瑞星卡卡安全论坛

最近发现这个病毒的求助者增多，看了一下，其实此病毒就是前些日子流行的木马下载器rising.exe的变种，改个名字而已，手法相同。

File: auto.exe
Size: 20139 bytes
MD5: C8C1710C47B42258023F620D0C047F36
SHA1: 79462300E3B85583FC87CBB56936719B6CC0616E
CRC32: 0F6AC47C

病毒运行后 检测是否装有卡巴斯基软件
如果装有卡巴斯基软件 则将系统日期修改为2005年1月18日

在系统文件夹下创建一个随机8位数字和字母组合而成的exe并且注册成随机8位数字和字母组合而成的服务
同时释放一个随机8位数的dll
控制winlogon把那个随机8位数的dll 插入几乎所有进程

遍历所有分区 在根目录下生成auto.exe和autorun.inf

作者在病毒里留下了自己的QQ号

连接网络60.191.135.155:80 下载木马
首先读取http://xxxxx.com/cnzz//update.txt 的下载配置文件
然后根据里面的内容下载木kxxxxxxxxxxx.exe到系统文件夹
并下载http://xxxxx.com/cnzz/soft/cnzz.exe更新自身

具体木马下载的过程略
木马植入成功后

sreng日志如下
启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <Shell><"C:\WINDOWS\system32\Rundll32.exe" "C:\WINDOWS\system32
\shell32.dll",Control_RunDLL "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dat9.tmp">  [N/A]
    <Shell.exe><C:\WINDOWS\system32\Shell.exe>  []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <upxdnd><C:\WINDOWS\upxdnd.exe>  []
    <mppds><C:\WINDOWS\mppds.exe>  []
    <TIMHost><C:\WINDOWS\TIMHost.exe>  []
    <AVPSrv><C:\WINDOWS\AVPSrv.exe>  []
    <Microsoft Autorun1><C:\WINDOWS\system32\nwizdh.exe>  []
    <Microsoft Autorun9><C:\WINDOWS\system32\Ravasktao.exe>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{E25C29AB-12B9-4523-A53C-324B5FBA648C}><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dat9.tmp> 
    <{13BB17A1-1B9D-1F83-235F-27552B3B2F17}><C:\WINDOWS\system32\k118335740863qso.dll>  []
    <{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}><C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys>  []
<Microsoft Autorun5><C:\WINDOWS\system32\mosou.exe> []
<Microsoft Autorun7><C:\WINDOWS\system32\nwizqjsj.exe> []
<Microsoft Autorun1><C:\WINDOWS\system32\nwizdh.exe> []
<TIMHost><C:\WINDOWS\TIMHost.exe> []
<WinForm><C:\WINDOWS\WinForm.exe> []
<MsIMMs32><C:\WINDOWS\MsIMMs32.exe> []
<Microsoft Autorun11><C:\WINDOWS\system32\nwizwlwzs.exe> []
<cmdbcs><C:\WINDOWS\cmdbcs.exe> []
<upxdnd><C:\WINDOWS\upxdnd.exe> []
<Kvsc3><C:\WINDOWS\Kvsc3.exe> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{81716107-A10D-11cf-64CD-11115FE1CF41}]
<N/A><C:\WINDOWS\system32\nwizzhuxians.exe> []

服务

3FC3578B / 3FC3578B（随机名称）
E539E00C / E539E00C（随机名称）
Win32 Debug Service / MSDebugsvc
Remote Debug Service / RemoteDbg
Win32 Display Driver / Win32DDS
Wireless Service / WZCSRVC

进程
[PID: 1456][C:\WINDOWS\Explorer.EXE]  [Microsoft Corporation, 6.00.2900.2180

(xpsp_sp2_rtm.040803-2158)]
    [C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dat9.tmp]  [N/A, ]
    [C:\WINDOWS\system32\k118335740863qso.dll]  [N/A, ]
    [C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys]  [N/A, ]
    [C:\WINDOWS\system32\upxdnd.dll]  [N/A, ]
    [C:\WINDOWS\system32\AVPSrv.dll]  [N/A, ]
    [C:\WINDOWS\system32\107E7AF5.DLL]  [Microsoft Corporation, ]
    [C:\WINDOWS\system32\F7F735F8.DLL]  [Microsoft Corporation, ]
    [C:\WINDOWS\system32\TIMHost.dll]  [N/A, ]
    [C:\WINDOWS\system32\dh2104.dll]  [N/A, ]
    [C:\WINDOWS\system32\Ravasktao.dll]  [N/A, ]
    [C:\WINDOWS\system32\uihfev.dll]  [N/A, ]
其中C:\WINDOWS\system32\Shell.exe为 感染下载者

