worm.agent.ug再次感染后的奇异现象 bbs.ikaka.com

baohe - 2007-6-1 9:02:00

昨天写了个帖子（http://forum.ikaka.com/topic.asp?board=28&artid=8317275），扼要介绍了断网状态下感染worm agent.ug样本后的手工杀毒对策。
但是，连网状态感染这个蠕虫后，还会从网上下载一堆其它病毒。这时，手工杀毒能否轻易搞掂？
为了回答这个问题，关闭TINY的windows security以及瑞星的所有监控，彻底关闭SSM。然后运行worm agent.ug样本。
待TINY的activty monitor不再显示任何网络访问及文件下载、运行时，重启系统。
重启系统后，奇异现象出现了（图1）。表明worm agent.ug的部分IFEO劫持失败了（TINY和SSM可以正常运行），只有可怜的瑞星被此蠕虫劫持掉了。

图1

附件: 15584720076185222.jpg

baohe - 2007-6-1 9:03:00

此时，SSM可以将用户发现的病毒程序归入“阻止运行”组（图2）。

图2

附件: 15584720076185302.jpg

baohe - 2007-6-1 9:03:00

此后，worm agent.ug下载的病毒可以找到并删除（图3）。

图3

附件: 15584720076185330.jpg

baohe - 2007-6-1 9:04:00

worm agent.ug的主体文件也能删除（图4）。

图4

附件: 15584720076185359.jpg

baohe - 2007-6-1 9:04:00

可以用改名的SRENG删除病毒启动项及WINSOCK劫持项（图5）。

图5

附件: 15584720076185435.jpg

baohe - 2007-6-1 9:05:00

病毒添加的下列IFEO劫持项也能一一删除：

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

+ 360rpt.exe c:\windows\system32\wocfiba.exe

+ 360Safe.exe c:\windows\system32\wocfiba.exe

+ 360tray.exe c:\windows\system32\wocfiba.exe

+ adam.exe c:\windows\system32\wocfiba.exe

+ AgentSvr.exe c:\windows\system32\wocfiba.exe

+ AppSvc32.exe c:\windows\system32\wocfiba.exe

+ autoruns.exe c:\windows\system32\wocfiba.exe

+ avconsol.exe c:\windows\system32\wocfiba.exe

+ avgrssvc.exe c:\windows\system32\wocfiba.exe

+ AvMonitor.exe c:\windows\system32\wocfiba.exe

+ avp.com c:\windows\system32\wocfiba.exe

+ avp.exe c:\windows\system32\wocfiba.exe

+ CCenter.exe c:\windows\system32\wocfiba.exe

+ ccSvcHst.exe c:\windows\system32\wocfiba.exe

+ EGHOST.exe c:\windows\system32\wocfiba.exe

+ FileDsty.exe c:\windows\system32\wocfiba.exe

+ FTCleanerShell.exe c:\windows\system32\wocfiba.exe

+ FYFireWall.exe c:\windows\system32\wocfiba.exe

+ HijackThis.exe c:\windows\system32\wocfiba.exe

+ IceSword.exe c:\windows\system32\wocfiba.exe

+ iparmo.exe c:\windows\system32\wocfiba.exe

+ Iparmor.exe c:\windows\system32\wocfiba.exe

+ isPwdSvc.exe c:\windows\system32\wocfiba.exe

+ kabaload.exe c:\windows\system32\wocfiba.exe

+ KaScrScn.SCR c:\windows\system32\wocfiba.exe

+ KASMain.exe c:\windows\system32\wocfiba.exe

+ KASTask.exe c:\windows\system32\wocfiba.exe

+ KAV32.exe c:\windows\system32\wocfiba.exe

+ KAVDX.exe c:\windows\system32\wocfiba.exe

+ KAVPF.exe c:\windows\system32\wocfiba.exe

+ KAVPFW.exe c:\windows\system32\wocfiba.exe

+ KAVSetup.exe c:\windows\system32\wocfiba.exe

+ KAVStart.exe c:\windows\system32\wocfiba.exe

+ KISLnchr.exe c:\windows\system32\wocfiba.exe

+ KMailMon.exe c:\windows\system32\wocfiba.exe

+ KMFilter.exe c:\windows\system32\wocfiba.exe

+ KPFW32.exe c:\windows\system32\wocfiba.exe

