查看文章 |
接 :警惕NSDownLoader木马下载器(U盘病毒system.dll)之一 e.每隔15分钟启动一次本机的lanmanserver与Browser服务,扫描本网段内的其他机器,打开对方的4444端口。在本机临时文件夹内创建一个???????.txt的文件(?代表随机数字),并写入一些代码,利用批处理和debug将其“重组”成dll文件,利用rundll32.exe加载,并利用MS08-067漏洞攻击其他机器,同时将该病毒文件复制过去。 f.释放appwinproc.dll到系统目录,设置窗口挂钩,查找带有如下字样的窗口“金山毒霸,360安全卫士, 江民, 木马, 专杀,下载者,NOD32,卡巴斯基…”,找到后调用TerminateProcess函数结束相应进程。 g.修改hosts文件屏蔽常见安全网站 127.0.0.1 www.360.cn 127.0.0.1 www.360safe.cn 127.0.0.1 www.360safe.com 127.0.0.1 www.chinakv.com 127.0.0.1 www.rising.com.cn 127.0.0.1 rising.com.cn 127.0.0.1 dl.jiangmin.com 127.0.0.1 jiangmin.com 127.0.0.1 www.jiangmin.com 127.0.0.1 www.duba.net 127.0.0.1 www.eset.com.cn 127.0.0.1 www.nod32.com 127.0.0.1 shadu.duba.net 127.0.0.1 union.kingsoft.com 127.0.0.1 www.kaspersky.com.cn 127.0.0.1 kaspersky.com.cn 127.0.0.1 virustotal.com 127.0.0.1 www.kaspersky.com 127.0.0.1 www.cnnod32.cn 127.0.0.1 www.lanniao.org 127.0.0.1 www.nod32club.com 127.0.0.1 www.dswlab.com 127.0.0.1 bbs.sucop.com 127.0.0.1 www.virustotal.com 127.0.0.1 tool.ikaka.com 127.0.0.1 360.qihoo.com h.向除了A,B盘之外的盘符中创建autorun.inf和system.dll(即dll??.dll), autorun.inf内容如下: [autorun] shell\open\command=rundll32 system.dll,explore shell\explore\command=rundll32 system.dll,explore 利用rundll32.exe加载该dll i.获得本机的mac地址,操作系统版本等信息发送到http://tk123.********.cn/pk/123/count.asp 判别方法:通过sreng日志判断: 1. IFEO项目可以看到很多杀毒软件被劫持
2. 查看系统服务发现如下服务的dll版本变为N/A(被病毒替换所致) 如[Application Management / AppMgmt][Stopped/Manual Start] <C:\WINDOWS\system32\svchost.exe -k netsvcs-->%SystemRoot%\System32\appmgmts.dll><N/A> [Task Scheduler / Schedule][Stopped/Auto Start] <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\system32\schedsvc.dll><N/A> [System Restore Service / srservice][Stopped/Auto Start] <C:\WINDOWS\system32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\srsvc.dll><N/A> [Windows Image Acquisition (WIA) / stisvc][Stopped/Manual Start] <C:\WINDOWS\system32\svchost.exe -k imgsvc-->%SystemRoot%\system32\wiaservc.dll><N/A> [Windows Time / W32Time][Stopped/Auto Start] <C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\w32time.dll><N/A>
解决方法: 下载sreng工具,XDelbox工具。 1. 断开网络,开始—运行—输入services.msc,把下列服务设置为“禁用”:Application Management,Task Scheduler,System Restore Service,Windows Image Acquisition (WIA),Windows Time
2. 使用Xdelbox删除如下文件 %temp%\dll???.dll(???代表随机数字) %SystemRoot%\System32\Nskhelper2.sys %SystemRoot%\System32\NSPASS?.sys (?代表数字,不止一个) %SystemRoot%\System32\appwinproc.dll 以及各个分区下面的system.dll,autorun.inf文件
3.重启计算机,打开我的电脑>>菜单栏>>工具>>文件夹选项>>查看 选择显示所有文件和文件夹,并把隐藏受保护的操作系统文件的钩去掉。
4.打开%SystemRoot%\system32\dllcache文件夹 依次找到 schedsvc.dll appmgmts.dll srsvc.dll w32time.dll wiaservc.dll 文件 分别覆盖掉%SystemRoot%\system32\schedsvc.dll %SystemRoot%\System32\appmgmts.dll %SystemRoot%\System32\srsvc.dll %SystemRoot%\System32\w32time.dll %SystemRoot%\system32\wiaservc.dll
5.使用sreng删除所有IFEO映像劫持项目
6.使用杀毒软件全盘杀毒清除其他木马和病毒
|
