXE感染的EXE+病毒分析

感染引擎: 修复NET.EXE病毒
引擎作者: 凝逸
病毒名: Win32.Downloader.af,NET.EXE病毒,AVP.EXE的变种,Backdoor.Win32.Prorat.19
    功能: 修复NET.EXE感染的EXE,有一些感染坏了,就修复不了!
    防御: 防御感染NET.EXE
样本提供: 凄凉山谷的风,还有一个中奖用户(忘了)
参于试马: 凝逸反毒_测评组:风华沉淀
                 (谢谢)


修复方法:
   [系统]
       ->进程
          把NET.EXE 暂停在结束
[专杀]
      ->修复NET.EXE
          先点[防御]可不让NET.EXE 运行
          再 修复所有exe

[扫描]
       ->扫描病毒
          把 c:\ 下的木马杀了

从开机 在把凝逸反毒在解出来,在扫一次
---
如有 ghost或一键还原,可用
[扫描]
       ->黑洞
          把 把木马杀了, 从开机时在还原系,
---


主页: http://hi.baidu.com/503165656
下载: http://ccc0.111n.com
      http://202.a.gg
BBS: http://nyav.uu1001.com/
技术支持QQ:503165656
反病毒QQ群:31168828
(创建于:2007-01)


[img]http://xs226.xs.to/xs226/08176/1614.jpg[/img]
http://xs226.xs.to/xs226/08176/1614.jpg

http://baike.360.cn/3240965/4631827.html
http://hi.baidu.com/503165656/blog/item/5a31b28f9dc724ff513d9207.html
==========================================

=================病毒分析=========================
一、病毒标签:
病毒名称:Backdoor.Win32.Prorat.19
病毒类型:后门
危害等级:高
文件长度:350764字节
感染系统:Win9x以上所有版本
开发工具:VC++6.0
加壳类型:UPX

二、病毒描述:  
  运行Backdoor.Win32.Prorat.19.exe后,病毒会把自己拷贝到%WINDIR%下命名为services.exe,

复制另一份到%system%目录下从命名为fservice.exe,另外在%system%目录下还会释放出net.exe和

net1.exe,还会释放出reginv.dll和winkey.dll。然后把自己修改注册表使自己启动。接着创建

fservice.exe进程后,还会在当前目录下释放出Backdoor.Win32.Prorat.19.bat删除样本自身,做完这些

后,病毒第一运行结束,退出。fservice.exe是一个过渡进程,它将在创建services.exe进程后退出,

services.exe会创建net.exe进程,net.exe在创建net1.exe进程后退出,net1.exe测试当前网络状态后退

出。Reginv.dll能隐藏自己修改的注册表项与注册表启动项,winkey.dll是ring3级的键盘记录器,它能

记下用户所有键盘记录,主进程是services.exe。它会打开本地5112、51100、5110端口等待被连接。

三、行为分析:  
1、该病毒将自身释放到%WINDIR%目录下重命名为services.exe,同时释放net.exe、net1.exe、

reginv.dll、winkey.dll到%system%目录下。


2、将自身添加到注册表中保证自己被启动:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\policies\Explorer\Run
增加键:DirectX For Microsoft?Windows 键值C:\WINDOWS\
system32\fservice.exe

修改其他的注册表项:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Winlogon
增加键:Shell  键值:Explorer.exe C:\WINDOWS\system32\fservice.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components
\{5Y99AE78-58TT-11dW-BE53-Y67078979Y}
增加键:StubPath 键值:C:\WINDOWS\system\sservice.exe

3、 打开本地端口等待被连接

很多被绑架了的进程,而且调用的是%windir%\system32\net.exe,显然是病毒将原来的系统文件替换掉

了,同目录下还有个net1.exe,


类别:凝逸反毒 | 添加到搜藏 | 浏览() | 评论 (7)
 
最近读者:
 
网友评论:
1
2008-04-26 02:05 | 回复
呵呵 这个软件的确不错! 支持下! 加为好友!
 
2
2008-04-26 12:16 | 回复
net.exe net.exe病毒 net.exe专杀 net.exe是什么 net.exe是什么病毒 net.exe进程 net.exe专杀工具 net.exe怎么杀 net.exe是什么吗 net.exe是什么文件
 
3
2008-04-26 13:03 | 回复
我也很喜欢病毒
 
4
2008-04-26 21:43 | 回复
下载在哪儿啊?
 
5
2008-04-26 22:24 | 回复
我用了 根本对那个病毒没有用的 杀不了 删了重起电脑 还是一样在的
 
6
2008-04-26 22:26 | 回复
绝对不乱说 我QQ是290804313 不信你加我看 我整得头都大了 刚看到你博客的时候 还很高兴 心想有救了 结果一样没用
 
7
2008-04-27 15:38 | 回复
可能是不同感染 或变种 发到我信箱
 
发表评论:
姓 名:
网址或邮箱: (选填)
内 容:
验证码: 请点击后输入四位验证码,字母不区分大小写
      

     

©2009 Baidu