其實這是之前Rose病毒的一個新變種,大多數殺軟都能識別。
文件名稱:sxs.exe
文件大小:40663 byte
AV命名:
卡巴斯基:Trojan-PSW.Win32.QQRob
瑞星:Worm.Pabug.l
加殼方式:Hmimys-Packer+Aspack
編寫語言:Delphi
文件MD5:5aa93a60fcc9865fa2a60d9e73f2e373
行爲分析:
1、釋放文件:
C:\WINDOWS\system32\SVOHOST.exe 40663 字節
C:\WINDOWS\system32\winscok.dll 41120 字節
2、從D開始,判斷可用磁盤(Z),生成sxs.exe 和autorun.inf 。
3、添加啓動:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SoundMam = REG_SZ, "C:\windows\system32\SVOHOST.exe"
3、修改註冊表,保證U盤自動運行:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoDriveTypeAutoRun修改爲 REG_DWORD, 189
4、%Systemroot%system32釋放noruns.reg。爲:
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:bd
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:bd
????
5、嘗試關閉:
sc.exe
cmd.exe
net.exe
sc1.exe
net1.exe
PFW.exe
Kav.exe
KVOL.exe
KVFW.exe
TBMon.exe
kav32.exe
kvwsc.exe
CCAPP.exe
EGHOST.exe
KRegEx.exe
kavsvc.exe
VPTray.exe
RAVMON.exe
KavPFW.exe
SHSTAT.exe
RavTask.exe
Iparmor.exe
MAILMON.exe
MCAGENT.exe
KAVPLUS.exe
RavMonD.exe
Rtvscan.exe
Nvsvc32.exe
KVMonXP.exe
Kvsrvxp.exe
CCenter.exe
KpopMon.exe
RfwMain.exe
KWATCHUI.exe
MCVSESCN.exe
MSKAGENT.exe
kvolself.exe
kavstart.exe
RAVTIMER.exe
RRfwMain.exe
FireTray.exe
UpdaterUI.exe
KVSrvXp_1.exe
RavService.exe
cmd.exe
net.exe
sc1.exe
net1.exe
PFW.exe
Kav.exe
KVOL.exe
KVFW.exe
TBMon.exe
kav32.exe
kvwsc.exe
CCAPP.exe
EGHOST.exe
KRegEx.exe
kavsvc.exe
VPTray.exe
RAVMON.exe
KavPFW.exe
SHSTAT.exe
RavTask.exe
Iparmor.exe
MAILMON.exe
MCAGENT.exe
KAVPLUS.exe
RavMonD.exe
Rtvscan.exe
Nvsvc32.exe
KVMonXP.exe
Kvsrvxp.exe
CCenter.exe
KpopMon.exe
RfwMain.exe
KWATCHUI.exe
MCVSESCN.exe
MSKAGENT.exe
kvolself.exe
kavstart.exe
RAVTIMER.exe
RRfwMain.exe
FireTray.exe
UpdaterUI.exe
KVSrvXp_1.exe
RavService.exe
6、關閉窗口:
QQKav
QQAV
TKillqqvir
TKqqviru
qqav
TApplication
網鏢
***
噬菌體
刪除
QQAV
TKillqqvir
TKqqviru
qqav
TApplication
網鏢
***
噬菌體
刪除
7、禁用服務:
stop sharedaccess
stop KVWSC
config KVWSC start= disabled
stop KVSrvXP
config KVSrvXP start= disabled
stop kavsvc
config kavsvc start= disabled
config RsRavMon start= disabled
stop RsCCenter
config RsCCenter start= disabled
stop RsRavMon
stop KVWSC
config KVWSC start= disabled
stop KVSrvXP
config KVSrvXP start= disabled
stop kavsvc
config kavsvc start= disabled
config RsRavMon start= disabled
stop RsCCenter
config RsCCenter start= disabled
stop RsRavMon
8、刪除註冊表啓動項(如果有):
RavTask
KvMonXP
YLive
KAVPersonal50
SVCHOXT
NTdhcp
Winhoxt
yassistse
KvMonXP
YLive
KAVPersonal50
SVCHOXT
NTdhcp
Winhoxt
yassistse
9、查找互斥體“111111111”,如不存在則釋放資源dllfile(winscok.dll)。
10、創建鉤子(Hook):WH_KEYBOARD、WH_MOUSE、WH_CALLWNDPROC。
11、檢測QQ.exe啓動,並將winscok.dll注入。並獲得QQ絕對路徑,刪除npkcrypt.sys。
12、記錄QQ帳號密碼後,發送至*****@tom.com和[url]http://www.ctv163.com/alexa/Images/key.asp[/url]。
密碼郵箱都已失效。
13、每隔0.8秒查找"瑞星提示"窗口,並往"是(&Y)"發送BM_CLICK。
14、解密病毒體內字符串,發現一些鏈接,但測試時未有網絡行爲:
堆棧 ss:[0012FDE4]=00DE0040, (ASCII "[url]http://www.ctv163.com/[/url]")
edx=004057EA (sxs_unpa.004057EA), ASCII "lqrs>*)tsr(`ps757+eli*"
edx=004057EA (sxs_unpa.004057EA), ASCII "lqrs>*)tsr(`ps757+eli*"
堆棧 ss:[0012FDDC]=00DE00A8, (ASCII "[url]http://www.677977.com/[/url]")
edx=0040580A (sxs_unpa.0040580A), ASCII "lqrs>*)tsr(532?43+eli*"
edx=0040580A (sxs_unpa.0040580A), ASCII "lqrs>*)tsr(532?43+eli*"
dqhx1.txt
…………
15、每隔一段時間會檢測自身啓動項,並在可用磁盤建立病毒附件。
16、還有其他小細節,不詳細寫了:-)
解決方法:
1、下載SREng直接放桌面:
[url]http://www.kingzoo.com/tools/[/url]孤獨更可靠/sreng2.5.zip
複製完整鏈接呃。。
2、打開任務管理器,關閉:SVOHOST.exe和Sxs.exe(如果有)。
3、刪除啓動項:“SoundMam”。
4、重啓計算機。刪除硬盤文件:
C:\WINDOWS\system32\SVOHOST.exe 40663 字節
C:\WINDOWS\system32\winscok.dll 41120 字節
還有磁盤下的sxs.exe 和autorun.inf
建議用Winrar刪。記得別先進入磁盤呃,,不然要重來的。
5、修改QQ密碼。
6、上述方法無法清除的,麻煩抓個病毒樣本,仍到[email][email protected][/email]或[email][email protected][/email]
加密virus
