载入中…

 | 网站首页 | 文章中心 | 下载中心 | 图片中心 | 反木马论坛 |日志分析|样本上传|求助| | 

您现在的位置: 反木马在线 >> 文章中心 >> 木马查杀 >> 文章正文
关于感染型下载器MSDOS.BAT的手动查杀方法
作者:佚名    文章来源:本站原创    点击数:    更新时间:2008-4-8
        MSDOS.BAT位于硬盘各个分区的根目录下(还有一个指向MSDOS.BAT的autorun.inf)。MSDOS.BAT运行后访问网络:58.53.128.37,下载大量病毒


1、释放/下载的主要病毒文件:
c:\windows\tasks\0x01xx8p.exe
c:\windows\tasks\explorer.ext
c:\windows\system32\7560.dat
c:\windows\system32\a0.ext
.
.
.
c:\windows\system32\a25.ext
c:\windows\system32\oko.exe
c:\windows\system32\msosdohs.dat
c:\windows\system32\msosdohs00.dll(插入explorer.exe进程)
c:\windows\system32\msosdohs01.dll(插入explorer.exe进程)
c:\windows\system32\ttEZZEZZ1044.dll
c:\windows\system32\ttNNBNNB1047.dll
c:\windows\system32\txWWQWWQ1006.dll
c:\zzz.sys(加载后自动删除)
c:\windows\system32\drivers\msosfpids32.sys
病毒文件还有不少(见附件图)

2、感染硬盘中的.exe、.htm、html文件;删除c:\windows\system32\verclsid.exe;替换C:\windows\explorer.exe。

MSDOS.BAT感染型下载器的病毒下载地址:
http://58.53.128.37/a0.exe
http://58.53.128.37/a1.exe
http://58.53.128.37/a2.exe
http://58.53.128.37/a3.exe
http://58.53.128.37/a4.exe
http://58.53.128.37/a5.exe
http://58.53.128.37/a6.exe
http://58.53.128.37/a7.exe
http://58.53.128.37/a8.exe
http://58.53.128.37/a9.exe
http://58.53.128.37/a10.exe
http://58.53.128.37/a11.exe
http://58.53.128.37/a12.exe
http://58.53.128.37/a13.exe
http://58.53.128.37/a14.exe
http://58.53.128.37/a15.exe
http://58.53.128.37/a16.exe
http://58.53.128.37/a17.exe
http://58.53.128.37/a18.exe
http://58.53.128.37/a19.exe
http://58.53.128.37/a20.exe
http://58.53.128.37/a21.exe
http://58.53.128.37/a22.exe
http://58.53.128.37/a23.exe
http://58.53.128.37/a24.exe
http://58.53.128.37/a25.exe
http://58.53.128.37/oko.exe

查杀难点:
1、c:\windows\system32\75132.dat和c:\windows\system32\urjuujdw.hew两个进程相互配合,指挥c:\windows\system32\msosdohs00.dll和c:\windows\system32\msosdohs01.dll插入系统核心进程、explorer.exe进程以及所有应用程序进程(包括安全软件的进程也被插入)。

2、explorer.exe被病毒替换。如果强制删除这个被病毒替换explorer.exe,及上面提到的病毒文件,桌面消失。即使注销当前用户,重新登录系统,也无法显示桌面。

3、此毒感染硬盘所有分区中的.exe、.htm、html文件。

4、c:\windows\system32\文件夹、c:\windows\system32\drivers\文件夹、c:\windows\tasks\文件夹、当前用户临时文件夹中都有病毒文件。

5、此毒貌似是针对SRENG的。中这堆病毒后,用户试图运行SRENG扫日志时,SRENG即刻被病毒删除。

我在影子系统(全影模式)中运行过这个病毒样本,用Tiny全程监控可以获得此病毒群感染系统的全部信息(见附件图)。有了这些信息,可以用IceSword手工删除那堆病毒文件。被感染的.exe、.htm、html等,需用杀软处理(量太大)。

另:有人说此毒可以穿透影子系统2.8。全影系统运行病毒样本,重启后,被病毒替换explorer.exe以及病毒驱动C:\zzz.sys还在系统中。但是,我在全影模式下运行此毒,没有发现这个现象。重启后,系统是干净的
发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口
 
  • 上一篇文章:

  • 下一篇文章:
    • 相关新闻
    警惕木马下载器:系统伤口下载器
    巧用组策略防范MSDOS.BAT感染型下载者木
    木马下载器ctfmon.exe行为分析及手动清
    Auto木马下载器查杀及行为分析详解
    预警:循环瘫痪下载器(下载者)
    Pegefile.pif下载者木马
    论坛新帖
    新 闻 TOP 10
  • 没有热点文章
    		•
    点击申请点击申请点击申请点击申请点击申请点击申请点击申请
    点击申请点击申请点击申请点击申请点击申请点击申请点击申请点击申请
    文字链接: 热门下说网
    Copyright © 2008 FanMuMa.com All Rights Reserved
    客服邮箱:fanmuma#126.com(将#换为@) 站长:Fisco 联系电话:15802671439 联系QQ:337803 
    捍卫属于个人的一切--