最近发现这个病毒的求助者增多,看了一下,其实此病毒就是前些日子流行的木马下载器rising.exe的变
种,改个名字而已,手法相同。
File: auto.exe
Size: 20139 bytes
MD5: C8C1710C47B42258023F620D0C047F36
SHA1: 79462300E3B85583FC87CBB56936719B6CC0616E
CRC32: 0F6AC47C
病毒运行后 检测是否装有卡巴斯基软件
如果装有卡巴斯基软件 则将系统日期修改为2005年1月18日
在系统文件夹下创建一个随机8位数字和字母组合而成的exe并且注册成随机8位数字和字母组合而成的服
务
同时释放一个随机8位数的dll
控制winlogon把那个随机8位数的dll 插入几乎所有进程
遍历所有分区 在根目录下生成auto.exe和autorun.inf
作者在病毒里留下了自己的QQ号
连接网络60.191.135.155:80 下载木马
首先读取http://count.xxxxxxxxxx.com/cnzz//update.txt 的下载配置文件
然后根据里面的内容下载木马kxxxxxxxxxx.exe到系统文件夹
并下载http://count.xxxxxxxxxx.com/cnzz/soft/cnzz.exe更新自身
具体木马下载的过程略
木马植入成功后
增加的文件如下
C:\Program Files\Internet Explorer\Connection Wizard\icwres.ocx
C:\Program Files\Internet Explorer\Connection Wizard\isignup.dll
C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys
C:\WINDOWS\system32\107E7AF5.DLL(随机文件名)
C:\WINDOWS\system32\AC254E44.EXE(随机文件名)
C:\WINDOWS\system32\AVPSrv.dll
C:\WINDOWS\system32\B96A05C.EXE(随机文件名)
C:\WINDOWS\system32\bcawvt.dll
C:\WINDOWS\system32\chzzyi.dll
C:\WINDOWS\system32\dllhost32.exe
C:\WINDOWS\system32\eykesr.dll
C:\WINDOWS\system32\F7F735F8.DLL(随机文件名)
C:\WINDOWS\system32\gafjib.dll
C:\WINDOWS\system32\humnyb.dll
C:\WINDOWS\system32\install.exe
C:\WINDOWS\system32\kxxxxxxxxxxx.exe(随机文件名)
C:\WINDOWS\system32\k118335740863qso.dll
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\system32\msdebug.dll
C:\WINDOWS\system32\Msf3sf.sys
C:\WINDOWS\system32\nwizdh.exe
C:\WINDOWS\system32\qqcnpk.dll
C:\WINDOWS\system32\Shell.exe
C:\WINDOWS\system32\Shell.pci
C:\WINDOWS\system32\skblsj.dll
C:\WINDOWS\system32\TIMHost.dll
C:\WINDOWS\system32\unlmon.dll
C:\WINDOWS\system32\upxdnd.dll
C:\WINDOWS\system32\uzgeey.dll
C:\WINDOWS\AVPSrv.exe
C:\WINDOWS\fqpatv.exe
C:\WINDOWS\mppds.exe
C:\WINDOWS\TIMHost.exe
C:\WINDOWS\upxdnd.exe
其中C:\WINDOWS\system32\Shell.exe为感染下载者 感染除系统分区外的所有exe 并且在每个分区根目录
下面生成pagefile.pif文件 具体分析在http://hi.baidu.com/newcenturysun/blog/item/34a7c03f35ee96c07d1e71c8.html
sreng日志如下
启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<Shell><"C:\WINDOWS\system32\Rundll32.exe" "C:\WINDOWS\system32
\shell32.dll",Control_RunDLL "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dat9.tmp"> [N/A]
<Shell.exe><C:\WINDOWS\system32\Shell.exe> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<upxdnd><C:\WINDOWS\upxdnd.exe> []
<mppds><C:\WINDOWS\mppds.exe> []
<TIMHost><C:\WINDOWS\TIMHost.exe> []
<AVPSrv><C:\WINDOWS\AVPSrv.exe> []
<Microsoft Autorun1><C:\WINDOWS\system32\nwizdh.exe> []
<Microsoft Autorun9><C:\WINDOWS\system32\Ravasktao.exe> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{E25C29AB-12B9-4523-A53C-324B5FBA648C}><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dat9.tmp>
[]
