baohe - 2007-6-26 15:09:00
病毒样本是本论坛的一个朋友发给我的。
这群病毒中包含威金。还有N个动态插入进程的木马。
查杀难点在于:
1、C:\windows\system32\RAVWM624.dll插入了系统核心进程lsass.exe。
2、下列病毒dll动态插入应用程序进程:
[C:\windows\system32\zlmbx.dll] [N/A, N/A]
[C:\windows\system32\wiopd.dll] [N/A, N/A]
[C:\windows\system32\wuifj.dll] [N/A, N/A]
[C:\windows\system32\hkbvx.dll] [N/A, N/A]
[C:\windows\system32\wjhbm.dll] [N/A, N/A]
[C:\windows\system32\wnmdl.dll] [N/A, N/A]
3、威金动态感染应用程序文件。
我用SSM的杀毒流程如下:
1、将病毒程序.exe、.dll、.sys录入SSM的规则组,阻止其运行(图1-图3);将SSM设置为自动运行。
2、删除病毒添加的启动项、服务项(图4-图6)。
3、重启。删除病毒文件(图7-图8)。重启时,有些病毒文件已经被杀软干掉了(图9)。
4、由于这群病毒中包括“威金”(感染硬盘中的所有.exe),因此,最后需用杀软全盘杀毒。瑞星可以清除被感染文件中的病毒代码。
【关于图1中rundl132.exe图标为SSM图标的解释】:
估计这是那个GetFiles.dll的杰作。将病毒程序录入SSM规则组时,Tiny提示Logo_1.exe(此病毒程序为“幽灵”程序)通过C:\Program Files\System Safety Monitor\SSMShellUtils.exe加载运行。用Tiny阻止Logo_1.exe运行后,rundl132.exe的图标就变成这样子了。
图1
附件:
1558472007626155718.jpg
baohe - 2007-6-26 15:23:00
附:
中毒后SRENG日志所见异常项:
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<TIMHost><C:\windows\TIMHost.exe> [N/A]
<cmdbcs><C:\windows\cmdbcs.exe> [N/A]
<load><C:\windows\uninstall\rundl132.exe> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<MSDEG32><LYLoader.exe> [N/A]
<MSDWG32><LYLoadbr.exe> [N/A]
<MSDCG32 ><LYLeador.exe> [N/A]
<MSDOG32><LYLoador.exe> [N/A]
<MSDSG32><LYLoadar.exe> [N/A]
<MSDMG32><LYLoadmr.exe> [N/A]
<MSDHG32><LYLoadhr.exe> [N/A]
<MSDQG32><LYLoadqr.exe> [N/A]
<RavMonWm><C:\DOCUME~1\baohelin\LOCALS~1\Temp\RAVWM.EXE> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{1496D5ED-7A09-46D0-8C92-B8E71A4304DF}><C:\windows\system32\SvgTime.dll> [N/A]
<{754FB7D8-B8FE-4810-B363-A788CD060F1F}><C:\Program Files\Internet Explorer\PLUGINS\System64.Sys> [N/A]
==================================
服务
[Telephonyl / WindowsDown][Stopped/Auto Start]
<C:\windows\system32\sservet.exe><N/A>
[Windows DHCP Service / WinDHCPsvc][Stopped/Auto Start]
<C:\windows\system32\rundll32.exe windhcp.ocx,input><Microsoft Corporation>
==================================
正在运行的进程
[PID: 780][C:\windows\system32\lsass.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\windows\system32\RAVWM624.dll] [N/A, N/A]
[PID: 972][C:\windows\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\Program Files\Internet Explorer\PLUGINS\System64.Sys] [N/A, N/A]
[C:\windows\system32\zlmbx.dll] [N/A, N/A]
[C:\windows\system32\wiopd.dll] [N/A, N/A]
[C:\windows\system32\wuifj.dll] [N/A, N/A]
[C:\windows\system32\hkbvx.dll] [N/A, N/A]
[C:\windows\system32\wjhbm.dll] [N/A, N/A]
[C:\windows\system32\wnmdl.dll] [N/A, N/A]
[PID: 508][C:\windows\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\windows\system32\GetFiles.dll] [N/A, N/A]
[C:\windows\system32\wnmdl.dll] [N/A, N/A]
