百度空间 | 百度首页 
 
查看文章
  
简析winboost.dll msosiocp.dll ok.exe
2008年03月25日 星期二 22:33

1.         它会判断系统是否有 \\.\KLIF设备(卡巴斯基的核心驱动),存在\\.\KLIF设备则关闭其Handle,释放替换系统驱动beep.sys C:\WINDOWS\system32\drivers\beep.sys(系统会有替换提示), C:\WINDOWS\system32\ dllcache \beep.sys,然后会通过SC进行添加服务,启动服务,启动完毕会将服务删除。不存在\\.\KLIF设备则会释放驱动到C:\Documents and Settings\当前用户\Local Settings\Temp\tmp(*).tmp(*16进制数,从1开始累加),然后会通过SC进行添加服务,启动服务,启动完毕会将服务删除。

2.         注入explorer.exe,判断当前注入的是不是c:\windows\explorer.exe,当前注入的不是explorer.exe,判断 "{50632D5C-B71B-4ba0-B012-3DC6F15C011B}"是否存在,不存在创建,实现开机启动,并复制自身到system32\msosiocp.dll,注入explorer.exe,注入成功开始下载病毒列表。

3.         下载开始时有一个解密操作,但是里面没有数据,下载地址是明文的,估计病毒以后会将下载地址加密。

4.         解密操作后将自身DLL复制到system32\setup\en_1072.bin,并写入注册表 "CLSID\ {AE27505C-C46F-4eb2 -9A17-5D1E1 F46BC09}\InprocServer32" " AllFilesystemObjects\shellex\ Context MenuHandlers\winsync32"实现开机启动。

5.         搜索下载列表里的标记位"ver" "list"将下载的病毒保存在C:\Documents and Settings\当前用户\Local Settings\Temp\tmp(*).tmp(*16进制数,从1开始累加),下载一个运行一个。hxxp://xxxxxx.158dm.com/okok.txt下载列表如下

[ver]
ver=1
[list]
1=http://122.xxx.6.70/aO.exe
2=http://122.xxx.6.70/a1.exe
3=http://122.xxx.6.70/a2.exe
4=http://122.xxx.6.70/a3.exe
5=http://122.xxx.6.70/a4.exe
6=http://122.xxx.6.70/a5.exe
7=http://122.xxx.6.70/a6.exe
8=http://122.xxx.6.70/a7.exe
9=http://122.xxx.6.70/a8.exe
10=http://122.xxx.6.70/a9.exe
11=http://122.xxx.6.70/a10.exe
12=http://122.xxx.6.70/a11.exe
13=http://122.xxx.6.70/a12.exe
14=http://122.xxx.6.70/a13.exe
15=http://122.xxx.6.70/a14.exe
16=http://122.xxx.6.70/a15.exe
17=http://122.xxx.6.70/a16.exe
18=http://122.xxx.6.70/a17.exe
19=http://122.xxx.6.70/a18.exe
20=http://122.xxx.6.70/a19.exe
21=http://122.xxx.6.70/a20.exe
22=http://122.xxx.6.70/a21.exe
23=http://122.xxx.6.70/a22.exe
24=http://122.xxx.6.70/a23.exe
25=http://122.xxx.6.70/a24.exe
26=http://122.xxx.6.70/a25.exe
27=http://122.xxx.6.70/a26.exe
28=http://122.xxx.6.70/a27.exe
29=http://122.xxx.6.70/a28.exe
30=http://122.xxx.6.70/a29.exe
31=http://122.xxx.6.70/avp.exe
删除方法
关闭exploere.exe,删除system32/msosiocp.dll文件,删除C:\Documents and Settings\当前用户\Local Settings\Temp\tmp(*).tmp文件,删除system32\setup\en_1072.bin文件,注册表搜索{AE27505C-C46F-4eb2 -9A17-5D1E1 F46BC09}{50632D5C- B71B-4ba0- B012- 3DC6F15C011B}删除。
 
该病毒清除比较容易,目前能看出制作了解密模块,将来的变种趋势将加密病毒下载地址。它关闭卡巴斯基的模块会导致一定用户开机时蓝屏。

类别:西毒 | 添加到搜藏 | 浏览() | 评论 (3)
 
最近读者:
 
网友评论:
1
2008年03月26日 星期三 09:12 | 回复
刚好看了一个ok迷惑中 偷师下 ^_^
 
2
2008年03月29日 星期六 10:59 | 回复
我看到的这东西还欲镜像劫持 但测试中没有实现
 
3
2008年03月30日 星期日 10:47 | 回复
啊虎归来~娃哈哈
 
发表评论:
姓 名:
网址或邮箱: (选填)
内 容:
验证码: 请点击后输入四位验证码,字母不区分大小写
      

     

©2009 Baidu