test.exe,vista.exe,a.jpg,Flower.dll病毒分析解决

    此病毒为之前的梦中情人(暗号)病毒的最新变种

    1.病毒运行后,释放如下文件或副本
    %systemroot%\system32\config\systemprofile\vista.exe
    %systemroot%\system32\a.jpg
    %systemroot%\system32\Flower.dll
    %systemroot%\system32\vista.exe
    各个分区下面释放test.exe和autorun.inf

    2.通过查找software\Microsoft\Windows\CurrentVersion\App Paths\IEXPLORE.EXE的键值获得IEXPLORE.EXE路径,之后调用IE连接http://www.3940*.cn/tj.asp进行感染统计

    3.提升自身权限,关闭如下进程
    360tray.exe
    360safe.exe
    关闭如下进程的句柄
    avp.exe

    4.启动一个spoolsv.exe进程,把Flower.dll注入进去,并调用urlmon.dll进行下载操作
    下载http://www.*/muma935474/q.exe
    http://www.*/muma935474/w.exe
    http://www.*/muma935474/e.exe
    http://www.*/muma935474/r.exe
    http://www.*/muma935474/t.exe
    http://www.*/muma935474/y.exe
    http://www.*/muma935474/u.exe
    http://www.*/muma935474/i.exe
    http://www.*/muma935474/o.exe
    http://www.*/muma935474/10.exe~http://www.*/muma935474/36.exe
    http://www.*/muma.exe
    http://www.*/muma1.exe
    http://www.*/muma2.exe
    http://www.*/muma3.exe

    到C:\Documents and Settings\下面 分别命名为taga.exe~tagg.exe tagaa.exe~taggg.exe tagaaa.exe~tagggg.exe tagaaaa.exe~tagcccc.exe  md5a.exe~md5g.exe md5aa.exe~md5gg.exe md5aaa.exe~md5bbb.exe
    下载间隔2000ms

    但下载链接几乎都已失效,几个下载来的病毒也都是鸽子

    5.关闭带有如下字样的窗口
    防火墙 
    杀毒
    江民
    金山
    木马
    超级巡警
    NOD32
    安全
    主线程
    微点

    6.添加映像劫持项目劫持某些杀毒软件,安全工具和某些流行病毒指向%systemroot%\system32\vista.exe
    360rpt.exe
    360Safe.exe
    360tray.exe
    adam.exe
    AgentSvr.exe
    appdllman.exe
    AppSvc32.exe
    auto.exe
    AutoRun.exe
    autoruns.exe
    avgrssvc.exe
    AvMonitor.exe
    avp.com
    avp.exe
    CCenter.exe
    ccSvcHst.exe
    FileDsty.exe
    FTCleanerShell.exe
    guangd.exe
    HijackThis.exe
    IceSword.exe
    iparmo.exe
    Iparmor.exe
    isPwdSvc.exe
    kabaload.exe
    KaScrScn.SCR
    KASMain.exe
    KASTask.exe
    KAV32.exe
    KAVDX.exe
    KAVPFW.exe
    KAVSetup.exe
    KAVStart.exe
    kernelwind32.exe
    KISLnchr.exe
    KMailMon.exe
    KMFilter.exe
    KPFW32.exe
    KPFW32X.exe
    KPFWSvc.exe
    KRegEx.exe
    KRepair.COM
    KsLoader.exe
    KVCenter.kxp
    KvDetect.exe
    KvfwMcl.exe
    KVMonXP.kxp
    KVMonXP_1.kxp
    kvol.exe
    kvolself.exe
    KvReport.kxp
    KVSrvXP.exe
    KVStub.kxp
    kvupload.exe
    kvwsc.exe
    KvXP.kxp
    KWatch.exe
    KWatch9x.exe
    KWatchX.exe
    loaddll.exe
    logogo.exe
    MagicSet.exe
    mcconsol.exe
    mmqczj.exe
    mmsk.exe
    NAVSetup.exe
    nod32krn.exe
    nod32kui.exe
    PFW.exe
    PFWLiveUpdate.exe
    QHSET.exe
    Ras.exe
    Rav.exe
    RavMon.exe
    RavMonD.exe
    RavStub.exe
    RavTask.exe
    RegClean.exe
    rfwcfg.exe
    RfwMain.exe
    rfwProxy.exe
    rfwsrv.exe
    RsAgent.exe
    Rsaupd.exe
    runiep.exe
    safelive.exe
    scan32.exe
    shcfg32.exe
    SmartUp.exe
    sos.exe
    SREng.exe
    symlcsvc.exe
    SysSafe.exe
    taskmgr.exe
    TrojanDetector.exe
    Trojanwall.exe
    TrojDie.kxp
    UFO.exe
    UIHost.exe
    UmxAgent.exe
    UmxAttachment.exe
    UmxCfg.exe
    UmxFwHlp.exe
    UmxPol.exe
    UpLive.EXE
    WoptiClean.exe
    XP.exe
    zxsweep.exe

    7.破坏显示隐藏文件
    HKU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden的值修改为0x00000002

    木马病毒植入完毕以后的sreng日志如下:
    启动项目
    注册表
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe]
        <IFEO[360rpt.exe]><C:\WINDOWS\system32\vista.exe>  [Microsoft Corporation]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe]
        <IFEO[360Safe.exe]><C:\WINDOWS\system32\vista.exe>  [Microsoft Corporation]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe]
        <IFEO[360tray.exe]><C:\WINDOWS\system32\vista.exe>  [Microsoft Corporation]…
    ==================================
    服务
    [windows / windows][Running/Disabled]
      <C:\WINDOWS\windows.exe><N/A>

    解决方法:
    下载srengIcesword:可到down.45it.com下载


    1.解压Icesword,把Icesword改名1.com 运行
    点击 左下角文件按钮 
    删除如下文件%systemroot%\system32\config\systemprofile\vista.exe
    %systemroot%\system32\a.jpg
    %systemroot%\system32\Flower.dll
    %systemroot%\system32\vista.exe
    %systemroot%\windows.exe
    以及各个分区下的test.exe和autorun.inf

    2.打开sreng
    启动项目 注册表
    删除所有红色的IFEO项目

    系统修复 - Windows Shell/IE 全选 修复

发表评论

发表评论