欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

關(guān)于WIN32.EXE變態(tài)木馬下載器的解決辦法

 更新時(shí)間:2007年03月11日 00:00:00   作者:  
一、WIN32.EXE的來(lái)源:http://fdghewrtewrtyrew.biz/adv/130/win32.exe
二、運(yùn)行后的表現(xiàn):此WIN32.EXE通過(guò)80和8080端口訪問(wèn)若干個(gè)IP,若防火墻不能監(jiān)測(cè)到或令防火墻允許該訪問(wèn),WIN32.EXE會(huì)自動(dòng)下載木馬Kernels8.exe到system32目錄下;Kernels8.exe自網(wǎng)絡(luò)下載1.dlb、2.dlb.....等一堆木馬到當(dāng)前用戶文件夾中,并自動(dòng)運(yùn)行。下載的木馬加載運(yùn)行后,又從網(wǎng)絡(luò)上下載其它木馬/蠕蟲。

木馬/蠕蟲完全下載并植入系統(tǒng)后,SREng日志可見:

啟動(dòng)項(xiàng)目
注冊(cè)表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<Windows update loader><C:\Windows\xpupdate.exe> [N/A]
<UpdateService><C:\windows\system32\wservice.exe> [N/A]
<taskdir><C:\windows\system32\taskdir.exe> [N/A]
<_mzu_stonedrv3><C:\windows\system32\_mzu_stonedrv3.exe> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<System><C:\windows\system32\testtestt.exe> [N/A]
<UpdateService><C:\windows\system32\wservice.exe> [N/A]
<spoolsvv><C:\windows\system32\spoolsvv.exe> [N/A]
<adir><C:\windows\system32\adirss.exe> [N/A]
<_mzu_stonedrv3><C:\windows\system32\_mzu_stonedrv3.exe> [N/A]
<30><C:\windows\system32\30.tmp> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
<SystemTools><C:\windows\system32\testtestt.exe> [N/A]
<_mzu_stonedrv3><C:\windows\system32\_mzu_stonedrv3.exe> [N/A]
<30><C:\windows\system32\30.tmp> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
<sqPIftjYG><C:\windows\system32\rflbg.dll> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rpcc]
<WinlogonNotify: rpcc><C:\windows\system32\rpcc.dll> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winsys2freg]
<WinlogonNotify: winsys2freg><C:\Documents and Settings\All Users\Documents\Settings\winsys2f.dll> [N/A]
==================================
正在運(yùn)行的進(jìn)程
[PID: 584][\??\C:\windows\system32\winlogon.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\Documents and Settings\All Users\Documents\Settings\winsys2f.dll] [N/A, N/A] 
[PID: 1584][C:\windows\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\windows\system32\rflbg.dll] [N/A, N/A]
==================================
HOSTS 文件
127.0.0.1 avp.com
127.0.0.1 ca.com
127.0.0.1 f-secure.com
127.0.0.1 housecall.trendmicro.com
127.0.0.1 kaspersky.com
127.0.0.1 mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 nai.com
127.0.0.1 networkassociates.com
127.0.0.1 secure.nai.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 sophos.com
127.0.0.1 symantec.com
127.0.0.1 trendmicro.com
127.0.0.1 us.mcafee.com
127.0.0.1 v4.windowsupdate.microsoft.com
127.0.0.1 v5.windowsupdate.microsoft.com
127.0.0.1 v5windowsupdate.microsoft.nsatc.net
127.0.0.1 viruslist.com
127.0.0.1 windowsupdate.com
127.0.0.1 windowsupdate.microsoft.com
127.0.0.1 www.avp.com
127.0.0.1 www.bitdefender.com
127.0.0.1 www.ca.com
127.0.0.1 www.f-secure.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.mcafee.com
127.0.0.1 www.my-etrust.com
127.0.0.1 www.nai.com
127.0.0.1 www.networkassociates.com
127.0.0.1 www.pandasoftware.com
127.0.0.1 www.ravantivirus.com
127.0.0.1 www.sophos.com
127.0.0.1 www.symantec.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.viruslist.com
127.0.0.1 www.windowsupdate.com
127.0.0.1 www3.ca.com
127.0.0.1 downloads1.kaspersky-labs.com
127.0.0.1 downloads2.kaspersky-labs.com
127.0.0.1 downloads3.kaspersky-labs.com
127.0.0.1 downloads4.kaspersky-labs.com
127.0.0.1 downloads-us1.kaspersky-labs.com
127.0.0.1 downloads-eu1.kaspersky-labs.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 mast.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 update.symantec.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 download.mcafee.com
127.0.0.1 updates.symantec.com

==================================

HijackThis v1.99.1日志可見:

O4 - HKLM\..\Run: [System] C:\windows\system32\testtestt.exe
O4 - HKLM\..\Run: [UpdateService] C:\windows\system32\wservice.exe
O4 - HKLM\..\Run: [spoolsvv] C:\windows\system32\spoolsvv.exe
O4 - HKLM\..\Run: [adir] C:\windows\system32\adirss.exe
O4 - HKLM\..\Run: [_mzu_stonedrv3] C:\windows\system32\_mzu_stonedrv3.exe
O4 - HKLM\..\Run: [30] C:\windows\system32\30.tmp
O4 - HKLM\..\RunServices: [SystemTools] C:\windows\system32\testtestt.exe
O4 - HKLM\..\RunServices: [_mzu_stonedrv3] C:\windows\system32\_mzu_stonedrv3.exe
O4 - HKLM\..\RunServices: [30] C:\windows\system32\30.tmp
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O4 - HKCU\..\Run: [UpdateService] C:\windows\system32\wservice.exe
O4 - HKCU\..\Run: [taskdir] C:\windows\system32\taskdir.exe
O4 - HKCU\..\Run: [_mzu_stonedrv3] C:\windows\system32\_mzu_stonedrv3.exe
O4 - HKCU\..\Run: [WinMedia] C:\windows\loader622535.exe
O4 - HKCU\..\Run: [Winstx] C:\windows\loader628714.exe

