欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

HDM.exe手工查殺U盤病毒的方法

 更新時間:2007年12月07日 21:16:10   作者:  

HDM.exe是一個惡性的U盤病毒,其破壞力巨大,主要表現(xiàn)在以下幾個方面:


Quote:
1.使用恢復(fù)SSDT的方式破壞殺毒軟件
2.IFEO映像劫持
3.關(guān)閉指定窗口
4.刪除gho文件
5.破壞安全模式,以及顯示隱藏文件功能
6.感染htm等網(wǎng)頁文件
7.猜測密碼通過局域網(wǎng)傳播
8.通過U盤等移動存儲傳播
9.arp欺騙


具體分析如下:


Quote:
File: HDM.exe
Size: 13312 bytes
Modified: 2007年11月28日, 16:52:08
MD5: 7EC36FA2BCFC1EA72C26B74C928C78F6
SHA1: B60048A8F9DB67EDF4B94BFE4DA2A1906CD33B59
CRC32: 88D8970A


技術(shù)細(xì)節(jié):

1.病毒運(yùn)行后,釋放如下文件以及副本:


Quote:
C:\WINDOWS\system32\Winlogon.dll
C:\RESSDT.sys


遍歷所有磁盤分區(qū) 在磁盤根目錄下寫入HDM.exe和autorun.inf 以達(dá)到通過U盤等移動存儲傳播的目的

同時建立服務(wù)RESSDT
服務(wù)相關(guān)描述:
啟動類型:手動
映像文件路徑:c:\RESSDT.sys"
顯示名稱:"RESSDT"

之后加載該驅(qū)動 該驅(qū)動能夠使得某些殺毒軟件的API hook失效

2.釋放一個GetIp.bat到病毒所在目錄下,從而獲得IP地址

3.利用ping命令探測同一網(wǎng)段內(nèi)的其他機(jī)器,并把結(jié)果寫入c:\EnumHost.txt

4.如果查找到同一網(wǎng)段內(nèi)的其他機(jī)器,則通過枚舉用戶名和密碼的方式將HDM.exe復(fù)制到其他機(jī)器的C,D,E,F盤的根目錄下
枚舉的用戶名和密碼如下:

Quote:
home
movie
alex
love
xp
123
administrator
new
guest
user
game
time
yeah
money
xpuser

123456
qwerty
abc123
memory
12345678
88888
5201314
1314520
asdfgh
angel
asdf 
baby
woaini



之后會利用獲得當(dāng)前機(jī)器的時間 并利用at命令定時啟動該病毒

5.獲得系統(tǒng)目錄,下載http://*/arp.exe和http://*/winpcap.exe
到系統(tǒng)目錄下面
winpcap.exe是嗅探器 
arp.exe具有arp欺騙功能,可以向局域網(wǎng)中的其它機(jī)器的80端口加入http://www.*/wm.htm的iframe代碼

6.遍歷磁盤所有分區(qū)下面的html,htm,asp,aspx,php,jsp文件
在其尾部加入<iframe src=http://www.*/wm.htm width=0 height=0></iframe>的代碼

7.遍歷所有磁盤分區(qū)刪除gho文件

8.在software\microsoft\windows nt\currentversion\image file execution options\下面添加IFEO項目,劫持某些殺毒軟件