+ KPFW32X.exe c:\windows\system32\wocfiba.exe

+ KPfwSvc.exe c:\windows\system32\wocfiba.exe

+ KRegEx.exe c:\windows\system32\wocfiba.exe

+ KRepair.com c:\windows\system32\wocfiba.exe

+ KsLoader.exe c:\windows\system32\wocfiba.exe

+ KVCenter.kxp c:\windows\system32\wocfiba.exe

+ KvDetect.exe c:\windows\system32\wocfiba.exe

+ KvfwMcl.exe c:\windows\system32\wocfiba.exe

+ KVMonXP.kxp c:\windows\system32\wocfiba.exe

+ KVMonXP_1.kxp c:\windows\system32\wocfiba.exe

+ kvol.exe c:\windows\system32\wocfiba.exe

+ kvolself.exe c:\windows\system32\wocfiba.exe

+ KvReport.kxp c:\windows\system32\wocfiba.exe

+ KVScan.kxp c:\windows\system32\wocfiba.exe

+ KVSrvXP.exe c:\windows\system32\wocfiba.exe

+ KVStub.kxp c:\windows\system32\wocfiba.exe

+ kvupload.exe c:\windows\system32\wocfiba.exe

+ kvwsc.exe c:\windows\system32\wocfiba.exe

+ KvXP.kxp c:\windows\system32\wocfiba.exe

+ KvXP_1.kxp c:\windows\system32\wocfiba.exe

+ KWatch.exe c:\windows\system32\wocfiba.exe

+ KWatch9x.exe c:\windows\system32\wocfiba.exe

+ KWatchX.exe c:\windows\system32\wocfiba.exe

+ loaddll.exe c:\windows\system32\wocfiba.exe

+ MagicSet.exe c:\windows\system32\wocfiba.exe

+ mcconsol.exe c:\windows\system32\wocfiba.exe

+ mmqczj.exe c:\windows\system32\wocfiba.exe

+ mmsk.exe c:\windows\system32\wocfiba.exe

+ Navapsvc.exe c:\windows\system32\wocfiba.exe

+ Navapw32.exe c:\windows\system32\wocfiba.exe

+ nod32.exe c:\windows\system32\wocfiba.exe

+ nod32krn.exe c:\windows\system32\wocfiba.exe

+ nod32kui.exe c:\windows\system32\wocfiba.exe

+ NPFMntor.exe c:\windows\system32\wocfiba.exe

+ PFW.exe c:\windows\system32\wocfiba.exe

+ PFWLiveUpdate.exe c:\windows\system32\wocfiba.exe

+ QHSET.exe c:\windows\system32\wocfiba.exe

+ QQDoctor.exe c:\windows\system32\wocfiba.exe

+ QQKav.exe c:\windows\system32\wocfiba.exe

+ Ras.exe c:\windows\system32\wocfiba.exe

+ Rav.exe c:\windows\system32\wocfiba.exe

+ RavMon.exe c:\windows\system32\wocfiba.exe

+ RavMonD.exe c:\windows\system32\wocfiba.exe

+ RavStub.exe c:\windows\system32\wocfiba.exe

+ RavTask.exe c:\windows\system32\wocfiba.exe

+ RegClean.exe c:\windows\system32\wocfiba.exe

+ rfwcfg.exe c:\windows\system32\wocfiba.exe

+ rfwmain.exe c:\windows\system32\wocfiba.exe

+ rfwsrv.exe c:\windows\system32\wocfiba.exe

+ RsAgent.exe c:\windows\system32\wocfiba.exe

+ Rsaupd.exe c:\windows\system32\wocfiba.exe

+ runiep.exe c:\windows\system32\wocfiba.exe

+ safelive.exe c:\windows\system32\wocfiba.exe

+ scan32.exe c:\windows\system32\wocfiba.exe

+ shcfg32.exe c:\windows\system32\wocfiba.exe

+ SmartUp.exe c:\windows\system32\wocfiba.exe

+ SREng.EXE c:\windows\system32\wocfiba.exe