[C:\windows\system32\wjhbm.dll] [N/A, N/A]
[C:\windows\system32\hkbvx.dll] [N/A, N/A]
[C:\windows\system32\wuifj.dll] [N/A, N/A]
[C:\windows\system32\wiopd.dll] [N/A, N/A]
[C:\windows\system32\zlmbx.dll] [N/A, N/A]
[C:\Program Files\Internet Explorer\PLUGINS\System64.Sys] [N/A, N/A]
[C:\windows\system32\SvgTime.dll] [N/A, N/A]
[C:\windows\RichDll.dll] [N/A, N/A]
[PID: 2040][C:\Program Files\Rising\Rav\RavTask.exe] [Beijing Rising Technology Co., Ltd., 19, 0, 0, 9]
[C:\windows\system32\wjhbm.dll] [N/A, N/A]
[C:\windows\system32\wnmdl.dll] [N/A, N/A]
[C:\windows\system32\hkbvx.dll] [N/A, N/A]
[C:\windows\system32\wiopd.dll] [N/A, N/A]
[C:\windows\system32\wuifj.dll] [N/A, N/A]
[C:\windows\system32\zlmbx.dll] [N/A, N/A]
[C:\Program Files\Internet Explorer\PLUGINS\System64.Sys] [N/A, N/A]
[PID: 264][C:\windows\system32\ctfmon.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\windows\system32\wnmdl.dll] [N/A, N/A]
[C:\windows\system32\wjhbm.dll] [N/A, N/A]
[C:\windows\system32\hkbvx.dll] [N/A, N/A]
[C:\windows\system32\wuifj.dll] [N/A, N/A]
[C:\windows\system32\wiopd.dll] [N/A, N/A]
[C:\windows\system32\zlmbx.dll] [N/A, N/A]
[C:\Program Files\Internet Explorer\PLUGINS\System64.Sys] [N/A, N/A]
[PID: 1668][C:\Program Files\Tiny Firewall Pro\amon.exe] [Computer Associates International, Inc., 6.5.3.2]
[C:\windows\system32\wnmdl.dll] [N/A, N/A]
[C:\windows\system32\wjhbm.dll] [N/A, N/A]
[C:\windows\system32\hkbvx.dll] [N/A, N/A]
[C:\windows\system32\wuifj.dll] [N/A, N/A]
[C:\windows\system32\wiopd.dll] [N/A, N/A]
[C:\windows\system32\zlmbx.dll] [N/A, N/A]
[C:\Program Files\Internet Explorer\PLUGINS\System64.Sys] [N/A, N/A]
[PID: 1932][C:\Program Files\Opera\Opera.exe] [Opera Software, 8679]
[C:\windows\system32\wnmdl.dll] [N/A, N/A]
[C:\windows\system32\wjhbm.dll] [N/A, N/A]
[C:\windows\system32\hkbvx.dll] [N/A, N/A]
[C:\windows\system32\wuifj.dll] [N/A, N/A]
[C:\windows\system32\wiopd.dll] [N/A, N/A]
[C:\windows\system32\zlmbx.dll] [N/A, N/A]
[C:\Program Files\Internet Explorer\PLUGINS\System64.Sys] [N/A, N/A]
[PID: 1612][C:\Program Files\WinRAR\WinRAR.exe] [N/A, N/A]
[C:\windows\system32\wnmdl.dll] [N/A, N/A]
[C:\windows\system32\wjhbm.dll] [N/A, N/A]
[C:\windows\system32\wuifj.dll] [N/A, N/A]
[C:\windows\system32\hkbvx.dll] [N/A, N/A]
[C:\windows\system32\wiopd.dll] [N/A, N/A]
[C:\windows\system32\zlmbx.dll] [N/A, N/A]
[C:\Program Files\Internet Explorer\PLUGINS\System64.Sys] [N/A, N/A]
[PID: 1876][C:\Program Files\Tiny Firewall Pro\cfgtool.exe] [Computer Associates International, Inc., 6.0.0.52]
[C:\Program Files\Internet Explorer\PLUGINS\System64.Sys] [N/A, N/A]
[C:\windows\system32\zlmbx.dll] [N/A, N/A]
