File: IO.pif
Size: 19456 bytes
MD5: 90C509FA6A6C2FA798DBE1CFD7F0E4F1
SHA1: DBF721F48369CFBB2B88D0F5D707924A7FE185EC
CRC32: 9822E714

生成如下文件：
%Program Files%\Common Files\Services\svchost.exe
%system32%\DirectX10.dll
在每個(gè)分區(qū)下面生成一個(gè)autorun.inf和IO.pif
達(dá)到通過(guò)U盤等移動(dòng)存儲(chǔ)傳播的目的

調(diào)用Cmd利用net stop命令停止以下服務(wù)
mcshield
Norton Antivirus Auto Protect Service
Windows Firewall/Internet Connection Sharing (ICS)
System Restore Service

結(jié)束如下進(jìn)程
regedit.exe
taskgmr.exe
360tray.exe
360safe.exe
噬菌體
木馬克星
WoptiClean.exe
EGHOST.exe
Iparmor.exe
MAILMON.EXE
KAVPFW.exe
RogueCleaner.exe

順序查找以下注冊(cè)表鍵值
?.S-1-5-21-1801674531-1645522239-725345543-1003\Software\JetCar\JetCar\General的AppPath鍵值
SOFTWARE\Thunder Network\ThunderOem\thunder_backwnd里面的Path鍵值 
?.Software\Microsoft\Windows\CurrentVersion\App Paths\MSMSGS.EXE
?.Software\Microsoft\Windows\CurrentVersion\App Paths\IEXPLORE.EXE
?.Software\TENCENT\PLATFORM_TYPE_LIST\1 的TypePath鍵值
以分別獲得網(wǎng)際快車，迅雷，MSN，IE，QQ的安裝路徑
如果查找到了那么即啟動(dòng)相應(yīng)的文件
（查找方式為順序查找，如果查找到安裝了網(wǎng)際快車，則啟動(dòng)網(wǎng)際快車，不再往下查找）

啟動(dòng)相應(yīng)的文件以后把自身注入到該進(jìn)程空間之中，連接網(wǎng)絡(luò)，下載木馬。
http://*.cn/hz/1.exe~http://*.cn/hz/20.exe
到%Program Files%\Internet Explorer\PLUGINS下面
命名為隨機(jī)8位字母和數(shù)字組合。

木馬植入完畢以后主要生成如下文件（包括但不限于）
%Program Files%\Internet Explorer\PLUGINS\SysWin64.Jmp
%Program Files%\Internet Explorer\PLUGINS\WinSys64.Sys
%Program Files%\NetMeeting\avpms.dat
%Program Files%\NetMeeting\avpms.exe
%Program Files%\NetMeeting\rav*mon.dat（*為隨機(jī)兩位字母）
%Program Files%\NetMeeting\rav*mon.exe（*為隨機(jī)兩位字母）
%systemroot%\ifc222.dll
%systemroot%\qiji.dll
%systemroot%\rx.dll
%systemroot%\sourro.exe
%systemroot%\winlogor.exe
%systemroot%\Winnt.exe
%SystemRoot%\intent.exe
以及以下這些隨機(jī)7位字母組合文件名的一些盜號(hào)木馬
%system32%\avwlain.dll
%system32%\avwlamn.dll
%system32%\avwlast.exe
%system32%\avzxain.dll
%system32%\avzxamn.dll
%system32%\avzxast.exe
%system32%\kaqhacs.dll
%system32%\kaqhcaz.exe
%system32%\kaqhczy.dll
%system32%\kvdxacf.dll
%system32%\kvdxbis.exe
%system32%\kvdxbma.dll
%system32%\kvmxacf.dll
%system32%\kvmxcis.exe
%system32%\kvmxcma.dll
%system32%\rsjzafg.dll
%system32%\rsjzapm.dll
%system32%\rsjzasp.exe
%system32%\rsmyafg.dll
%system32%\rsmyapm.dll
%system32%\rsmyasp.exe

其中的盜號(hào)木馬會(huì)盜取如下網(wǎng)絡(luò)游戲帳號(hào)和密碼（包括但不限于）
大話西游II
魔域
完美世界
機(jī)戰(zhàn)
華夏
魔獸世界
問(wèn)道
征途
熱血江湖
奇跡世界
QQ

下載的木馬有禁止自動(dòng)更新和微軟的防火墻的作用
并且會(huì)把時(shí)間修改成2099年1月1日

sreng日志反映如下(本文轉(zhuǎn)載時(shí)略,詳細(xì)見(jiàn)下文)

清除辦法：
一、清除病毒主程序：

首先把系統(tǒng)時(shí)間改正確
下載Sreng,下載地址:down.45it.com
重啟計(jì)算機(jī)進(jìn)入安全模式(重啟系統(tǒng)長(zhǎng)按F8直到出現(xiàn)提示，然后選擇進(jìn)入安全模式)

雙擊我的電腦，工具，文件夾選項(xiàng)，查看，單擊選取"顯示隱藏文件或文件夾" 并清除"隱藏受保護(hù)的操作系統(tǒng)文件（推薦）"前面的鉤。在提示