O20 - Winlogon Notify: rpcc - C:\windows\system32\rpcc.dll
O20 - Winlogon Notify: winsys2freg - C:\Documents and Settings\All Users\Documents\Settings\winsys2f.dll
O21 - SSODL: sqPIftjYG - {F4233280-5E89-982A-A244-6D00C3A79C12} - C:\windows\system32\rflbg.dll

其中,C:\Documents and Settings\All Users\Documents\Settings\winsys2f.dll插入winlogon.exe進(jìn)程。這個(gè).dll處理起來(lái)較難。原因在于:
1、這個(gè)dll位于隱藏文件夾中,須用IceSword或WINRAR等工具才能看到。
2、因?yàn)樗迦肓藈inlogon.exe進(jìn)程,這個(gè)dll不能直接刪除。
3、不知這堆木馬/蠕蟲中的哪幾個(gè)開啟了IE進(jìn)程若干(并無(wú)IE窗口打開)。WINDOWS的“任務(wù)管理器”被禁;用其它工具,表面上雖可進(jìn)行結(jié)束IE進(jìn)程的操作,但無(wú)論用什么工具結(jié)束IE進(jìn)程后,病毒又試圖通過(guò)winlogon.exe啟動(dòng)IE進(jìn)程(SSM可監(jiān)控到此過(guò)程);此時(shí),如果用較低版本的SSM禁止winlogon.exe啟動(dòng)IE進(jìn)程,則系統(tǒng)崩潰,重啟。用最新版本的SSM 2.2.0.595可以禁止winlogon.exe啟動(dòng)IE進(jìn)程而無(wú)副作用。

這堆病毒的處理難點(diǎn)還有:
1、病毒感染系統(tǒng)時(shí),已經(jīng)在系統(tǒng)相關(guān)目錄(有.exe文件的目錄)以及系統(tǒng)分區(qū)以外的其它分區(qū)目錄(有.exe文件的目錄)下釋放了大量.t文件。以后,凡運(yùn)行相關(guān)的.exe時(shí),須先執(zhí)行這個(gè).t文件;此過(guò)程可被SSM監(jiān)控到,也可被SSM禁止。然而,若用SSM禁止這個(gè).t運(yùn)行,則你要運(yùn)行的那個(gè).exe也同樣被SSM禁止了。中招后用殺毒軟件殺毒就是一個(gè)例子(卡巴斯基最新病毒庫(kù)只能檢出其中部分病毒)。一旦允許卡巴斯基目錄下的.t運(yùn)行,kav.exe即被感染(MD5值改變)。收拾干凈系統(tǒng)后,我只好卸載卡巴斯基,重新安裝。我的Tiny防火墻也是同樣下場(chǎng)。為了看全這“西洋景”,我關(guān)閉了Tiny。染毒/系統(tǒng)重啟后,Tiny自動(dòng)加載時(shí)amon.exe被感染。
2、如果沒有完全禁止所有的病毒程序運(yùn)行,就在普通WINDOWS模式下刪除木馬/蠕蟲文件,刪除操作時(shí)會(huì)在同一位置生成數(shù)目不等的、文件名后綴為.t的文件,文件名為隨機(jī)排列的8個(gè)小寫英文字母。

三、我的處理辦法:
1、用最新版SSM2.2結(jié)束上述病毒進(jìn)程,并將其歸入blocked組。將SSM設(shè)置為“自動(dòng)運(yùn)行”。
2、重啟系統(tǒng)。
3、重啟系統(tǒng)后,SSM還報(bào)病毒程序試圖加載(木馬通過(guò)SSM安裝文件夾中的.t實(shí)現(xiàn)啟動(dòng)加載),可用SSM禁止它,并歸入blocked組。
4、刪除病毒的加載項(xiàng)(見前面的SREng以及HijackThis日志)。
5、顯示隱藏文件。刪除病毒文件(圖1-圖6)。要?jiǎng)h除的病毒文件太多,做為例子,圖中顯示的只是這堆病毒中的主要文件以及刪除病毒文件時(shí)生成的部分.t文件(如果將刪除到回收站的病毒文件全部顯示出來(lái),則需要18張圖)。
染毒后生成的.t文件的多寡目及分布范圍取決于(1)系統(tǒng)啟動(dòng)時(shí)加載運(yùn)行的程序數(shù)目;(2)染毒后未處理干凈前在WINDOWS下操作步驟的多寡;(3)系統(tǒng)分區(qū)以外的其它分區(qū)各目錄下的文件夾中是否包含.exe文件(文件夾中若不包含.exe文件,則無(wú)病毒.t文件生成)。
6、修復(fù)HOSTS文件。
7、卸載、重新安裝被感染的應(yīng)用程序(MD5值改變的那些)。

圖1

按此在新窗口打開圖片

按此在新窗口打開圖片

按此在新窗口打開圖片

按此在新窗口打開圖片

按此在新窗口打開圖片

相關(guān)文章

最新評(píng)論