- 听众
- 收听
- 积分
- 3083
- 主题
- 回帖
- 0
- 精华
注册时间2007-10-4
最后登录1970-1-1
TA的每日心情 | 奋斗
2024-12-15 16:25 |
|---|
签到天数: 3 天 [LV.2]偶尔看看I
|
Win32.downloadMX.a.2088解决方案
病毒特征
1.生成如下文件:
C:\Program Files\Common Files\fjOs0r.dll
C:\Program Files\Internet Explorer\OnlO0r.bak(就是windows.scr文件)
C:\Program Files\Internet Explorer\OnlO0r.dll
C:\Program Files\Internet Explorer\OnlO0r.obk
fjOs0r.dll和OnlO0r.dll注入到Explorer进程中以及由Explorer启动的进程中
2.添加注册表键值
HKCR\CLSID\{CC3596CB-D6C1-ECA1-AE51-DEEA63F6C21C}\InProcServer32
指向C:\Program Files\Internet Explorer\OnlO0r.dll
HKCR\CLSID\{6C7596CB-31CC-BBA3-BE51-2EEA62F9C51D}\InProcServer32
指向HKCR\CLSID\{6C7596CB-31CC-BBA3-BE51-2EEA62F9C51D}\InProcServer32
达到开机自动加载的目的
3.如果有新的移动存储设备插入电脑,则往里面写入windows.scr和autorun.inf文件
4.通过遍历HKEY_LOCAL_MACHINE下 相关软件的installpath,ProgramPath,Folder,InstallDir,Installed Path等的键值 获得某些安全软件的
安装目录,比如360安全卫士,瑞星杀毒软件,诺顿等
在这些安全软件的目录中创建MFC42.DLL的文件夹
导致杀毒软件应用程序初始化失败,出现(0xc00000ba)错误
并在MFC42.DLL文件夹下生成歧义文件夹10I11O10..\导致windows下无法删除该文件夹
5.感染除系统分区外的exe文件
被感染文件被加入2092个字节的代码 被感染文件创建时间被改为1620年或者1619年
被感染文件被加入的代码具备下载功能 能够联网下载病毒主程序
被感染文件瑞星报Win32.Downloader.b 金山报Win32.downloadMX.a.2088
6.由Explorer.exe连接网络
读取http://www.*.org/Data/No.txt配置文件
下载木马和病毒
http://*/Images/Hide/1.exe
http://*/Images/Hide/2.exe
http://*/Images/Hide/3.exe
http://*/Images/Hide/4.exe
http://*/Images/Hide/5.exe
http://*/Images/Hide/6.exe
http://*/Images/Hide/7.exe
http://*/Images/Hide/8.exe
http://*/Images/Hide/9.exe
http://*/Images/Hide/10.exe
http://*/Images/Hide/11.exe
http://*/Images/Hide/12.exe
http://*/Images/Hide/13.exe
http://*/Images/Hide/14.exe
http://*/Images/Hide/15.exe
http://*/Images/Hide/16.exe
http://*/Images/Hide/M2.exe
http://*/Images/Hide/smss.exe
到%Temp%文件夹
其中M2.exe为病毒主程序的最新版本(即病毒具有在线更新功能)
前面说的被感染的exe文件 也是连接网络下载这个文件
其他木马植入完毕后在%System32%文件夹下生成很多wldoor0.dll类似的**door0.dll的文件
并且插入Explorer.exe和由explorer.exe启动的进程
这些**door0.dll都是盗号木马
主要盗取如下网络游戏的帐号和密码(包括但不限于)
盛大通行证的帐号密码
天龙八部
大话西游Online II
梦幻西游
完美世界
诛仙
问道
热血江湖
QQ幻想
魔域
传奇世界
魔兽世界
...