<{13BB17A1-1B9D-1F83-235F-27552B3B2F17}><C:\WINDOWS\system32\k118335740863qso.dll> []
<{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}><C:\Program Files\Internet Explorer\Connection
Wizard\isignup.sys> []
服务
[3FC3578B / 3FC3578B][Stopped/Auto Start]
<C:\WINDOWS\system32\AC254E44.EXE -k><Microsoft Corporation>
[E539E00C / E539E00C][Stopped/Auto Start]
<C:\WINDOWS\system32\B96A05C.EXE -p><Microsoft Corporation>
[Win32 Debug Service / MSDebugsvc][Stopped/Auto Start]
<C:\WINDOWS\system32\rundll32.exe msdebug.dll,input><Microsoft Corporation>
进程
[PID: 1456][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180
(xpsp_sp2_rtm.040803-2158)]
[C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dat9.tmp] [N/A, ]
[C:\WINDOWS\system32\k118335740863qso.dll] [N/A, ]
[C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys] [N/A, ]
[C:\WINDOWS\system32\upxdnd.dll] [N/A, ]
[C:\WINDOWS\system32\AVPSrv.dll] [N/A, ]
[C:\WINDOWS\system32\107E7AF5.DLL] [Microsoft Corporation, ]
[C:\WINDOWS\system32\F7F735F8.DLL] [Microsoft Corporation, ]
[C:\WINDOWS\system32\TIMHost.dll] [N/A, ]
[C:\WINDOWS\system32\dh2104.dll] [N/A, ]
[C:\WINDOWS\system32\Ravasktao.dll] [N/A, ]
[C:\WINDOWS\system32\uihfev.dll] [N/A, ]
解决办法:
如果时间被改首先把日期改回来
打开sreng
启动项目 注册表 删除如下项目 (有哪个删哪个)
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<Shell><"C:\WINDOWS\system32\Rundll32.exe" "C:\WINDOWS\system32
\shell32.dll",Control_RunDLL "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dat9.tmp"> [N/A]
<Shell.exe><C:\WINDOWS\system32\Shell.exe> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<upxdnd><C:\WINDOWS\upxdnd.exe> []
<mppds><C:\WINDOWS\mppds.exe> []
<TIMHost><C:\WINDOWS\TIMHost.exe> []
<AVPSrv><C:\WINDOWS\AVPSrv.exe> []
<Microsoft Autorun1><C:\WINDOWS\system32\nwizdh.exe> []
<Microsoft Autorun9><C:\WINDOWS\system32\Ravasktao.exe> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{E25C29AB-12B9-4523-A53C-324B5FBA648C}><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dat9.tmp>
<{13BB17A1-1B9D-1F83-235F-27552B3B2F17}><C:\WINDOWS\system32\k118335740863qso.dll> []
<{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}><C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys> []
<Microsoft Autorun5><C:\WINDOWS\system32\mosou.exe> []
<Microsoft Autorun7><C:\WINDOWS\system32\nwizqjsj.exe> []
<Microsoft Autorun1><C:\WINDOWS\system32\nwizdh.exe> []
<TIMHost><C:\WINDOWS\TIMHost.exe> []
<WinForm><C:\WINDOWS\WinForm.exe> []
<MsIMMs32><C:\WINDOWS\MsIMMs32.exe> []
<Microsoft Autorun11><C:\WINDOWS\system32\nwizwlwzs.exe> []
<cmdbcs><C:\WINDOWS\cmdbcs.exe> []
<upxdnd><C:\WINDOWS\upxdnd.exe> []
<Kvsc3><C:\WINDOWS\Kvsc3.exe> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{81716107-A10D-11cf-64CD-11115FE1CF41}]