Quote:
360rpt.exe
360Safe.exe
360tray.exe
adam.exe
AgentSvr.exe
AppSvc32.exe
autoruns.exe
avgrssvc.exe
AvMonitor.exe
avp.com
avp.exe
CCenter.exe
ccSvcHst.exe
FileDsty.exe
FrameworkServices.exe
FTCleanerShell.exe
HijackThis.exe
IceSword.exe
iparmo.exe
Iparmor.exe
isPwdSvc.exe
kabaload.exe
KaScrScn.SCR
KASMain.exe
KASTask.exe
KAV32.exe
KAVDX.exe
KAVPFW.exe
KAVSetup.exe
KAVStart.exe
KISLnchr.exe
KMailMon.exe
KMFilter.exe
kmp.exe
KPFW32.exe
KPFW32X.exe
KPFWSvc.exe
KRegEx.exe
KRepair.COM
KsLoader.exe
KVCenter.kxp
KvDetect.exe
KvfwMcl.exe
KVMonXP.kxp
KVMonXP_1.kxp
kvol.exe
kvolself.exe
KvReport.kxp
KVScan.kxp
KVSrvXP.exe
KVStub.kxp
kvupload.exe
kvwsc.exe
KvXP.kxp
KvXP_1.kxp
KWatch.exe
KWatch9x.exe
KWatchX.exe
loaddll.exe
MagicSet.exe
mcconsol.exe
Mcshield.exe
mmqczj.exe
mmsk.exe
MPMon.exe
MPSVC.exe
MPSVC1.exe
MPSVC2.exe
naPrdMgr.exe
NAVSetup.exe
nod32krn.exe
nod32kui.exe
PFW.exe
PFWLiveUpdate.exe
QHSET.exe
Ras.exe
Rav.exe
RavMon.exe
RavMonD.exe
RavStub.exe
RavTask.exe
RegClean.exe
regedit.exe
rfwcfg.exe
RfwMain.exe
rfwProxy.exe
rfwsrv.exe
RsAgent.exe
Rsaupd.exe
runiep.exe
safelive.exe
scan32.exe
shcfg32.exe
shstat.exe
SmartUp.exe
SREng.exe
SWEEP95.exe
symlcsvc.exe
SysSafe.exe
Tbmon.exe
TBSCAN.exe
TERegPct.exe
TrojanDetector.exe
Trojanwall.exe
TrojDie.kxp
UIHost.exe
UmxAgent.exe
UmxAttachment.exe
UmxCfg.exe
UmxFwHlp.exe
UmxPol.exe
UpdateUI.exe
UpLive.EXE.exe
VsTskMgr.exe
WEBSCANX.exe
WoptiClean.exe
ZONEALARM.exe
zxsweep.exe
_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE


9.將HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue的值改為0x00000001 破壞顯示隱藏文件

10.刪除system\currentcontrolset\control\safeboot\network
和system\currentcontrolset\control\safeboot\minimal鍵
破壞安全模式

11.查找指定窗口的名稱,并將其關(guān)閉

Quote:
安全衛(wèi)士
掃描
專殺
注冊表
process
進(jìn)程

木馬
防御
防火墻
病毒
檢測
firewall
virus
anti
金山
江民
卡巴斯基
worm
殺毒


12.啟動c:\program files\internet explorer\iexplore.exe下載木馬
下載http://www.*/1.exe~http://www.*/6.exe
到temp文件夾下面分別命名為downfile.exe~downfile5.exe
其中的1.exe又是一個木馬下載器,它可以下載很多木馬,但測試中并未植入成功...

13.同時在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下面添加注冊表項目
<calc.exe><%SystemRoot%\system32\calc.exe>使得calc.exe開機(jī)啟動 但不知具體有什么作用...

14.在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Winlogon下面添加注冊表項目
<WinlogonNotify: Winlogon><C:\WINDOWS\system32\Winlogon.dll> []

15.病毒體內(nèi)有文字:“nofixups!”“just test !”

全部木馬和病毒植入完畢后的sreng日志如下:
啟動項目


Quote:
注冊表
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    <calc.exe><%SystemRoot%\system32\calc.exe> [(Verified)Microsoft Windows Publisher]
    <Cifmon><C:\WINDOWS\system32\Server.EXE> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Winlogon]
    <WinlogonNotify: Winlogon><C:\WINDOWS\system32\Winlogon.dll> []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe]
    <IFEO[360rpt.exe]><C:\HDM.exe> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe]
    <IFEO[360Safe.exe]><C:\HDM.exe> []...

==================================
驅(qū)動程序
[RAS Asynchronous Media Driver / AsyncMac][Stopped/Auto Start]
<system32\DRIVERS\comint32.sys><N/A>
[MS / MS][Stopped/Manual Start]
<\??\C:\DOCUME~1\NEWCEN~1\LOCALS~1\Temp\tmp13.tmp><N/A>
[RESSDT / RESSDT][Stopped/Manual Start]
<\??\c:\RESSDT.sys><N/A>
[usbmouseb / usbmouseb][Running/Manual Start]
<\??\C:\WINDOWS\SYSTEM32\drivers\smbins.sys><N/A>
==================================
正在運(yùn)行的進(jìn)程
[PID: 1148][C:\Program Files\Internet Explorer\iexplore.exe] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-