sreng日志体现如下
注册表
启动项目
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{CC3596CB-D6C1-ECA1-AE51-DEEA63F6C21C}><C:\Program Files\Internet Explorer\OnlO0r.dll> [Microsoft Corporation]
<{3422FB0F-95EB-458A-8B56-39552017A4EF}><C:\WINDOWS\system32\mhdoor0.dll> []
<{5731EA1D-6AAF-4DE9-BDDA-7B390A75B286}><C:\WINDOWS\system32\wodoor0.dll> []
<{E952B8F8-D91A-4EDD-851C-EE1A0F944469}><C:\WINDOWS\system32\ztfree0.dll> []
<{A3C95A74-638D-4C6B-A856-4B27664A7F47}><C:\WINDOWS\system32\wgdoor0.dll> []
<{32C4BAF4-0411-4000-BDFB-A6F71E669F8C}><C:\WINDOWS\system32\csdoor0.dll> []
<{E03C23BD-35B7-49C2-BBCA-6D8CEC2507E3}><C:\WINDOWS\system32\wldoor0.dll> []
<{D8CC4845-441C-44F8-9053-28F2EF67655B}><C:\WINDOWS\system32\dadoor0.dll> []
==================================
浏览器加载项
[]
{C2626E66-D21B-E628-C1DF-1DACCFA36ED2} <C:\Program Files\Common Files\fjOs0r.dll, Microsoft Corporation>
==================================
[PID: 1704][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\Program Files\Internet Explorer\OnlO0r.dll] [Microsoft Corporation, 1. 0. 0. 1]
[C:\Program Files\Common Files\fjOs0r.dll] [Microsoft Corporation, 1. 0. 0. 1]
[C:\WINDOWS\system32\mhdoor0.dll] [N/A, ]
[C:\WINDOWS\system32\wodoor0.dll] [N/A, ]
[C:\WINDOWS\system32\csdoor0.dll] [N/A, ]
[C:\WINDOWS\system32\wldoor0.dll] [N/A, ]
[C:\WINDOWS\system32\ztfree0.dll] [N/A, ]
[C:\WINDOWS\system32\wgdoor0.dll] [N/A, ]
[C:\WINDOWS\system32\dadoor0.dll] [N/A, ]
[C:\WINDOWS\system32\dh3oor0.dll] [N/A, ]
[C:\WINDOWS\system32\qjdoor0.dll] [N/A, ]
[C:\WINDOWS\system32\rxdoor0.dll] [N/A, ]
[C:\WINDOWS\system32\wddoor0.dll] [N/A, ]
[C:\WINDOWS\system32\tldoor0.dll] [N/A, ]
[C:\WINDOWS\system32\zxdoor0.dll] [N/A, ]
[C:\WINDOWS\system32\mydoor0.dll] [N/A, ]
[C:\WINDOWS\system32\qhdoor0.dll] [N/A, ]
[C:\WINDOWS\system32\cqdoor0.dll] [N/A, ]
...
清除办法:
需要的软件XDelbox (http://www.i170.com/attach/97670969-F47C-4A8B-9529-F0F602EFA902)
sreng (http://www.luandao.com/softdown/System_Repair_Engineer_2_5_16_900_4.html)
一、清除windows.scr产生的病毒文件
打开Xdelbox
在 添加旁边的框中 分别输入
C:\Program Files\Common Files\fjOs0r.dll
C:\Program Files\Internet Explorer\OnlO0r.bak
C:\Program Files\Internet Explorer\OnlO0r.dll
输入完一个以后 点击旁边的添加 按钮 被添加的文件 将出现在下面的大框中
然后一次性选中 (按住ctrl)下面大框中所有的文件
右键 单击 点击 重启立即删除
重启计算机以后会有一个系统菜单选择
选择Go Xdelbox To Del Files
类似dos的界面滚动完毕以后 病毒就被删除了
之后他会自动重启进入正常模式
进入正常模式后
打开sreng
启动项目 注册表 删除如下项目
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{CC3596CB-D6C1-ECA1-AE51-DEEA63F6C21C}><C:\Program Files\Internet Explorer\OnlO0r.dll> [Microsoft Corporation]
系统修复-浏览器加载项-找到如下项目 点击删除项目,在弹出的对话框中点“是”
[]
{C2626E66-D21B-E628-C1DF-1DACCFA36ED2} <C:\Program Files\Common Files\fjOs0r.dll, Microsoft Corporation>
二、清除ghost.pif下载的木马*door0.dll
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除隐藏受保护的操作系统文件(推荐)前面的钩。
确定后打开system32文件夹(默认C:\Windows\system32)
单击菜单栏下方的搜索按钮 全部或部分文件名中 输入*door0.dll
重启计算机以后
打开sreng
启动项目 注册表 删除如下项目
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{3422FB0F-95EB-458A-8B56-39552017A4EF}><C:\WINDOWS\system32\mhdoor0.dll>
<{5731EA1D-6AAF-4DE9-BDDA-7B390A75B286}><C:\WINDOWS\system32\wodoor0.dll>
<{E952B8F8-D91A-4EDD-851C-EE1A0F944469}><C:\WINDOWS\system32\ztfree0.dll>
<{A3C95A74-638D-4C6B-A856-4B27664A7F47}><C:\WINDOWS\system32\wgdoor0.dll>
<{32C4BAF4-0411-4000-BDFB-A6F71E669F8C}><C:\WINDOWS\system32\csdoor0.dll>
<{E03C23BD-35B7-49C2-BBCA-6D8CEC2507E3}><C:\WINDOWS\system32\wldoor0.dll>
<{D8CC4845-441C-44F8-9053-28F2EF67655B}><C:\WINDOWS\system32\dadoor0.dll>
...
即所有的*door0.dll的项目
三、删除安全软件文件夹下的MFC42.DLL
方法:
新建一个记事本文件
输入如下字符
DEL /F /A /Q \\?\%1
RD /S /Q \\?\%1
保存为1.bat文件
将要删除的MFC42.DLL文件或者文件夹,用鼠标左键拖放到1.bat的文件图标上(就像把文件拖到文件夹里的操作一样),一个CMD窗口闪烁之后
伪"MFC42.DLL"文件夹就被删除了
四、修复受感染的exe文件
注意由于病毒感染可执行文件 且被感染的文件可以继续充当下载病毒的角色,所以一定要修复受感染的exe文件 目前瑞星杀毒软件可以修复文件.
目前暂无专杀工具提供.  |
|
IP卡
狗仔卡
发表于 2007-12-16 16:48:31
提升卡
置顶卡
喧嚣卡
变色卡
抢沙发
显身卡