+ symlcsvc.exe c:\windows\system32\wocfiba.exe

+ SysSafe.exe c:\windows\system32\wocfiba.exe

+ TrojanDetector.exe c:\windows\system32\wocfiba.exe

+ Trojanwall.exe c:\windows\system32\wocfiba.exe

+ TrojDie.kxp c:\windows\system32\wocfiba.exe

+ UIHost.exe c:\windows\system32\wocfiba.exe

+ UmxAgent.exe c:\windows\system32\wocfiba.exe

+ UmxAttachment.exe c:\windows\system32\wocfiba.exe

+ UmxCfg.exe c:\windows\system32\wocfiba.exe

+ UmxFwHlp.exe c:\windows\system32\wocfiba.exe

+ UmxPol.exe c:\windows\system32\wocfiba.exe

+ upiea.exe c:\windows\system32\wocfiba.exe

+ UpLive.exe c:\windows\system32\wocfiba.exe

+ vsstat.exe c:\windows\system32\wocfiba.exe

+ webscanx.exe c:\windows\system32\wocfiba.exe

+ WoptiClean.exe c:\windows\system32\wocfiba.exe

baohe - 2007-6-1 9:05:00

以上操作完成后，重启系统。系统回复正常（图6）。

图6

附件: 15584720076185536.jpg

天月来了 - 2007-6-1 9:16:00

呵呵！！！！

孤独更可靠 - 2007-6-1 9:52:00

学习了``

现在病毒实在太疯狂了```

菜鸟玩病毒 - 2007-6-1 11:05:00

【回复“baohe”的帖子】
学习，不知道猫叔测试了那个8位数的随机病毒没有，连tiny都被它强行关闭了，真疯狂。

哈尔滨哈尔滨 - 2007-6-1 11:23:00

我要样本..2006cscz@163.com

silencek - 2007-6-1 12:12:00

...楼大是强人。。看头像就知道。。

hotboy - 2007-6-1 12:48:00

这毒没新意

baohe - 2007-6-1 14:14:00

引用:

【hotboy的贴子】这毒没新意
………………

新意不新意还是次要问题。
我想知道：为什么重复感染后，会导致病毒的IFEO劫持部分失效。
首次感染时，病毒针对我这三个启动加载软件（TINY/SSM/瑞星）的所有IFEO劫持项均有效。

两个铁球 - 2007-6-1 14:20:00

啊，“可怜的瑞星！”；哪卡巴的表现是怎么样的呢？

baohe - 2007-6-1 14:28:00

引用:

【两个铁球的贴子】啊，“可怜的瑞星！”；哪卡巴的表现是怎么样的呢？
………………

注意“关闭TINY的windows security以及瑞星的所有监控，彻底关闭SSM。然后运行worm agent.ug样本。”
如果事先关闭卡巴所有监控，估计卡巴一样玩儿完。因为IFEO劫持项中包括：
+ avp.com c:\windows\system32\wocfiba.exe

+ avp.exe c:\windows\system32\wocfiba.exe

用IFEO劫持灭杀软，不一定要中毒。你先关闭所有注册表监控软件，然后，自己建立一个IFEO劫持项（Debugger随便指向一个不相干的.exe或者指向杀软自身的.exe），然后，重启，就行。

两个铁球 - 2007-6-1 14:34:00

引用:

【baohe的贴子】以上操作完成后，重启系统。系统回复正常（图6）。

图6
………………

猫版又有研究课题了：外软的学习功能。听grc网站提到，Z-A就有学习--〉适应功能。

baohe - 2007-6-1 14:38:00

引用:

【两个铁球的贴子】
猫版又有研究课题了：外软的学习功能。听grc网站提到，Z-A就有学习--〉适应功能。
………………

有这种功能的软件不算希罕。SSM也是其中之一。
但是，对于系统和应用程序不甚了了的用户————很晕（如何保证“学习”时加载运行的都是安全的程序？)

天月来了 - 2007-6-1 14:45:00

是啊

玩那东西都得熟悉系统和大多应用程序的各个进程，模块信息等。

否则，还不如同虚设。

zhangzhenfei - 2007-6-1 14:52:00

新手，学习了！！

独孤剑客 - 2007-6-1 15:13:00

还好不是那种看不出来的!上次就中了一个暴汉!

壹无所有 - 2007-6-1 15:34:00

这么多的IFEO劫持
汗!!!

都是疯子 - 2007-6-1 15:40:00

用小红伞试过吗？

UFO不幸外人 - 2007-6-1 15:43:00

哈哈，佩服。我自己要加油了

Qumiyzhang - 2007-6-1 17:27:00

厉害的病毒

爱情之星 - 2007-6-1 18:13:00

猖狂的病毒

★蓝色羽毛★ - 2007-6-1 19:16:00

我这里拿到的病毒样本,是时间改到1980,11,15,杀毒后依然不能进入安全模式

baohe - 2007-6-1 19:54:00

引用:

【★蓝色羽毛★的贴子】我这里拿到的病毒样本,是时间改到1980,11,15,杀毒后依然不能进入安全模式
………………

首次感染系统，系统时间也是被改到1980,11,15
安全模式问题：杀净病毒后，可以用以前备份的相应注册表项恢复。

★蓝色尘埃★ - 2007-6-1 20:40:00

学习吧，

痞子en - 2007-6-1 22:57:00

厉害

瑞星卡卡安全论坛