SVCH0ST.exe下载者木马

载入中…

您现在的位置：反木马在线 >> 文章中心 >> 木马查杀 >> 文章正文

SVCH0ST.exe下载者木马

作者：佚名文章来源：不详点击数：更新时间：2008-2-4

文件名 SVCH0ST.exe
文件大小 53,097 字节
加壳方式 UPX

运行后
释放C:\WINDOWS\system32\SVCH0ST.exe
并释放C:\WINDOWS\system32\norton.sys
C:\WINDOWS\system32\drivers\usbme.sys加载驱动

然后开启IE进程连接219.153.15.80:80下载木马

下载的木马有
C:\WINDOWS\cmdbcs.exe
C:\WINDOWS\mppds.exe
C:\WINDOWS\msccrt.exe
C:\WINDOWS\system32\twunk32.exe
C:\WINDOWS\shualai.exe
C:\WINDOWS\system32\nwizqqhx.exe
下载ladad.exe mconfig.exe Timplatform.exe ieconfig.exe等文件到临时文件夹

最近流行的东西应该差不多下载全了呵呵！
sreng日志表现如下
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
     <ravshell><C:\WINDOWS\system32\SVCH0ST.exe>   []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
   <mppds><C:\WINDOWS\mppds.exe>   []
     <cmdbcs><C:\WINDOWS\cmdbcs.exe>   []
     <msccrt><C:\WINDOWS\msccrt.exe>   []
     <upxdnd><C:\Documents and Settings\用户名\Local Settings\Temp\TIMPLATF0RM.exe>   []
     <nwizqqhx><C:\WINDOWS\system32\nwizqqhx.exe>   []
     <shualai><C:\WINDOWS\shualai.exe /i>   []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
     <twin><C:\WINDOWS\system32\twunk32.exe>   []
进程中
[PID: 1404][C:\WINDOWS\Explorer.EXE]   [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
         [C:\WINDOWS\system32\mppds.dll]   [N/A, ]
     [C:\WINDOWS\system32\cmdbcs.dll]   [N/A, ]
     [C:\WINDOWS\system32\msccrt.dll]   [N/A, ]
     [C:\Documents and Settings\用户名\Local Settings\Temp\upxdnd.dll]   [N/A, ]
     [C:\WINDOWS\system32\nwizqqhx.dll]   [N/A, ]
     [C:\WINDOWS\system32\shualai.dll]   [N/A, ]
开启许多IE进程连接外部我逮到的IP有如下几个
207.46.73.31
61.163.241.88
61.152.242.242
61.163.241.93
221.215.59.11
60.190.218.104
60.190.218.104
207.46.19.190

解决方法：

安全模式下(开机后不断按F8键然后出来一个高级菜单选择第一项安全模式进入系统)

打开sreng
启动项目   注册表删除如下项目
<ravshell><C:\WINDOWS\system32\SVCH0ST.exe>   []
   <mppds><C:\WINDOWS\mppds.exe>   []
     <cmdbcs><C:\WINDOWS\cmdbcs.exe>   []
     <msccrt><C:\WINDOWS\msccrt.exe>   []
     <upxdnd><C:\Documents and Settings\用户名\Local Settings\Temp\TIMPLATF0RM.exe>   []
     <nwizqqhx><C:\WINDOWS\system32\nwizqqhx.exe>   []
     <shualai><C:\WINDOWS\shualai.exe /i>   []
<twin><C:\WINDOWS\system32\twunk32.exe>   []

双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定
然后删除
C:\WINDOWS\system32\SVCH0ST.exe
C:\WINDOWS\mppds.exe
C:\WINDOWS\cmdbcs.exe
C:\WINDOWS\msccrt.exe
C:\WINDOWS\system32\nwizqqhx.exe
C:\WINDOWS\shualai.exe
C:\WINDOWS\system32\twunk32.exe
C:\WINDOWS\system32\drivers\usbme.sys
C:\WINDOWS\system32\cmdbcs.dll
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\system32\msccrt.dll
C:\WINDOWS\system32\nwizqqhx.dll
清空C:\Documents and Settings\用户名\Local Settings\Temp
如果装有QQ请把QQ 安装文件夹中的Timplatform.exe删除把Timplatfrom.exe重命名为Timplatform.exe

这个下载者只是最近流行的很多下载者中的一个最近很流行这类的木马下载者通过网页挂马等形式传播所以请一定打全系统补丁（尤其是那个ani鼠标漏洞补丁）及时升级杀毒软件和防火墙防止此类木马群的入侵

【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】

上一篇文章： directdb.exe,wab32res.exe的查杀方法

下一篇文章：关于Navigator.dll，module2.exe的处理