[C:\windows\system32\wiopd.dll] [N/A, N/A]
[C:\windows\system32\wuifj.dll] [N/A, N/A]
[C:\windows\system32\hkbvx.dll] [N/A, N/A]
[C:\windows\system32\wjhbm.dll] [N/A, N/A]
[C:\windows\system32\wnmdl.dll] [N/A, N/A]
[PID: 2256][C:\windows\system32\conime.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\windows\system32\windhcp.ocx] [N/A, N/A]
[C:\Program Files\Internet Explorer\PLUGINS\System64.Sys] [N/A, N/A]
[C:\windows\system32\zlmbx.dll] [N/A, N/A]
[C:\windows\system32\wiopd.dll] [N/A, N/A]
[C:\windows\system32\wuifj.dll] [N/A, N/A]
[C:\windows\system32\hkbvx.dll] [N/A, N/A]
[C:\windows\system32\wjhbm.dll] [N/A, N/A]
[C:\windows\system32\wnmdl.dll] [N/A, N/A]
[PID: 2584][C:\windows\system32\NOTEPAD.EXE] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\windows\system32\windhcp.ocx] [N/A, N/A]
[C:\Program Files\Internet Explorer\PLUGINS\System64.Sys] [N/A, N/A]
[C:\windows\system32\zlmbx.dll] [N/A, N/A]
[C:\windows\system32\wiopd.dll] [N/A, N/A]
[C:\windows\system32\wuifj.dll] [N/A, N/A]
[C:\windows\system32\hkbvx.dll] [N/A, N/A]
[C:\windows\system32\wjhbm.dll] [N/A, N/A]
[C:\windows\system32\wnmdl.dll] [N/A, N/A]
[PID: 2264][C:\Program Files\Tiny Firewall Pro\tralogan.exe] [Computer Associates International, Inc., 6.0.0.17]
[C:\windows\system32\windhcp.ocx] [N/A, N/A]
[C:\Program Files\Internet Explorer\PLUGINS\System64.Sys] [N/A, N/A]
[C:\windows\system32\zlmbx.dll] [N/A, N/A]
[C:\windows\system32\wiopd.dll] [N/A, N/A]
[C:\windows\system32\wuifj.dll] [N/A, N/A]
[C:\windows\system32\hkbvx.dll] [N/A, N/A]
[C:\windows\system32\wjhbm.dll] [N/A, N/A]
[C:\windows\system32\wnmdl.dll] [N/A, N/A]
[PID: 3568][C:\windows\system32\cmd.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\windows\system32\windhcp.ocx] [N/A, N/A]
[PID: 3808][C:\Program Files\SREng2\S.EXE] [Smallfrogs Studio, 2.3.13.690]
[C:\windows\system32\windhcp.ocx] [N/A, N/A]
[C:\Program Files\Internet Explorer\PLUGINS\System64.Sys] [N/A, N/A]
[C:\windows\system32\zlmbx.dll] [N/A, N/A]
[C:\windows\system32\wiopd.dll] [N/A, N/A]
[C:\windows\system32\wuifj.dll] [N/A, N/A]
[C:\windows\system32\hkbvx.dll] [N/A, N/A]
[C:\windows\system32\wjhbm.dll] [N/A, N/A]
[C:\windows\system32\wnmdl.dll] [N/A, N/A]
baohe - 2007-6-26 15:39:00
| 引用: |
【FCOME的贴子】猫叔运行后没有这个启动项目吗?
……………… |
没有那个启动项目
不一样的黑客 - 2007-6-26 15:42:00
想问猫叔 你这些病毒样本是什么地方找来的啊?
FCOME - 2007-6-26 15:43:00
| 引用: |
【baohe的贴子】
没有那个启动项目
……………… |
【回复“baohe”的帖子】
可我在我的影子下运行后它加了那个启动项目,在我重启机器--按影子来说--应该没有了。可是它还是存在的!
FCOME - 2007-6-26 15:49:00
我在系统盘的临时文件下还发现了这两个东东
http://boolom.com/update.exe----那个update.exe就是我在这里下的
http://boolom.com/exec.htm
每次清空 下次重启还有。。。。
baohe - 2007-6-26 15:50:00
| 引用: |
【不一样的黑客的贴子】想问猫叔 你这些病毒样本是什么地方找来的啊?
