- 听众
- 收听
- 积分
- 2999
- 主题
- 回帖
- 0
- 精华
注册时间2006-7-29
最后登录1970-1-1
该用户从未签到
|
作者:清新阳光
这是一个非常可恶的下载者病毒,集多种破坏方式于一身,目前主流杀毒软件还无法识别。
File: microsofts.bat
Size: 20257 bytes
Modified: 2008年2月2日, 21:51:44
MD5: A84B94FE480B72ADA492AE6F1BF084A5
SHA1: 730411EBB342FB9651B86819E11D31856BC8A9F6
CRC32: 431E2F93
1.病毒运行后,衍生如下副本以及文件:
%systemroot%\system32\sysave.exe
%systemroot%\system32\RESSDT.exe
2.修改系统时间的年份为1999年
3.释放的%systemroot%\system32\RESSDT.exe会释放一个RESSDT.sys 注册RESSDT的一个服务
服务相关信息:
HKLM\SYSTEM\ControlSet001\Services\RESSDT\Start: 0x00000003
HKLM\SYSTEM\ControlSet001\Services\RESSDT\ErrorControl: 0x00000000
HKLM\SYSTEM\ControlSet001\Services\RESSDT\ImagePath: "\??\C:\WINDOWS\system32\RESSDT.sys"
HKLM\SYSTEM\ControlSet001\Services\RESSDT\DisplayName: "RESSDT"
然后加载驱动RESSDT.sys 清空 SSDT表 导致安全软件的hook全部失效
4.提升自身权限关闭某些进程的句柄,包括:
taskmgr.exe
shstat.exe
runiep.exe
ras.exe
RavStub.exe
360tray.exe
RESSDT.exe
ravmond.exe
FWMon.exe
kvsrvxp.exe
imsins.exe
Iparmor.exe
360safe.exe
360Tray.exe
KVMonXP.kxp
KVStub.kxp
rfwsrv.exe
ravmon.exe
runiep.exe
KPFWSvc.EXE
KWatch.EXE
RavTask.exe
RfwMain.exe
kavstart.exe
KAVStart.EXE
KMailMon.EXE
KVXP_1.kxp
KWatch.exe
kmailmon.exe
avp.exe
KWatch9x.exe
KWatchX.exe
Rav.exe
SmatUp.exe
RavMon.exe
RavMonD.exe
Ras.exe
5.释放C:\Program Files\sys.bat调用Cmd.exe执行cmd.exe /c net stop wscsvc&net stop sharedaccess&sc config sharedaccess start= disabled&sc config wscsvc start= disabled &net stop KPfwSvc&net stop KWatchsvc&net stop McShield&net stop "Norton AntiVirus Server"&cacls "C:\Program Files\Tencent\QQ\QQDoctor" /d everyone 的一连串命令
亦即 net stop wscsvc 停止windows
net stop sharedaccess 停止windows自带的防火墙
sc config sharedaccess start= disabled 将Windows自带的防火墙服务设置为禁用
net stop KPfwSvc&net stop KWatchsvc&net stop McShield&net stop "Norton AntiVirus Server 停止江民 金山 诺顿等杀毒软件的服务
6.把C:\Program Files\360safe\safemon\safemon.dll重命名为C:\Program Files\360safe\safemon\safemen.dll
C:\Program Files\Rising\AntiSpyware\ieprot.dll重命名为C:\Program Files\Rising\AntiSpywareiepret.dll
7.添加IFEO映像劫持项目劫持常见安全软件,包括:
avp.exe
CCenter.exe
ccEvtMgr.exe
ccSetApp.exe
ccSetMgr.exe
DefWatch.exe
FWMon.exe
KAVStart.exe
kavsvc.exe
KPfwSvc.exe
KVMonXP.exe
kvsrvxp.exe
KVStub.kxp
kvupload.exe
KVWSC.exe
KvXP.kxp
KvXP_1.kxp
KWatch.exe
KWatch9x.exe
KWatchX.exe
loaddll.exe
MagicSet.exe
McAgent.exe
mcconsol.exe
mctskshd.exe
mcupdmgr.exe
mmc.exe
mmqczj.exe
mmsk.exe
msconfig.exe
NAVSetup.exe
nod32kui.exe
PFW.exe
PFWLveUpdate.exe
QHSET.exe
QQDoctor.exe
QQSC.exe
ras.exe
Rav.exe
RavMON.exe
Ravmond.exe
RavStub.exe
RavTask.exe
RegClean.exe
regedit.exe
rfwcfg.exe
RfwMain.exe
rfwProxy.exe
rfwsrv.exe
RsAqent.exe
Rsaupd.exe
rtvscan.exe
runiep.exe
safelive.exe
scan32.exe
shcfg32.exe
SmartUp.exe
SREng.exe
symlcsvc.exe
SysSafe.exe
TrojanDetector.exe
Trojanwall.exe
TrojDie.kxp
UIHost.exe
UmxAgent.exe
UmxAttachment.exe
UmxCfg.exe
UmxFwHlp.exe
UmxPol.exe
UpLive.EXE.exe
WoptiClean.exe
zxsweep.exe
均指向svchost.exe
8.为%systemroot%\system32\sysave.exe
创建一个注册表启动项目
注册表键: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表值: remotecontrol
类型: REG_SZ
值: %systemroot%\system32\sysave.exe
9.释放一个C:\Program Files\sys.bat 执行ping 127.1 -n 4的命令
10.之后释放的%systemroot%\system32\sysave.exe 调用IE开始执行下载任务
下载如下文件http://zy****.com/xz/1.exe~http://zy****.com/xz/20.exe
到%systemroot%\system32\com\下面 分别命名为1.exe~20.exe
下载来的几乎全是盗号木马
解决方法:
下载sreng:http://download.kztechs.com/files/sreng2.zip
Icesword:http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip
1.打开Icesword
进程 结束sysave.exe
删除如下文件
%systemroot%\system32\sysave.exe
%systemroot%\system32\RESSDT.exe
%systemroot%\system32\RESSDT.sys
2.打开sreng
启动项目 删除如下项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[]
删除所有红色的IFEO项目
“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”,
选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:
[RESSDT / RESSDT][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\RESSDT.sys>
之后使用杀毒软件并结合手动方法清除病毒下载的木马即可 |
|
IP卡
狗仔卡
发表于 2008-2-4 01:27:18
提升卡
置顶卡
喧嚣卡
变色卡
抢沙发
显身卡
