百度空间 | 百度首页 
               
 
查看文章
  
感染型下载者Worm.Agent.xo的分析
2007-06-17 13:58

作者:清新阳光                    ( http://hi.baidu.com/newcenturysun)
      日期:2007/06/17           (转载请保留此申明)

File: setup.exe
Modified: 2005年6月17日, 11:29:36
MD5: 5194DD1E36C27E8642B44EAF9F8065C3
SHA1: BD17094D00FD1D1432D966E0AE7A84F57FD68250
CRC32: FA43F602
文件运行后
生成:
C:\WINDOWS\system\winlogon.exe

从最后一个盘符开始遍历除系统分区外的所有分区
把所有分区的exe的名字写入C:\WINDOWS\win.log
感染win.log中所记录的exe 被感染文件被加入20577字节的病毒代码 且感染后文件图标不变(具体感染方式没找到

,还望各位高手给予指导)
运行被感染文件后会释放0_.ii的一个病毒体 运行病毒体后 删除0_.ii自身

在每个分区下面生成autorun.inf和setup.exe
病毒体内有字样:我恨卡巴

连接网络222.220.16.186:80
下载http://mm.xxxx1.com/server.exe
http://xxxx1.com/1.exe
http://xxxx1.com/2.exe
http://xxxx1.com/3.exe
http://xxxx1.com/4.exe
http://xxxx1.com/5.exe
http://xxxx1.com/6.exe
http://xxxx1.com/7.exe
http://xxxx1.com/8.exe
http://xxxx1.com/9.exe
http://xxxx1.com/10.exe
http://xxxx1.com/11.exe
http://xxxx1.com/12.exe
http://xxxx1.com/13.exe
http://xxxx1.com/14.exe
http://xxxx1.com/15.exe
http://xxxx1.com/16.exe
到C:\WINDOWS\system\下分别命名为1.exe~16.exe

木马植入成功后 sreng日志如下
启动项目
     <WinForm><C:\WINDOWS\WinForm.exe>    []
      <upxdnd><C:\WINDOWS\upxdnd.exe>    []
      <mppds><C:\WINDOWS\mppds.exe>    []
      <msccrt><C:\WINDOWS\msccrt.exe>    []
      <AVPSrv><C:\WINDOWS\AVPSrv.exe>    []
      <Kvsc3><C:\WINDOWS\Kvsc3.exe>    []
      <crqt><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\iexplorer.exe>    []
      <499g4w9rv><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\c0nime.exe>    []
服务

[Remote Debug Service / RemoteDbg][Stopped/Auto Start]
    <C:\WINDOWS\system32\rundll32.exe RemoteDbg.dll,input><Microsoft Corporation>

解决方法:
1.用serng清理启动项目和如下服务
    <WinForm><C:\WINDOWS\WinForm.exe>    []
      <upxdnd><C:\WINDOWS\upxdnd.exe>    []
      <mppds><C:\WINDOWS\mppds.exe>    []
      <msccrt><C:\WINDOWS\msccrt.exe>    []
      <AVPSrv><C:\WINDOWS\AVPSrv.exe>    []
      <Kvsc3><C:\WINDOWS\Kvsc3.exe>    []
      <crqt><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\iexplorer.exe>    []
      <499g4w9rv><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\c0nime.exe>    []
[Remote Debug Service / RemoteDbg][Stopped/Auto Start]
    <C:\WINDOWS\system32\rundll32.exe RemoteDbg.dll,input><Microsoft Corporation>
2.重启计算机后
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(

推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
右键点击 右键菜单中的第二个打开 打开每一个分区 删除autorun.inf和setup.exe
删除C:\WINDOWS\system\SYSTEM32.vxd
C:\WINDOWS\system\winlogon.exe
C:\WINDOWS\system32\AVPSrv.dll
C:\WINDOWS\system32\Kvsc3.dll
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\system32\msccrt.dll
C:\WINDOWS\system32\RemoteDbg.dll
C:\WINDOWS\system32\upxdnd.dll
C:\WINDOWS\system32\WinForm.dll
C:\WINDOWS\AVPSrv.exe
C:\WINDOWS\Kvsc3.exe
C:\WINDOWS\mppds.exe
C:\WINDOWS\msccrt.exe
C:\WINDOWS\upxdnd.exe
C:\WINDOWS\WinForm.exe


类别:病毒防范与杀除 | 添加到搜藏 | 浏览() | 评论 (10)
 
最近读者:
 
网友评论:
1
2007-06-17 16:56 | 回复
这哥们搞笑啊 但是卡巴对上报的病毒的反映在世界来说都是非常快的了吧! 基本下次病毒库更新 最晚也就是一天吧!!这个还是大型的毒啊!
 
2
2007-06-17 17:18 | 回复
病毒体内有字样:我恨卡巴 都恨卡巴了。 呵呵!!!!!!!!!! 可别是瑞星自己折腾的哦!!!! 说笑啦!!! 这毒的变种,以后会更烦的,估计。
 
3
2007-06-17 17:24 | 回复
关于winlogon.exe这类和系统的文件同名的。 建议以后再写处理方法时,能够指出来和系统同名文件所在位置的区别,不然可能会有过于菜的人,看了你这个,操作错了,卡嚓了系统文件。 因为太多的人喜欢搜索文件删除,这会连系统文件都搜出来。 不注意就删除了,再重启,进不了系统,会骂死你的。 孤独那边,我就不去建议了,估计他会到你这看到的吧。
 
4
2007-06-17 17:46 | 回复
还是天月体贴我们这些菜鸟啊 不过我也没贬低阳光的意思 哦 呵呵
 
5
2007-06-17 21:35 | 回复
“感染后文件图标不变” 这点不错~~~~~~~~~~~~哈哈
 
6
2007-06-18 08:46 | 回复
啊啊啊~~ 天月又扯到我了~~ 我也是菜鸟啊 还有,这个病毒好像以前见过,貌似更新过的```
 
7
2007-06-21 08:49 | 回复
请问这个病毒目前有没有专杀工具啊? 还有,好像现在有一种叫帕虫的木马病毒跟这个有点相识?请教。。。。。。
 
8
2007-06-22 12:54 | 回复
没有专杀工具 用杀毒软件即可清除被感染的文件
 
9
2007-06-25 21:23 | 回复
我也中了,但用AVG,nod32,瑞星,金山,江民,都没有杀死过,网络上没有专杀工具,但在世界反病毒网上检测病毒体,有不少的外国杀毒能发现这样病毒,但死掉就是未知数了,就像卡巴能发现,但不能清除,而各杀毒命名这个病体的名字都不同,我也用过小红伞,但也没见清除干净!这个病毒真的可恶,暂没有见到几家杀毒能清除干净的。求高手出来帮忙!
 
10
2008-01-21 12:32 | 回复
我也中啦呀~ 怎么办呀? 真是晕~~~~~ 谁这么可恶~叫他不得好死~~~~~~~~~··
 
发表评论:
姓 名:
网址或邮箱: (选填)
内 容:
验证码: 请点击后输入四位验证码,字母不区分大小写
      

     

©2009 Baidu