作者:清新阳光 ( http://hi.baidu.com/newcenturysun)
日期:2008/02/28 (转载请保留此声明)
这是一个用VB编写的病毒,行为有点类似落雪,处理起来比较麻烦,没有下载行为,作者的目的似乎只是为了炫耀自己的技术
具体分析:
File: Nitip.exe
Size: 47616 bytes
File Version: 1.00
Modified: 2008年2月28日, 12:04:14
MD5: A1E036A64AFDD8F89B434CC03F418867
SHA1: 553DDACA9B5CEEF95EA4D265D35069C3459BA4EC
CRC32: 386A5FAD
1.病毒伪装成文件夹图案诱使用户点击
运行后,衍生如下文件或者副本:
C:\Documents and Settings\用户名\Local Settings\Application Data\WINDOWS\CSRSS.EXE
C:\Documents and Settings\用户名\Local Settings\Application Data\WINDOWS\LSASS.EXE
C:\Documents and Settings\用户名\Local Settings\Application Data\WINDOWS\SERVICES.EXE
C:\Documents and Settings\用户名\Local Settings\Application Data\WINDOWS\SMSS.EXE
C:\Documents and Settings\用户名\Local Settings\Application Data\WINDOWS\WINLOGON.EXE
C:\Documents and Settings\用户名*****.exe(*****代表随机字符)
C:\dago\****.exe(****代表随机字符)
C:\***** 用户名.exe(*****代表随机字符)
C:\WINDOWS.exe
C:\WINDOWS\system32\\Media\Windows.cmd
C:\WINDOWS\User\.exe
C:\WINDOWS\system\server.exe
C:\WINDOWS\Dago\Dago.exe
各个分区下面生成一个Dago的文件夹和一个***** 用户名.exe(*****代表随机字符)生成的病毒体
2.试图删除下面目录中的文件
C:\Progra~1\AntiViralToolkitPro\*.*
C:\Norman\*.*
C:\Progra~1\Norman\*.*
C:\Progra~1\Mcafee\McafeeVirusScan\*.*
C:\Progra~1\NortonAntiVirus\*.*
C:\Progra~1\NetworkAssociates\Virusscan\*.*
C:\Progra~1\NetworkAssociates\Virusscan\*.*
C:\windows\system32\gpedit.msc
C:\Program Files\Kaspersky Lab\KasperskyAnti-VirusPersonal Pro\*.*
C:\Program Files\Kaspersky Lab\KasperskyAnti-VirusPersonal\*.*
3.添加映像劫持项目
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe
劫持到
4.操作注册表,禁用注册表编辑器,任务管理器,cmd等常用工具,并隐藏“文件夹选项”,隐藏文件扩展名
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\DisableTaskMgr: 0x00000001
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\DisableRegistryTools: 0x00000001
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoFolderOptions: 0x00000001
HKU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableCMD: 0x00000001
HKU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt: 0x00000001
之前释放了C:\WINDOWS.exe,而且把真正的C:\WINDOWS目录隐藏了,用户则很容易会点击伪装的Windows文件夹(病毒文件)
5.修改C:\windows\system32\Oeminfo.ini修改电脑的OEM信息
并写入如下字样:
Your computer has been infected with Dago
www.geocities.com/evanta44/
buat ta tau!!!