解决办法：

如果时间被改首先把日期改回来
打开sreng
启动项目  注册表 删除如下项目 (有哪个删哪个）
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <Shell><"C:\WINDOWS\system32\Rundll32.exe" "C:\WINDOWS\system32
\shell32.dll",Control_RunDLL "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dat9.tmp">  [N/A]
    <Shell.exe><C:\WINDOWS\system32\Shell.exe>  []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <upxdnd><C:\WINDOWS\upxdnd.exe>  []
    <mppds><C:\WINDOWS\mppds.exe>  []
    <TIMHost><C:\WINDOWS\TIMHost.exe>  []
    <AVPSrv><C:\WINDOWS\AVPSrv.exe>  []
    <Microsoft Autorun1><C:\WINDOWS\system32\nwizdh.exe>  []
    <Microsoft Autorun9><C:\WINDOWS\system32\Ravasktao.exe>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{E25C29AB-12B9-4523-A53C-324B5FBA648C}><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dat9.tmp> 
    <{13BB17A1-1B9D-1F83-235F-27552B3B2F17}><C:\WINDOWS\system32\k118335740863qso.dll>  []
    <{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}><C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys>  []
<Microsoft Autorun5><C:\WINDOWS\system32\mosou.exe> []
<Microsoft Autorun7><C:\WINDOWS\system32\nwizqjsj.exe> []
<Microsoft Autorun1><C:\WINDOWS\system32\nwizdh.exe> []
<TIMHost><C:\WINDOWS\TIMHost.exe> []
<WinForm><C:\WINDOWS\WinForm.exe> []
<MsIMMs32><C:\WINDOWS\MsIMMs32.exe> []
<Microsoft Autorun11><C:\WINDOWS\system32\nwizwlwzs.exe> []
<cmdbcs><C:\WINDOWS\cmdbcs.exe> []
<upxdnd><C:\WINDOWS\upxdnd.exe> []
<Kvsc3><C:\WINDOWS\Kvsc3.exe> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{81716107-A10D-11cf-64CD-11115FE1CF41}]
<N/A><C:\WINDOWS\system32\nwizzhuxians.exe> []

