[原创]病毒分析报告：tsrv.exe、msji449c14b7.dll、tsrv.dll、_人去楼空

百度空间 | 百度首页

查看文章

[原创]病毒分析报告：tsrv.exe、msji449c14b7.dll、tsrv.dll、

2007-03-09 00:20

病毒名称：卡巴：Email.Worm.Win32.Warezov.q 金山：Worm. Warezov.q.151251

病毒大小：151,251 字节

传播方式：email传播

加壳方式：MEW 11 1.2

编写语言：Microsoft Visual C++ 7.0

指纹效验：

SHA-160 : E75296A98BCCDC2E403B08CFC6AA9D3A7EAFC1A8

MD5 : C46DE6C5C7F7365A0655E5289120F23F

RIPEMD-160 : 41C77E4CADD95281154D4713118A150ADD8EBFCB

CRC-32 : C8CCB52E

测试平台：VM+win2000PROSP4

病毒行为：

病毒运行后在同目录下生成11.tmp文件（文件名随机），释放tsrv.exe、tsrv.dll到%systemroot%下，释放msji449c14b7.dll到%systemroot%system32\下，通过修改注册表在初始化完毕驱动后winlogon.exe前加载病毒程序msji449c14b7.dll进行自身rootkit，然后将自身插入随后启动的进程中；添加注册表启动项启动病毒程序，病毒建立tsrv.exe进程后启动tsrv.dll来进行进程隐藏实现rootkit，并且将线程tsrv.dll插入到每一个后于病毒启动的程序中。修改host文件对众多杀软网站进行屏蔽，倒是没有挂马，哈哈。

注册表修改键值：

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

<tsrv><C:\WINNT\tsrv.exe s> [N/A]（新建，杀毒需删除）

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]

