test.exe,vista.exe,a.jpg,Flower.dll病毒分析解決
此病毒爲之前的夢中情人(暗號)病毒的最新變種
1.病毒運行後,釋放如下文件或副本
%systemroot%\system32\config\systemprofile\vista.exe
%systemroot%\system32\a.jpg
%systemroot%\system32\Flower.dll
%systemroot%\system32\vista.exe
各個分區下面釋放test.exe和autorun.inf
2.通過查找software\Microsoft\Windows\CurrentVersion\App Paths\IEXPLORE.EXE的鍵值獲得IEXPLORE.EXE路徑,之後調用IE連接http://www.3940*.cn/tj.asp進行感染統計
3.提升自身權限,關閉如下進程
360tray.exe
360safe.exe
關閉如下進程的句柄
avp.exe
4.啓動一個spoolsv.exe進程,把Flower.dll注入進去,並調用urlmon.dll進行下載操作
下載http://www.*/muma935474/q.exe
http://www.*/muma935474/w.exe
http://www.*/muma935474/e.exe
http://www.*/muma935474/r.exe
http://www.*/muma935474/t.exe
http://www.*/muma935474/y.exe
http://www.*/muma935474/u.exe
http://www.*/muma935474/i.exe
http://www.*/muma935474/o.exe
http://www.*/muma935474/10.exe~http://www.*/muma935474/36.exe
http://www.*/muma.exe
http://www.*/muma1.exe
http://www.*/muma2.exe
http://www.*/muma3.exe
到C:\Documents and Settings\下面 分別命名爲taga.exe~tagg.exe tagaa.exe~taggg.exe tagaaa.exe~tagggg.exe tagaaaa.exe~tagcccc.exe md5a.exe~md5g.exe md5aa.exe~md5gg.exe md5aaa.exe~md5bbb.exe
下載間隔2000ms
但下載鏈接幾乎都已失效,幾個下載來的病毒也都是鴿子
5.關閉帶有如下字樣的窗口
防火牆
殺毒
江民
金山
木馬
超級巡警
NOD32
安全
主線程
微點
6.添加映像劫持項目劫持某些殺毒軟件,安全工具和某些流行病毒指向%systemroot%\system32\vista.exe
360rpt.exe
360Safe.exe
360tray.exe
adam.exe
AgentSvr.exe
appdllman.exe
AppSvc32.exe
auto.exe
AutoRun.exe
autoruns.exe
avgrssvc.exe
AvMonitor.exe
avp.com
avp.exe
CCenter.exe
ccSvcHst.exe
FileDsty.exe
FTCleanerShell.exe
guangd.exe
HijackThis.exe
IceSword.exe
iparmo.exe
Iparmor.exe
isPwdSvc.exe
kabaload.exe
KaScrScn.SCR
KASMain.exe
KASTask.exe
KAV32.exe
KAVDX.exe
KAVPFW.exe
KAVSetup.exe
KAVStart.exe
kernelwind32.exe
KISLnchr.exe
KMailMon.exe
KMFilter.exe
KPFW32.exe
KPFW32X.exe
KPFWSvc.exe
KRegEx.exe
KRepair.COM
KsLoader.exe
KVCenter.kxp
KvDetect.exe
KvfwMcl.exe
KVMonXP.kxp
KVMonXP_1.kxp
kvol.exe
kvolself.exe
KvReport.kxp
KVSrvXP.exe
KVStub.kxp
kvupload.exe
kvwsc.exe
KvXP.kxp
KWatch.exe
KWatch9x.exe
KWatchX.exe
loaddll.exe
logogo.exe
MagicSet.exe
mcconsol.exe
mmqczj.exe
mmsk.exe
NAVSetup.exe
nod32krn.exe
nod32kui.exe
PFW.exe
PFWLiveUpdate.exe
QHSET.exe
Ras.exe
Rav.exe
RavMon.exe
RavMonD.exe
RavStub.exe
RavTask.exe
RegClean.exe
rfwcfg.exe
RfwMain.exe
rfwProxy.exe
rfwsrv.exe
RsAgent.exe
Rsaupd.exe
runiep.exe
safelive.exe
scan32.exe
shcfg32.exe
SmartUp.exe
sos.exe
SREng.exe
symlcsvc.exe
SysSafe.exe
taskmgr.exe
TrojanDetector.exe
Trojanwall.exe
TrojDie.kxp
UFO.exe
UIHost.exe
UmxAgent.exe
UmxAttachment.exe
UmxCfg.exe
UmxFwHlp.exe
UmxPol.exe
UpLive.EXE
WoptiClean.exe
XP.exe
zxsweep.exe
7.破壞顯示隱藏文件
HKU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden的值修改爲0x00000002
木馬病毒植入完畢以後的sreng日誌如下:
啓動項目
註冊表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe]
<IFEO[360rpt.exe]><C:\WINDOWS\system32\vista.exe> [Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe]
<IFEO[360Safe.exe]><C:\WINDOWS\system32\vista.exe> [Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe]
<IFEO[360tray.exe]><C:\WINDOWS\system32\vista.exe> [Microsoft Corporation]...
==================================
服務
[windows / windows][Running/Disabled]
<C:\WINDOWS\windows.exe><N/A>
解決方法:
下載srengIcesword:可到down.45it.com下載
1.解壓Icesword,把Icesword改名1.com 運行
點擊 左下角文件按鈕
刪除如下文件%systemroot%\system32\config\systemprofile\vista.exe
%systemroot%\system32\a.jpg
%systemroot%\system32\Flower.dll
%systemroot%\system32\vista.exe
%systemroot%\windows.exe
以及各個分區下的test.exe和autorun.inf
2.打開sreng
啓動項目 註冊表
刪除所有紅色的IFEO項目
系統修復 - Windows Shell/IE 全選 修復
test.exe,vista.exe,a.jpg,Flower.dll病毒分析解決
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章