“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”，
选中以下项目，点“删除服务”，再点“设置”，在弹出的框中点“否”：(有哪个删哪个）
3FC3578B / 3FC3578B（随机名称）
E539E00C / E539E00C（随机名称）
Win32 Debug Service / MSDebugsvc
Remote Debug Service / RemoteDbg
Win32 Display Driver / Win32DDS
Wireless Service / WZCSRVC
重启计算机 （以下文件有哪个删哪个）
双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作
系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定
点击 菜单栏下方的 文件夹 按钮 进入资源管理器
从资源管理器中进入C盘 删除C:\autorun.inf
C:\auto.exe
C:\pagefile.pif
C:\Program Files\Internet Explorer\Connection Wizard\icwres.ocx
C:\Program Files\Internet Explorer\Connection Wizard\isignup.dll
C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys
C:\WINDOWS\system32\107E7AF5.DLL（随机文件名）
C:\WINDOWS\system32\AC254E44.EXE（随机文件名）
C:\WINDOWS\system32\AVPSrv.dll
C:\WINDOWS\system32\B96A05C.EXE（随机文件名）
C:\WINDOWS\system32\bcawvt.dll
C:\WINDOWS\system32\chzzyi.dll
C:\WINDOWS\system32\dllhost32.exe
C:\WINDOWS\system32\eykesr.dll
C:\WINDOWS\system32\F7F735F8.DLL（随机文件名）
C:\WINDOWS\system32\gafjib.dll
C:\WINDOWS\system32\humnyb.dll
C:\WINDOWS\system32\install.exe
C:\WINDOWS\system32\kxxxxxxxxxxx.exe（随机文件名）
C:\WINDOWS\system32\k118335740863qso.dll
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\system32\msdebug.dll
C:\WINDOWS\system32\Msf3sf.sys
C:\WINDOWS\system32\nwizdh.exe
C:\WINDOWS\system32\qqcnpk.dll
C:\WINDOWS\system32\Shell.exe
C:\WINDOWS\system32\Shell.pci
C:\WINDOWS\system32\skblsj.dll
C:\WINDOWS\system32\TIMHost.dll
C:\WINDOWS\system32\unlmon.dll
C:\WINDOWS\system32\upxdnd.dll
C:\WINDOWS\system32\uzgeey.dll
C:\WINDOWS\AVPSrv.exe
C:\WINDOWS\fqpatv.exe
C:\WINDOWS\mppds.exe
C:\WINDOWS\TIMHost.exe
C:\WINDOWS\upxdnd.exe
C:\WINDOWS\system32\nwizqjsj.dll
C:\WINDOWS\system32\dh2104.dll
C:\WINDOWS\system32\MOSOU.dll
C:\WINDOWS\system32\nwizwlwzs.dll
C:\WINDOWS\system32\upxdnd.dll
C:\WINDOWS\system32\Kvsc3.dll
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\system32\msapi.dll
C:\WINDOWS\system32\k11838716714.DAT(随机名称）
C:\WINDOWS\system32\nwizzhuxians.dll
C:\WINDOWS\system32\AVPSrv.dll
C:\WINDOWS\system32\TIMHost.dll
C:\WINDOWS\system32\WinForm.dll
C:\WINDOWS\system32\MsIMMs32.dll
C:\WINDOWS\system32\cmdbcs.dll
C:\WINDOWS\system32\mosou.exe
C:\WINDOWS\system32\nwizqjsj.exe
C:\WINDOWS\system32\nwizdh.exe
C:\WINDOWS\TIMHost.exe
C:\WINDOWS\WinForm.exe
C:\WINDOWS\MsIMMs32.exe
C:\WINDOWS\system32\nwizwlwzs.exe
C:\WINDOWS\cmdbcs.exe
C:\WINDOWS\upxdnd.exe
C:\WINDOWS\Kvsc3.exe
C:\WINDOWS\system32\nwizzhuxians.exe

同理打开其他分区 删除其他分区根目录下的
autorun.inf
auto.exe
pagefile.pif

升级杀毒软件至最新版本 全盘杀毒！清理被感染的exe

7.8根据用户中毒情况更新了病毒文件名的列表


附件: 554345200772160117.jpg

附图

附件: 554345200775121710.jpg

附图

附件: 554345200775121726.jpg

现在才写出来啊..找就应该写了...支持一下.......最近太多了..

【回复“newcenturymoon”的帖子】
几天前就拿到auto.exe了。
不知什么原因，这DD不能在我系统中完整运行。
运行auto.exe后，只释放了下列文件：
C:\WINDOWS\system32\随机8位文件名.DLL
C:\WINDOWS\system32\随机8位文件名.EXE
添加了一个服务项，就完了。
什么autorun.inf、auto.exe、pagefile.pif....，鬼都没见一个。
汗！！看来我与此毒没缘分。

我前几天 第一次 运行他 下载的比这个还多 今天也不知道怎么 下载的少多了

引用:

【baohe的贴子】【回复“newcenturymoon”的帖子】 几天前就拿到auto.exe了。 不知什么原因，这DD不能在我系统中完整运行。 运行auto.exe后，只释放了下列文件： C:\WINDOWS\system32\随机8位文件名.DLL C:\WINDOWS\system32\随机8位文件名.EXE 添加了一个服务项，就完了。 什么autorun.inf、auto.exe、pagefile.pif....，鬼都没见一个。 汗！！看来我与此毒没缘分。 ………………