<AppInit_DLLs>< msji449c14b7.dll> [N/A]（修改，杀毒只需要将键值设为空）

病毒屏蔽的杀软网站：

download.microsoft.com

go.microsoft.com

msdn.microsoft.com

office.microsoft.com

windowsupdate.microsoft.com

http://www.microsoft.com/downloads/Search.aspx?displaylang=en

http://www.avp.ru

www.kaspersky.ru

http://kaspersky.ru

www.kaspersky.com

http://kaspersky.com

kaspersky-labs.com

www.kaspersky-labs.com

http://kaspersky-labs.com

avp.ru/download/

www.avp.ru/download/

http://www.avp.ru/download/

http://www.kaspersky.ru/updates/

http://www.kaspersky-labs.com/updates/

http://kaspersky.ru/updates/

http://kaspersky-labs.com/updates/

downloads1.kaspersky-labs.com

downloads2.kaspersky-labs.com

downloads3.kaspersky-labs.com

downloads4.kaspersky-labs.com

downloads5.kaspersky-labs.com

http://downloads1.kaspersky-labs.com

http://downloads2.kaspersky-labs.com

http://downloads3.kaspersky-labs.com

http://downloads4.kaspersky-labs.com

http://downloads5.kaspersky-labs.com

downloads1.kaspersky-labs.com/products/

downloads2.kaspersky-labs.com/products/

downloads3.kaspersky-labs.com/products/

downloads4.kaspersky-labs.com/products/

downloads5.kaspersky-labs.com/products/

http://downloads1.kaspersky-labs.com/products/

http://downloads2.kaspersky-labs.com/products/

http://downloads3.kaspersky-labs.com/products/

http://downloads4.kaspersky-labs.com/products/

http://downloads5.kaspersky-labs.com/products/

downloads1.kaspersky-labs.com/updates/

downloads2.kaspersky-labs.com/updates/

downloads3.kaspersky-labs.com/updates/

downloads4.kaspersky-labs.com/updates/

downloads5.kaspersky-labs.com/updates/

http://downloads1.kaspersky-labs.com/updates/

http://downloads2.kaspersky-labs.com/updates/

http://downloads3.kaspersky-labs.com/updates/

http://downloads4.kaspersky-labs.com/updates/

http://downloads5.kaspersky-labs.com/updates/

ftp://downloads1.kaspersky-labs.com

ftp://downloads2.kaspersky-labs.com

ftp://downloads3.kaspersky-labs.com

ftp://downloads4.kaspersky-labs.com

ftp://downloads5.kaspersky-labs.com

ftp://downloads1.kaspersky-labs.com/products/

ftp://downloads2.kaspersky-labs.com/products/

ftp://downloads3.kaspersky-labs.com/products/

ftp://downloads4.kaspersky-labs.com/products/

ftp://downloads5.kaspersky-labs.com/products/

ftp://downloads1.kaspersky-labs.com/updates/

ftp://downloads2.kaspersky-labs.com/updates/

ftp://downloads3.kaspersky-labs.com/updates/

ftp://downloads4.kaspersky-labs.com/updates/

ftp://downloads5.kaspersky-labs.com/updates/

http://updates.kaspersky-labs.com/updates/

http://updates1.kaspersky-labs.com/updates/

http://updates2.kaspersky-labs.com/updates/

http://updates3.kaspersky-labs.com/updates/

http://updates4.kaspersky-labs.com/updates/

ftp://updates.kaspersky-labs.com/updates/

ftp://updates1.kaspersky-labs.com/updates/

ftp://updates2.kaspersky-labs.com/updates/

ftp://updates3.kaspersky-labs.com/updates/

ftp://updates4.kaspersky-labs.com/updates/

www.viruslist.com

http://viruslist.com

www.viruslist.ru

http://viruslist.ru

ftp://ftp.kasperskylab.ru/updates/

www.symantec.com

http://symantec.com

customer.symantec.com

http://customer.symantec.com

liveupdate.symantec.com

http://liveupdate.symantec.com

liveupdate.symantecliveupdate.com

http://liveupdate.symantecliveupdate.com

securityresponse.symantec.com

http://securityresponse.symantec.com

service1.symantec.com

http://service1.symantec.com

symantec.com/updates

http://symantec.com/updates

updates.symantec.com

http://updates.symantec.com

http://www.eset.com/

eset.com/products/index.php

www.eset.com/products/index.php

http://www.eset.com/products/index.php

eset.com/download/index.php

www.eset.com/download/index.php

http://www.eset.com/download/index.php

eset.com/joomla/

www.eset.com/joomla/

http://www.eset.com/joomla/

http://u3.eset.com/

http://u4.eset.com/

www.symantec.com/updates

清除方法：

推荐使用SC对病毒的两个线程进行全局模块卸载，在卸载前一定要选中“禁止外部线程创建”，一次可能无法卸载干净，要对所有进程都进行查看，强制删除无效，最后将病毒进程tsrv.exe删除到回收站。清理注册表启动项。

原创文章：转载请注明文章作者：孤单每一天

文章地址：http://hi.baidu.com/renlangliu/blog/item/686451a7598b3195d143589d.html

(PS:没有ＳＣ的ＰＭ偶一下或跟帖……偶ｅｍａｉｌ给你，或者到偶嘀网盘里面找）

http://renlangliu.5upan.com/

类别：病毒岁月 | 浏览() | 评论 (6)

网友评论：

1

2007-03-09 07:05 | 回复

哦.原来昨晚就在研究这个呐...

2

2007-03-09 12:59 | 回复

写少了. 还释放了好几个东西在系统文件夹

3

2007-03-09 13:42 | 回复

貌似偶嘀监控程序不好使……换……真晕………………

4

2007-03-09 14:47 | 回复

貌似那几个文件的确没有什么用……ＳＳＭ只看到了那几个进程……可能其他的文件是病毒调用的邮件狂发的文件吧

5

2007-03-09 16:39 | 回复

没发现那其他的有什么作用.也没细看.估计DRIVERS\ECT下的还有点用处.

6

2007-03-10 01:38 | 回复

偶米薯条哦~~~你有吗？？能给偶吗？？嘻嘻~~~~

©2009 Baidu