6.修改IE主页为www.geocities.com/evanta44/,以及IE浏览器的标题为Dago Dago Dago
HKU\Software\Microsoft\Internet Explorer\Main\Start Page: "www.geocities.com/evanta44/"
HKU\Software\Microsoft\Internet Explorer\Main\Window Title: "Dago Dago Dago Dago"
7.更改C:\WINDOWS的目录属性为隐藏
8.查找类名为#32770的窗口并通过查找窗口名称关闭某些软件,例如
HijackThis-v1.99.1
Windows Task Manager(任务管理器)
9.利用多种方式实现开机启动
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<SQL><C:\WINDOWS\system\server.exe> []
<User><C:\WINDOWS\User\.exe> []
<Winlogon><C:\Documents and Settings\用户名\Local Settings\Application Data\WINDOWS\WINLOGON.EXE> []
<Services用户名><C:\Documents and Settings\用户名\Local Settings\Application Data\WINDOWS\SERVICES.EXE> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<用户名 di Dago><C:\WINDOWS\Dago\Dago.exe> []
<CueX44><C:\WINDOWS\Dago\Dago.exe> []
<Csrss><C:\Documents and Settings\用户名\Local Settings\Application Data\WINDOWS\CSRSS.EXE> []
<Lsass><C:\Documents and Settings\用户名\Local Settings\Application Data\WINDOWS\LSASS.EXE> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><Explorer.exe "C:\WINDOWS\system32\\config\systemprofile\Local Settings\Application Data\tic.exe"> [N/A]
<Userinit><C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\\Media\Windows.cmd> [N/A]
10.修改默认的屏幕保护程序为C:\WINDOWS\system32\evanta44.SCR(病毒文件)
[HKEY_CURRENT_USER\Control Panel\Desktop]
<SCRNSAVE.EXE><C:\WINDOWS\system32\evanta44.SCR> [N/A](随机文件名)
解决方法:
下载sreng:http://www.skycn.com/soft/23312.html#download
Icesword:http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip
1.在桌面上单击鼠标右键-属性-屏幕保护程序,记住默认的屏幕保护程序的名字,本例中为evanta44
解压Icesword到一个文件夹,运行Icesword.exe
结束如下进程
C:\WINDOWS\system32\evanta44.SCR(由刚才记住的屏保程序名称为准)
C:\WINDOWS\system\server.exe
C:\WINDOWS\User\.exe
C:\Documents and Settings\用户名\Local Settings\Application Data\WINDOWS\WINLOGON.EXE
C:\Documents and Settings\用户名\Local Settings\Application Data\WINDOWS\SERVICES.EXE
C:\WINDOWS\Dago\Dago.exe
C:\Documents and Settings\用户名\Local Settings\Application Data\WINDOWS\CSRSS.EXE
C:\Documents and Settings\用户名\Local Settings\Application Data\WINDOWS\LSASS.EXE
C:\WINDOWS\system32\\config\systemprofile\Local Settings\Application Data\tic.exe
C:\WINDOWS\system32\\Media\Windows.cmd
或者查找所有图标为文件夹样子的进程,依次结束即可
打开我的电脑,点击菜单栏下方的“搜索”按钮
并设定如下限制条件:
1.指定大小 至多48KB
2.文件类型 应用程序
3.勾选 搜索隐藏的文件和文件夹
把搜索到的文件按照大小排列 找到所有图标为文件夹的文件 依次删除
最后注意删除各个分区下面的Dago文件夹和***** 用户名.exe(*****代表随机字符)
2.打开sreng
启动项目 注册表 删除如下项目(假设系统盘在C盘)
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<SQL><C:\WINDOWS\system\server.exe> []
<User><C:\WINDOWS\User\.exe> []
<Winlogon><C:\Documents and Settings\用户名\Local Settings\Application Data\WINDOWS\WINLOGON.EXE> []
<Services用户名><C:\Documents and Settings\用户名\Local Settings\Application Data\WINDOWS\SERVICES.EXE> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<用户名 di Dago><C:\WINDOWS\Dago\Dago.exe> []
<CueX44><C:\WINDOWS\Dago\Dago.exe> []
<Csrss><C:\Documents and Settings\用户名\Local Settings\Application Data\WINDOWS\CSRSS.EXE> []
<Lsass><C:\Documents and Settings\用户名\Local Settings\Application Data\WINDOWS\LSASS.EXE> []
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon下的
shell值改为Explorer.exe
Userinit值改为C:\WINDOWS\system32\userinit.exe,
删除所有IFEO项目
系统修复-Windows Shell/IE 全选 点击修复按钮
