载入中…

 | 网站首页 | 文章中心 | 下载中心 | 图片中心 | 反木马论坛 |日志分析|样本上传|求助| | 

您现在的位置: 反木马在线 >> 文章中心 >> 每周病毒 >> 文章正文
本周流行病毒(第一期)
作者:佚名    文章来源:不详    点击数:    更新时间:2008-2-4

开辟一个专栏 特别对过去的一周或者最近具有普遍性的病毒进行分析和总结。
以后将不定期进行更新 这是第一期
本周有以下几个病毒值得注意:
1.修改系统时间为2005年的随机8位字母的下载者
分析:

病毒运行后通常在C:\WINDOWS\system32生成随机8位字母和数字组合的exe文件 并注册成服务(服务名称同样是随机8位字母和数字组合)
本次测试是C:\WINDOWS\system32\B96A05C.EXE
注册的服务名称139CA82A / 139CA82A

调整系统时间为两年之前(月日不变)使得卡巴失效
生成随机8位字母和数字组合的组合成的dll文件 并创建全局钩子 插入所有进程(本次测试是C:\WINDOWS\system32\F7F735F8.DLL)
控制explorer连接网络
读取http://33.xxxxxxde8.cn/soft//update.txt
里面的内容
根据上面的那个txt文件中的内容 下载木马

http://xxx.xx.247.201/wow0617.exe
http://xxx.xx.247.201/tl0619.exe
http://xxx.xx.247.202/zt0616.exe
http://xxx.xx.247.201/qj0617.exe
http://xxx.xx.247.201/mh0618.exe
http://xxx.xx.220.48/wm0612.exe
http://xxx.xx.220.48/dh0616.exe
http://xxx.xx.247.201/zx0616.exe
http://xxx.xx.247.202/my0616.exe
http://xxx.xx.247.202/wd0618.exe
http://xxx.xx.247.202/wl0618.exe
http://xxx.xx.220.48/jh0619.exe
http://220.189.255.29/vod.exe
到C:\WINDOWS\system32
分别命名为kxxxxxxxxxxxxx.exe(x为随机数字)


这些木马均为盗号木马
且会向瑞星杀毒软件的注册表监控和卡巴斯基的注册表监控发出允许 或者跳过的指令
木马植入成功后
生成如下文件
C:\WINDOWS\system32\cmdbcs.dll
C:\WINDOWS\system32\mosou.exe
C:\WINDOWS\system32\MsIMMs32.dll
C:\WINDOWS\system32\nslookupi.exe
C:\WINDOWS\system32\nwizdh.exe
C:\WINDOWS\system32\nwizqjsj.exe
C:\WINDOWS\system32\nwiztlbu.exe
C:\WINDOWS\system32\nwizwlwzs.exe
C:\WINDOWS\system32\nwizwmgjs.exe
C:\WINDOWS\system32\nwizzhuxians.exe
C:\WINDOWS\system32\TIMHost.dll
C:\WINDOWS\system32\WinForm.dll
C:\WINDOWS\system32\ztinetzt.exe
C:\WINDOWS\cmdbcs.exe
C:\WINDOWS\MsIMMs32.exe
C:\WINDOWS\TIMHost.exe
C:\WINDOWS\WinForm.exe

解决:
下载 System Repair Engineer,
http://www.kztechs.com/sreng/download.html
调整系统日期为正常的日期
运行sreng.exe
删除如下启动项目
      <WinForm><C:\WINDOWS\WinForm.exe>     []
       <MsIMMs32><C:\WINDOWS\MsIMMs32.exe>     []
       <TIMHost><C:\WINDOWS\TIMHost.exe>     []
       <cmdbcs><C:\WINDOWS\cmdbcs.exe>     []
“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”,
选中名称是随机8位字母和数字组合的服务,点“删除服务”,再点“设置”,在弹出的框中点“否”
如本次测试中的C:\WINDOWS\system32\B96A05C.EXE

重启计算机
删除如下文件
C:\WINDOWS\system32\cmdbcs.dll
C:\WINDOWS\system32\mosou.exe
C:\WINDOWS\system32\MsIMMs32.dll
C:\WINDOWS\system32\nslookupi.exe
C:\WINDOWS\system32\nwizdh.exe
C:\WINDOWS\system32\nwizqjsj.exe
C:\WINDOWS\system32\nwiztlbu.exe
C:\WINDOWS\system32\nwizwlwzs.exe
C:\WINDOWS\system32\nwizwmgjs.exe
C:\WINDOWS\system32\nwizzhuxians.exe
C:\WINDOWS\system32\TIMHost.dll
C:\WINDOWS\system32\WinForm.dll
C:\WINDOWS\system32\ztinetzt.exe
C:\WINDOWS\cmdbcs.exe
C:\WINDOWS\MsIMMs32.exe
C:\WINDOWS\TIMHost.exe
C:\WINDOWS\WinForm.exe
C:\WINDOWS\system32\B96A05C.EXE(随机8位字母和数字组合)
C:\WINDOWS\system32\F7F735F8.DLL(随机8位字母和数字组合)

2.AV终结者病毒


发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口
 
  • 上一篇文章: 没有了

  • 下一篇文章:
    • 相关新闻
    流行木马病毒技术原理及防范概观
    论坛新帖
    新 闻 TOP 10
  • 没有热点文章
    		•
    点击申请点击申请点击申请点击申请点击申请点击申请点击申请
    点击申请点击申请点击申请点击申请点击申请点击申请点击申请点击申请
    文字链接: 热门下说网
    Copyright © 2008 FanMuMa.com All Rights Reserved
    客服邮箱:fanmuma#126.com(将#换为@) 站长:Fisco 联系电话:15802671439 联系QQ:337803 
    捍卫属于个人的一切--