……………… |
这个样本是11楼提供的
FCOME - 2007-6-26 16:31:00
猫叔,在tiny的文件规则中,high与low权限有什么区别呢?
比如说我在high的时候设置对某个文件的操作权限,可是同样的规则在low权限下就不能好使(前提high的已删除!)
猫叔有时间的话能否给解答一下这个问题?
谢谢!
--------------
次主题的病毒是我同学的机器上---好像是给他杀毒不干净后留下的,原来的是在每个盘符下都有个一个autorun.inf文件。它执行两个文件一个是rising.exe另外一个忘记了!猫叔有兴趣的话我吧那个rising.exe也给您?
mopery - 2007-6-26 16:37:00
样本转发给我下..
bin59420@yahoo.com.cn
mopery - 2007-6-26 16:37:00
样本转发给我下..
bin59420@yahoo.com.cn
baohe - 2007-6-26 16:38:00
| 引用: |
【FCOME的贴子】猫叔,在tiny的文件规则中,high与low权限有什么区别呢?
比如说我在high的时候设置对某个文件的操作权限,可是同样的规则在low权限下就不能好使(前提high的已删除!)
猫叔有时间的话能否给解答一下这个问题?
谢谢!
--------------
次主题的病毒是我同学的机器上---好像是给他杀毒不干净后留下的,原来的是在每个盘符下都有个一个autorun.inf文件。它执行两个文件一个是rising.exe另外一个忘记了!猫叔有兴趣的话我吧那个rising.exe也给您?
……………… |
1、对于现在大多数病毒,Tiny的low规则基本无用。所以,我偏好high。
2、用high规则,可能会妨碍某些软件的正常运行。只好采取折中或妥协的办法。
3、rising.exe样本————请发过来。
baohe - 2007-6-26 16:42:00
| 引用: |
【mopery的贴子】样本转发给我下..
bin59420@yahoo.com.cn
……………… |
已转发
孤独更可靠 - 2007-6-26 16:43:00
学习了
中午睡了太晚,现在才看到``~~
^_^
baohe - 2007-6-26 16:50:00
| 引用: |
【FCOME的贴子】我在系统盘的临时文件下还发现了这两个东东
http://boolom.com/update.exe----那个update.exe就是我在这里下的
http://boolom.com/exec.htm
每次清空 下次重启还有。。。。
……………… |
衰呀————你!!
非常伟大88 - 2007-6-26 17:02:00
我单位的电脑跟 楼主测试的结果90%以上相似, 局网内所有机器都这样, 看上去好象杀干净了, 瑞星从不能启动,后来也杀了不少,不过很快又回潮,
[C:\Program Files\Internet Explorer\PLUGINS\System64.Sys] [N/A, N/A]
[C:\windows\system32\zlmbx.dll] [N/A, N/A]
[C:\windows\system32\wiopd.dll] [N/A, N/A]
[C:\windows\system32\wuifj.dll] [N/A, N/A]
[C:\windows\system32\hkbvx.dll] [N/A, N/A]
[C:\windows\system32\wjhbm.dll] [N/A, N/A]
[C:\windows\system32\wnmdl.dll] [N/A, N/A]
这些都很眼熟,
希望老大能做一个专杀工具出来, 是否可以满足广大被病毒烦恼的弟兄门呢? 或者反馈到瑞星部门,将瑞星弄的更强大些, 可以铲除这些病毒群。
mopery - 2007-6-26 17:07:00
时间改成 1981-01-12
下载
http://boolom.com/****/bt1.exe
http://boolom.com/****/bt2.exe
http://boolom.com/****/bt3.exe
http://boolom.com/****/bt4.exe
http://boolom.com/****/bt5.exe
http://boolom.com/****/bt6.exe
http://boolom.com/****/bt7.exe
http://boolom.com/****/bt8.exe
http://boolom.com/****/bt9.exe
http://boolom.com/****/bta.exe
http://boolom.com/****/btb.exe
http://boolom.com/****/btc.exe
http://boolom.com/****/btd.exe
http://boolom.com/****/bte.exe
http://boolom.com/****/btf.exe
http://boolom.com/****/btg.exe
http://boolom.com/****/bth.exe
http://boolom.com/****/bti.exe
© 2000 - 2026 Rising Corp. Ltd.
