瑞星卡卡安全论坛

此样本来自剑盟。名为readme.chm，大小为27.9K; MD5值：f6beb11d6123cf5f51fc316996c92762。
此readme.chm运行后调用系统程序C:\windows\system32\mshta.exe（图1），然后完成下列动作：
1、在C:\windows\Downloaded Program Files\目录释放exe.exe和tmp.bat。exe.exe和tmp.bat运行后即刻删除自身。
2、在c:\windows\system32\目录下释放wuauclt1.dll(正常情况下，system32目录下根本就没有wuauclt1.dll这么个文件)。
3、wuauclt1.dll插入svchost.exe进程运行。此被插svchost.exe是PID号最小的那个；被插svchost.exe通过80端口访问 210.66.36.61（中国，台湾）。

看看C:\WINDOWS\Downloaded Program Files目录，可发现异常（图2）。

查看一下windows目录下的setupapi.log，可见如下内容：

[2008/06/29 11:05:53 3220.1]
#-198 处理的命令行: "C:\windows\system32\mshta.exe" mk:@MSITStore:C:\DOCUME~1\baohelin\LOCALS~1\Temp\Rar$DI00.234\readme.chm::/chmin-boop.html
#-024 正在将文件 "C:\Documents and Settings\baohelin\Local Settings\Temporary Internet Files\Content.IE5\ZABMZH74\exe[1].exe" 复制到 "C:\windows\Downloaded Program Files\exe.exe"。
#E361 一个未经过签署或签署不正确的文件 "C:\Documents and Settings\baohelin\Local Settings\Temporary Internet Files\Content.IE5\ZABMZH74\exe[1].exe" 将得到安装(策略=忽略)。 错误 0x800b0100: 主题中没有签名。

被wuauclt1.dll插入的svchost.exe访问网络后，任务栏出现常见的那个黄色盾牌（windows update正在下载补丁）。

这个“补丁”下载完成后，安装界面也与正常的补丁安装界面无异（图3）。只因为是假补丁，所以根本安装不成（图4）。

中此毒后，SRENG日志中，除了“正在运行的进程”部分外，见不到什么异常。

对比运行此readme.chm前后的SRENG日志“正在运行的进程”部分，可见以下差别：
运行readme.chm前：
[PID: 228 / SYSTEM][C:\windows\System32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]

运行readme.chm后：
[PID: 228 / SYSTEM][C:\windows\System32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\windows\System32\wuauclt1.dll]  [Microsoft Corporation, 5.8.0.2469]
[PID: 3392 / SYSTEM][C:\windows\system32\wuauclt.exe]  [Microsoft Corporation, 7.0.6000.381 (winmain(wmbla).070730-1740)]

假补丁安装完后，IceSword的进程列表中依然可见这个病毒的隐藏进程（图5）。
此毒不能穿透影子。我在影子下运行完此毒，重启后，上述所见统统看不到了。

用户系统信息：Opera/9.27 (Windows NT 5.1; U; zh-cn)








附件: 0005.jpg

绞尽脑汁制各种情况下的毒。

真是五花八门的。

各种病毒``别出心裁的来整这些电脑``究竟是为什么呢`?`
`哎`该死的网络`该死的病毒`:default8:

那要怎么做呢？
出现黄色盾牌，是下载还是不下载，怎么来区分？

影子是什么？

版主老大~~看完了没啊~~~求救啊~~~
中了~在线修复卡巴斯基了~~~
瑞星查不出来啊~~~~

影子系统，也就是对于所有在操作系统中运行的程序来说，这个操作系统几乎没有区别。但是重新启动之后，可以将所有在影子系统中执行的操作、创建的文件全部清除，就好像什么都没有发生过。

我有些好奇，为什么它的签名是Microsoft Corporation?
    [C:\windows\System32\wuauclt1.dll]  [Microsoft Corporation, 5.8.0.2469]

我一般都是禁用windows自动更新,不用自动更新,而是经常扫瞄漏洞,安装补丁,这样就可避免假冒.

昨晚我关机时显示WINDOWS自动更新，觉得很奇怪，在不知的情况下我竟然点击了让其更新，在关闭的蓝色背景下更新三个补丁，过了几分钟更新完成后就关机了。今天没出现什么情况，在论坛看到这篇文章，请问此病毒有什么危害和怎么去除，谢谢！

如果你的自动更新是开启的，这种情况属于正常。

哎`该死的网络`该死的病毒`

很笨，但很有效的识别方法：
禁用Update，然后用360打补丁

还是小心为好!大家注意下吧~~

呵呵
中招了:default6:  黄色盾牌天天出来
      而且他那里有一行标明 在后台下载 我还是可以做其他事情
        不过 下载进度都为零

我打开电脑的时候，在windows 任务管理器的进程中就有wuauclt1.dll这个进程，而且我的电脑整天都在下载更新，而且经常死机，是不是我的电脑也中了这个病毒了？请高手赐教。

怎么查杀？？？

如果  界面 做的 再  细致 逼真 一点，  真的 很那区分啊

毒啊毒，你们是想好玩吗。。。
顶

该用户帖子内容已被屏蔽

多谢提醒！

看了你们发表的论文，我感触颇深！哎！在现代的社会里，互联网依然成为我们人类生活必 不可少的，但同时网络中千奇百怪的病毒。蠕虫。木马。。。。也让我们这些不太懂电脑的网民们大伤脑筋，不过你们可以把解决的方法发表出来，多多少少也解决了我们遇到的一些问题！
:default7: 谢谢！

领教了
顶一下

我的也有这样的情况不知道怎么解决:default1: :default1:

这些做病毒的人要是改行做杀毒的
肯定是人才.

老大 帮忙啊 中招了 怎么处理:default21: :default21: :default21: :default21:

:default1: :default1: 中招时会显示什么啊:default87: :default87: :default87: :default87: :default87:

我是一个菜鸟啊
能不能说的更简单更通俗易懂一点啊
我都看不懂啊
:default2: :default2:

:kaka18: :kaka18: 那怎么把这个毒杀掉啊？？楼主教下我们啊？？

我一般出现黄伞后都再去Microsoft  Update官网下的。

哈哈·我现在只用了一个卡卡，杀软一个没要·开机内存只使用了140M左右，进程只有25个~没有你们说的那个wuauclt1的进程·
注：我的老机子用的是xp2，配置如下：
u：p41.5（以前是1.7，上次超频烧了u，换了个1.5:default6: ）
主板：msi-6575
内存：256*2  DRR的·333
显卡：sis 315 64M的
硬盘：40G  5400r的
光驱是CD-ROM
显示器是17”CRT
呵呵·好机子吧·