確定更改時(shí)，單擊“是” 然后確定

右鍵點(diǎn)擊C盤（系統(tǒng)盤） 點(diǎn)擊右鍵菜單中的“打開(kāi)” 打開(kāi)磁盤

刪除
C:\Io.pif
C:\autorun.inf
%Program Files%\Common Files\Services\svchost.exe
%system32%\DirectX10.dll
同樣右鍵點(diǎn)擊其他盤 點(diǎn)擊右鍵菜單中的“打開(kāi)” 打開(kāi)磁盤
刪除Io.pif和autorun.inf

二、清除下載的木馬
1.還是在安全模式下
打開(kāi)sreng 
啟動(dòng)項(xiàng)目      注冊(cè)表 刪除如下項(xiàng)目 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
        <w><%SystemRoot%\WinRaR.exe>      [N/A]
        <wm><%SystemRoot%\winlogor.exe>      []
        <wl><%SystemRoot%\intent.exe>      [N/A]
        <mm><%SystemRoot%\sourro.exe>      []
        <zx><%SystemRoot%\winadr.exe>      [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
        <ravztmon><C:\Program Files\NetMeeting\ravztmon.exe>      []
        <avpms><C:\Program Files\NetMeeting\avpms.exe>      []
        <ravwdmon><C:\Program Files\NetMeeting\ravwdmon.exe>      []
雙擊我的電腦，工具，文件夾選項(xiàng)，查看，單擊選取"顯示隱藏文件或文件夾" 并清除"隱藏受保護(hù)的操作系統(tǒng)文件（推薦）"前面的鉤。在提示

確定更改時(shí)，單擊“是” 然后確定
刪除如下文件%Program Files%\Internet Explorer\PLUGINS\SysWin64.Jmp
%Program Files%\Internet Explorer\PLUGINS\WinSys64.Sys
%Program Files%\NetMeeting\avpms.dat
%Program Files%\NetMeeting\avpms.exe
%Program Files%\NetMeeting\rav*mon.dat（*為隨機(jī)兩位字母）
%Program Files%\NetMeeting\rav*mon.exe（*為隨機(jī)兩位字母）
%systemroot%\ifc222.dll
%systemroot%\qiji.dll
%systemroot%\rx.dll
%systemroot%\sourro.exe
%systemroot%\winlogor.exe
%systemroot%\Winnt.exe
%SystemRoot%\intent.exe

2.清除隨機(jī)7位的dll盜號(hào)木馬
（其實(shí)這些就是*pri.dll的變種，仍可以采用重命名方法清除）
仍然是在安全模式下
打開(kāi)sreng 啟動(dòng)項(xiàng)目 注冊(cè)表
查看[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]下面的隨機(jī)7位字母的dll文件，記住他們的名字
然后
雙擊我的電腦，工具，文件夾選項(xiàng)，查看，單擊選取"顯示隱藏文件或文件夾" 并清除"隱藏受保護(hù)的操作系統(tǒng)文件（推薦）"前面的鉤。在提示確定更改時(shí)，單擊“是” 然后確定


打開(kāi)C:\windows\system32文件夾 單擊上面的搜索按鈕
更多高級(jí)選項(xiàng)中 要鉤選 搜索隱藏的文件和文件夾

分別搜索你記下來(lái)的那些隨機(jī)7位的dll

右鍵分別把 這些文件重命名 命名的名字自己要記住 最好有規(guī)律 
重啟計(jì)算機(jī)后

打開(kāi)sreng
啟動(dòng)項(xiàng)目      注冊(cè)表 刪除如下項(xiàng)目 （即你剛才在啟動(dòng)項(xiàng)目中看見(jiàn)的所有隨機(jī)7位字母dll的項(xiàng)目）
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
        <{1E32FA58-3453-FA2D-BC49-F340348ACCE1}><C:\WINDOWS\system32\rsmyapm.dll>      []
        <{2C87A354-ABC3-DEDE-FF33-3213FD7447C2}><C:\WINDOWS\system32\kvdxbma.dll>      []
        <{3D47B341-43DF-4563-753F-345FFA3157D3}><C:\WINDOWS\system32\kvmxcma.dll>      []
        <{1960356A-458E-DE24-BD50-268F589A56A1}><C:\WINDOWS\system32\avwlamn.dll>      []
        <{12FAACDE-34DA-CCD4-AB4D-DA34485A3421}><C:\WINDOWS\system32\rsjzapm.dll>      []
        <{1859245F-345D-BC13-AC4F-145D47DA34F1}><C:\WINDOWS\system32\avzxamn.dll>      []
        <{37D81718-1314-5200-2597-587901018073}><C:\WINDOWS\system32\kaqhczy.dll>      []
雙擊AppInit_DLLs把器鍵值改為空

并刪除剛才重命名的那些dll文件


注：%System32%是一個(gè)可變路徑。
Windows2000/NT中默認(rèn)的安裝路徑是C:\Winnt\System32，windows95/98/me中默認(rèn)的安裝路徑是C:\Windows\System，windowsXP中默認(rèn)的安裝路徑是C:\Windows\System32。

%SystemRoot%/          WINDODWS所在目錄

%ProgramFiles%\         系統(tǒng)程序默認(rèn)安裝目錄

最新評(píng)論