查杀:Trojan-Downloader.Win32.Losabel.by

Simen.Resh@d · 发表于 2008-3-1 13:59:35

作者：孤独更可靠

文件名称：Mouse.exe

文件大小：36121 byte

AV命名：

BitDefender（Win32.Worm.Nomlur.B）
卡巴斯基（Trojan-Downloader.Win32.Losabel.by）

加壳方式：FSG

编写语言：Delphi

文件MD5：85deaa0585bf1275d9aab870caa187de

行为分析：

1、释放文件：
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\WinPact.exe 36121 字节
C:\WINDOWS\system32\Mousie.exe
36121 字节

2、添加启动：

（1）C:\Documents and Settings\All Users\「开始」菜单\程序\启动\WinPact.exe

（2）

Registry key: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run

Registry value: Mousie

Type: REG_SZ
Value: C:\windows\system32\Mousie.exe

3、修改注册表，破坏显示隐藏文件功能。

4、尝试关闭：

360tray.exe
360safe.exe
avp.exe

5、IFEO重定向劫持：

360tray.exe
360safe.exe
avp.exe
avp.exe
360rpt.exe
360Safe.exe
360tray.exe
adam.exe
AgentSvr.exe
AppSvc32.exe
autoruns.exe
avgrssvc.exe
AvMonitor.exe
avp.exe
CCenter.exe
ccSvcHst.exe
FileDsty.exe
FTCleanerShell.exe
HijackThis.exe
IceSword.exe
iparmo.exe
Iparmor.exe
isPwdSvc.exe
kabaload.exe
KASMain.exe
KASTask.exe
KAV32.exe
KAVDX.exe
KAVPFW.exe
KAVSetup.exe
KAVStart.exe
KISLnchr.exe
KMailMon.exe
KMFilter.exe
KPFW32.exe
KPFW32X.exe
KPFWSvc.exe
KRegEx.exe
KsLoader.exe
KvDetect.exe
KvfwMcl.exe
kvol.exe
kvolself.exe
KVSrvXP.exe
kvupload.exe
kvwsc.exe
KWatch.exe
KWatch9x.exe
KWatchX.exe
loaddll.exe
MagicSet.exe
mcconsol.exe
mmqczj.exe
mmsk.exe
NAVSetup.exe
nod32krn.exe
nod32kui.exe
PFW.exe
PFWLiveUpdate.exe
QHSET.exe
Ras.exe
Rav.exe
RavMon.exe
RavMonD.exe
RavStub.exe
RavTask.exe
RegClean.exe
rfwcfg.exe
RfwMain.exe
rfwProxy.exe
rfwsrv.exe
RsAgent.exe
Rsaupd.exe
runiep.exe
safelive.exe
scan32.exe
shcfg32.exe
SmartUp.exe
SREng.exe
symlcsvc.exe
SysSafe.exe
TrojanDetector.exe
Trojanwall.exe
UIHost.exe
UmxAgent.exe
UmxAttachment.exe
UmxCfg.exe
UmxFwHlp.exe
UmxPol.exe
UpLive.EXE
WoptiClean.exe
zxsweep.exe
sos.exe
auto.exe
UFO.exe
AutoRun.exe
XP.exe
taskmgr.exe
guangd.exe
appdllman.exe
kernelwind32.exe
logogo.exe
TNT.Exe
SDGames.exe
TxoMoU.Exe
cross.exe
regedit.Exe
regedit32.Exe
Wsyscheck.exe
servet.exe
Discovery.exe

6、关闭窗口：

0040BEC0
ascii
"木马",0
0040BED0
ascii
"FireWall",0
0040BEE4
ascii
"Virus",0
0040BEF4
ascii
"Anti",0
0040BF18
ascii
"NOD32",0
0040BF38
ascii
"瑞星",0
0040BF58
ascii
"监视",0
0040BF68
ascii
"Sniffer",0
0040BF88
ascii
"DeBug",0
0040BF98
ascii
"IDA",0
0040BFA4
ascii
"fly",0
0040BFB2
ascii
"线程",0

7、尝试下载木马，但指向的是一个空域名：

http://www.xxxxxx.com/List.txt

8、每隔一段时间检测自身注册表项，如不在则重新写入。

解决方法：

1、下载冰刃和SREng。直接放桌面，断开网络。

2、打开冰刃，结束病毒进程（Mouse.exe）。

3、打开SREng，删除IFEO劫持项和病毒启动项（开始-启动那个不要漏了）。

4、删除文件：

C:\Documents and Settings\All Users\「开始」菜单\程序\启动\WinPact.exe 36121 字节
C:\WINDOWS\system32\Mousie.exe
36121 字节

﹎Ｄaisy? · 发表于 2008-3-1 22:47:16

新病毒吗？

还是什么？

感觉好严重！

ghyghy168 · 发表于 2008-3-6 21:47:15

我也中了,并且是网吧批量性的都中了,中了的机器时间会被改,有什么具体的好一点的解决方法吗,在线等待防御方法qq:82710412

Simen.Resh@d · 发表于 2008-3-6 23:08:40

解决方法已经写的上面了啊 .. 删除完以后你在
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\WinPact.exe(文件夹)
C:\WINDOWS\system32\Mousie.exe(文件夹)
这2个地方建立文件夹并命名为以病毒的名字设置为只读隐藏...

账号		自动登录	找回密码
密码			立即注册

查杀:Trojan-Downloader.Win32.Losabel.by

我也中了

浏览过的版块