2158)]
    [C:\WINDOWS\system32\Insert.dll] [N/A, ]
[PID: 1428][C:\WINDOWS\explorer.exe] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\SYSTEM32\smbins.dll] [Microsoft Corporation, 5, 0, 2195, 3649]
==================================
Autorun.inf
[C:\]
[AutoRun]
OPEN=HDM.exe
shellopen=打開(&O)
shellopenCommand=HDM.exe
shellopenDefault=1
shellexplore=資源管理器(&X)
shell\explore\command=HDM.exe
[D:\]
[AutoRun]
OPEN=HDM.exe
shellopen=打開(&O)
shellopenCommand=HDM.exe
shellopenDefault=1
shellexplore=資源管理器(&X)
shell\explore\command=HDM.exe


某些木馬沒有植入成功,所以無法體現(xiàn)

解決方法:

下載sreng和Xdelbox

1.解壓Xdelbox所有文件到一個文件夾
在 添加旁邊的框中 分別輸入
%systemroot%\system32\DRIVERS\comint32.sys
%systemroot%\system32\Server.EXE
%systemroot%\system32\Winlogon.dll
c:\RESSDT.sys
%systemroot%\system32\drivers\smbins.sys
%systemroot%\system32\Insert.dll
%systemroot%\SYSTEM32\smbins.dll
輸入完一個以后 點(diǎn)擊旁邊的添加 按鈕 被添加的文件 將出現(xiàn)在下面的大框中
然后一次性選中 (按住ctrl)下面大框中所有的文件
右鍵 單擊 點(diǎn)擊 重啟立即刪除

卸載winpcap.exe軟件

2.重啟計算機(jī)后
打開sreng
啟動項目 注冊表 刪除如下項目 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    <calc.exe><%SystemRoot%\system32\calc.exe> [(Verified)Microsoft Windows Publisher]
    <Cifmon><C:\WINDOWS\system32\Server.EXE> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Winlogon]
    <WinlogonNotify: Winlogon><C:\WINDOWS\system32\Winlogon.dll> []
刪除所有紅色的IFEO項目
按此在新窗口打開圖片

在“啟動項目”-“服務(wù)”-“驅(qū)動程序”中點(diǎn)“隱藏經(jīng)認(rèn)證的微軟項目”,
選中以下項目,點(diǎn)“刪除服務(wù)”,再點(diǎn)“設(shè)置”,在彈出的框中點(diǎn)“否”:

Quote:
[RAS Asynchronous Media Driver / AsyncMac][Stopped/Auto Start]
<system32\DRIVERS\comint32.sys><N/A>
[MS / MS][Stopped/Manual Start]
<\??\C:\DOCUME~1\NEWCEN~1\LOCALS~1\Temp\tmp13.tmp><N/A>
[RESSDT / RESSDT][Stopped/Manual Start]
<\??\c:\RESSDT.sys><N/A>
[usbmouseb / usbmouseb][Running/Manual Start]
<\??\C:\WINDOWS\SYSTEM32\drivers\smbins.sys><N/A>


系統(tǒng)修復(fù)-Windows Shell/IE 全選 點(diǎn)擊修復(fù)
系統(tǒng)修復(fù)-高級修復(fù)-修復(fù)安全模式

雙擊我的電腦,工具,文件夾選項,查看,單擊選取"顯示隱藏文件或文件夾" 并清除"隱藏受保護(hù)的操作系統(tǒng)文件(推薦)"前面的鉤。在提示確定更改時,單擊“是” 然后確定
點(diǎn)擊 菜單欄下方的 文件夾按鈕(搜索右邊的按鈕)
在左邊的資源管理器中單擊打開所有磁盤分區(qū)
分別刪除其根目錄下的HDM.exe和autorun.inf

3.修復(fù)被感染的網(wǎng)頁文件

推薦使用iframkill

截至到目前,還沒有一個殺毒軟件報出這個病毒

由于這是一個比較惡性的病毒,一旦流行開來后果將不堪設(shè)想,因此希望大家做好以下工作防范類似病毒出現(xiàn)
1.打全系統(tǒng)補(bǔ)丁,及時升級殺毒軟件和防火墻并打開實(shí)時監(jiān)控功能
2.給系統(tǒng)設(shè)定一個復(fù)雜的密碼
3.關(guān)閉自動播放,阻止類似通過U盤傳播的病毒的侵入

相關(guān)文章

最新評論