<N/A><C:\WINDOWS\system32\nwizzhuxians.exe> []
“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”,
选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:(有哪个删哪个)
3FC3578B / 3FC3578B(随机名称)
E539E00C / E539E00C(随机名称)
Win32 Debug Service / MSDebugsvc
Remote Debug Service / RemoteDbg
Win32 Display Driver / Win32DDS
Wireless Service / WZCSRVC
重启计算机 (以下文件有哪个删哪个)
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作
系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
点击 菜单栏下方的 文件夹 按钮 进入资源管理器
从资源管理器中进入C盘 删除C:\autorun.inf
C:\auto.exe
C:\pagefile.pif
C:\Program Files\Internet Explorer\Connection Wizard\icwres.ocx
C:\Program Files\Internet Explorer\Connection Wizard\isignup.dll
C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys
C:\WINDOWS\system32\107E7AF5.DLL(随机文件名)
C:\WINDOWS\system32\AC254E44.EXE(随机文件名)
C:\WINDOWS\system32\AVPSrv.dll
C:\WINDOWS\system32\B96A05C.EXE(随机文件名)
C:\WINDOWS\system32\bcawvt.dll
C:\WINDOWS\system32\chzzyi.dll
C:\WINDOWS\system32\dllhost32.exe
C:\WINDOWS\system32\eykesr.dll
C:\WINDOWS\system32\F7F735F8.DLL(随机文件名)
C:\WINDOWS\system32\gafjib.dll
C:\WINDOWS\system32\humnyb.dll
C:\WINDOWS\system32\install.exe
C:\WINDOWS\system32\kxxxxxxxxxxx.exe(随机文件名)
C:\WINDOWS\system32\k118335740863qso.dll
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\system32\msdebug.dll
C:\WINDOWS\system32\Msf3sf.sys
C:\WINDOWS\system32\nwizdh.exe
C:\WINDOWS\system32\qqcnpk.dll
C:\WINDOWS\system32\Shell.exe
C:\WINDOWS\system32\Shell.pci
C:\WINDOWS\system32\skblsj.dll
C:\WINDOWS\system32\TIMHost.dll
C:\WINDOWS\system32\unlmon.dll
C:\WINDOWS\system32\upxdnd.dll
C:\WINDOWS\system32\uzgeey.dll
C:\WINDOWS\AVPSrv.exe
C:\WINDOWS\fqpatv.exe
C:\WINDOWS\mppds.exe
C:\WINDOWS\TIMHost.exe
C:\WINDOWS\upxdnd.exe
C:\WINDOWS\system32\nwizqjsj.dll
C:\WINDOWS\system32\dh2104.dll
C:\WINDOWS\system32\MOSOU.dll
C:\WINDOWS\system32\nwizwlwzs.dll
C:\WINDOWS\system32\upxdnd.dll
C:\WINDOWS\system32\Kvsc3.dll
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\system32\msapi.dll
C:\WINDOWS\system32\k11838716714.DAT(随机名称)
C:\WINDOWS\system32\nwizzhuxians.dll
C:\WINDOWS\system32\AVPSrv.dll
C:\WINDOWS\system32\TIMHost.dll
C:\WINDOWS\system32\WinForm.dll
C:\WINDOWS\system32\MsIMMs32.dll
C:\WINDOWS\system32\cmdbcs.dll
C:\WINDOWS\system32\mosou.exe
C:\WINDOWS\system32\nwizqjsj.exe
C:\WINDOWS\system32\nwizdh.exe
C:\WINDOWS\TIMHost.exe
C:\WINDOWS\WinForm.exe
C:\WINDOWS\MsIMMs32.exe
C:\WINDOWS\system32\nwizwlwzs.exe
C:\WINDOWS\cmdbcs.exe
C:\WINDOWS\upxdnd.exe
C:\WINDOWS\Kvsc3.exe
C:\WINDOWS\system32\nwizzhuxians.exe
同理打开其他分区 删除其他分区根目录下的
autorun.inf
auto.exe
pagefile.pif
升级杀毒软件至最新版本 全盘杀毒!清理被感染的exe
7.8根据用户中毒情况更新了病毒文件名的列表
| 