JM那里好像也有,一个很猛的下载器

哈哈,偶没测试``

感染exe………………

(*^__^*) 嘻嘻……前天就解决这个小坏蛋拉。。顶ing。。。

... 看了 ！

引用:

【baohe的贴子】【回复“newcenturymoon”的帖子】 几天前就拿到auto.exe了。 不知什么原因，这DD不能在我系统中完整运行。 运行auto.exe后，只释放了下列文件： C:\WINDOWS\system32\随机8位文件名.DLL C:\WINDOWS\system32\随机8位文件名.EXE 添加了一个服务项，就完了。 什么autorun.inf、auto.exe、pagefile.pif....，鬼都没见一个。 汗！！看来我与此毒没缘分。 ………………

正解..

好厉害啊，

没释放过毒

怕中招了，解不开了

还是有问题啊！
首先第一步：启动项目 注册表 删除如下项目
好几个其中提到的都没有，倒是有几个觉得可疑的但是名字不一样我给全删除了，但是有一条名字是：[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\botreg]
(WinlogonNotify: botreg)(C:\Documents and Settings\All Users\Documents\Settings\bot.dll) []
是怎么也删除不了，蓝色字体显示。
第二步“启动项目”-“服务”。。。
[3191A9D4 / 3191A9D4][Stopped/Auto Start]
(C:\WINDOWS\system32\DABE7F9C.EXE -k)(Microsoft Corporation)
[86019FD0 / 86019FD0][Stopped/Auto Start]
(C:\WINDOWS\system32\1770C5E4.EXE -p)(Microsoft Corporation)
也删除不了，重起后还有。
所以第三步双击我的电脑，工具，文件夹选项，查看。。。也就改不了，无法继续进行。
我该怎么办啊

收藏+学习………………
生成pagefile.pif文件，有点象落雪病毒的风格。

拜读感谢！！

中过,但没有这么多文件,只是多一个不能显示隐藏文件

中过,但没有这么多文件,只是多一个不能显示隐藏文件

这个病毒貌似杀不掉啊.我天天都杀怎么天天存在的?帮帮我啊~

又学习了！！

今天早上清理了一个这样的病毒～
试了试PE，很快的手动全部删除了！基本上木有使用sreng日志！

用集成的卡巴检查一下，木有问题！现在正常的说，耗时8分钟。

现在想想其实使用sreng＋PE 清除病毒十分的方便

最近论坛都有很多人中招，先在有了药方，OK啦~

看腻了!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

上星期六下午离开电脑外出有事,三个钟头后回来,见屏幕上有一个提示:系统文件已经改变,要插入什么安装盘.随手关闭了对话框以后,系统运行变得极其缓慢,于是重启.然后发现许多程序莫明其妙得出错、关闭。第二天发现系统日期变成了2099年1月1日。改正后会随着打开文件、程序什么随机再次将系统日期改为2099年1月1日。
不得已在安全策略里关闭了用户改变日期的权限。
但病毒依旧存在，并似乎企图通过tftp接收文件，以瑞星防火墙屏蔽。
我的系统是win2000，正版瑞星杀毒与防火墙，一直运行，瑞星没有任何异常，也没有报警。升级到最新版本在安全模式下全面杀毒，也没有任何发现。
就改变系统日期来看，与搂住所说相似，不知道是不是同一种病毒？

有些难度

这个病毒碰到过，不过没有释放auto.exe……
而且现在好像改名了……
昨天U盘上看到，叫pegefile.pif……

autorun.inf代码如下：
[autorun]
open=PegeFile.pif
shellexecute=PegeFile.pif
shell\Auto\command=PegeFile.pif
shell=Auto

顶啦  好长时间没来了  又有这么多变态的病毒出来了
寒

瑞星！！！你为什么干不掉它？？？？？？别那么多花花！！！一般人谁会修改什么注册表？？？瑞星必须干掉他！！！否则算什么？？？？

呵呵,前几天就在阿达博客看到了,当时没怎么注意,后来阿达提醒我看看,才发现是个下载者.....支持下吧!~

用这个方法真的很难杀啊！注册表只找到一个和上面说的一样的，其他的再往后就不会鼓捣了，能不能有个直接点的办法，这么多东西我一看就晕阿