瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 给你的电脑做无痛手术的病毒(兼答Explorer缺少sysup32.dll无法启动的问题)
newcenturymoon - 2007-6-19 12:14:00
作者:清新阳光                      ( http://hi.baidu.com/newcenturysun)
        日期:2007/06/19            (转载请保留此申明)

昨天在整理虚拟机里的木马时候 发现了这么一个病毒 此病毒替换系统文件 并且不会使你感觉到任何蛛丝马迹 给你

的电脑做了一个无痛手术
让我们来看看他是怎样做的吧
File: rxm.exe
Size: 115628 bytes
MD5: AF62DC062ABF0A7E059EBD2C79460D27
SHA1: 67F317C5D2D60DB7D38CA2953E313DEC0FD3E8E4
CRC32: 63610FE3
运行后
首先访问61.152.116.132:80
下载http://xxxxx.com.cn/count/data_add.aspx?filename=rxm.exe
到临时文件夹
临时文件夹的rxm.exe随即运行
首先修改winlogon.exe的虚拟内存
然后winlogon.exe修改注册表以下内容(不知何意,望高手指导)
进程:
      路径: C:\WINDOWS\system32\winlogon.exe
      PID: 640
      信息: Windows NT Logon Application (Microsoft Corporation)
注册表群组: System
对象:
      注册表键: HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
      注册表值: ParseAutoexec
      新的值:
        类型: REG_SZ
        值: 1
      先前值:
        类型: REG_SZ
        值: 1

增加目录C:\WINDOWS\system32\wins
在其下面释放一个随机8位字母组合的一个dll文件
我这里是ccnvlewg.dll

在C:\windows下释放C:\WINDOWS\wlhhjm.dll
和C:\WINDOWS\system32\secmgnt.dll

然后删除C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\dllcache\services.exe
并用修改过的傀儡SERVICES.EXE分别替换之(究竟是怎样替换的还没搞清楚)
但已经搞清楚C:\WINDOWS\system32\wins的那个dll就是 系统原先的services.exe

病毒为什么会替换services.exe呢
经过研究那个傀儡的services.exe
此services.exe的dll 导出表中包含有病毒释放的C:\WINDOWS\system32\secmgnt.dll
也就是说services.exe只要运行就得加载自己的C:\WINDOWS\system32\secmgnt.dll
否则会报找不到secmgnt.dll而无法运行

真正实现了注册表无痕迹启动
那个C:\WINDOWS\system32\secmgnt.dll卡巴报为Trojan-Psw.Win32.OnlineGames.bf
还是个盗号木马 可卡巴一旦把这个dll删了 你的系统就会因为services.exe启动不了而崩溃 哈哈 这招够绝



附件: 5543452007619120434.jpg
newcenturymoon - 2007-6-19 12:15:00
怎么解决呢?
既然病毒给我们做了个手术 我们也给他做个手术吧 也得是无痛的哦 哈哈
直接用冰刃结束services.exe 不好吧 这样会造成系统倒计时重启 那就不叫无痛手术了
因为正在运行的文件 可以被重命名 所以就利用这招吧 重命名大法方法如下:
从其他电脑上拷贝一个好的services.exe
然后把他复制到C:\WINDOWS\system32\dllcache替换原来的文件
重命名C:\WINDOWS\system32\services.exe为services1.exe
再把好的services.exe复制到C:\WINDOWS\system32中
哈哈 病毒都不知道我们在给他做手术哦 嘘 别告诉他!

附件: 5543452007619120508.jpg
newcenturymoon - 2007-6-19 12:16:00
重启计算机看看情况哈哈 services.exe成功被我们替换咯

附件: 5543452007619120613.jpg
newcenturymoon - 2007-6-19 12:16:00
然后的事情就简单了 删除C:\WINDOWS\system32\secmgnt.dll
C:\WINDOWS\wlhhjm.dll
C:\WINDOWS\system32\services1.exe
C:\WINDOWS\system32\wins文件夹

附件: 5543452007619120641.jpg
newcenturymoon - 2007-6-19 12:17:00
PS:最近有用户求助 卡巴把他们的sysup32.dll删除了 造成Explorer找不到sysup32.dll而无法启动
这个问题的根源跟我的这个问题完全一致 因为昨天测试时候发现了这个问题
但没找到是哪个病毒文件造成的
那个Explorer.exe同样是被替换过的 其dll导出表中包含sysup32.dll
如果杀毒软件把sysup32.dll杀掉了 那么同样Explorer.exe会报找不到sysup32.dll而无法启动
解决方法类似我上面的方法
1.从其他电脑上拷贝一个好的Explorer.exe
然后把他复制到C:\WINDOWS\system32\dllcache替换原来的文件
重命名C:\WINDOWS\Explorer.exe为Explorer1.exe
再把好的Explorer.exe复制到C:\WINDOWS中
2.重启删除
C:\WINDOWS\Explorer1.exe
和C:\WINDOWS\system32\sysup32.dll
或者直接结束Explorer.exe 再启动正常的Explorer.exe也可以 比我分析的那个相对简单


附件: 5543452007619120704.jpg
newcenturymoon - 2007-6-19 12:17:00
附图

附件: 5543452007619120719.jpg
HOSTのS - 2007-6-19 13:53:00
这个病毒够狠
HOSTのS - 2007-6-19 14:00:00
威胁
把病毒干掉  系统也OVER了  同归于尽?
湘m浪子 - 2007-6-19 14:54:00
学习.

中了这个病毒有什么症状呢?? 我们都是菜鸟,怎么样才知道中了此病毒???
孤独更可靠 - 2007-6-19 15:01:00
那个不是传统的RK技术?!
1
查看完整版本: 给你的电脑做无痛手术的病毒(兼答Explorer缺少sysup32.dll无法启动的问题)
© 2000 - 2026 Rising Corp. Ltd.