瑞星卡卡安全论坛

上着上着网页,发现360安全卫士提示安装系统服务Windows_Marketplace
文件来自c:\windows\Windows_Marketplace
我立刻意识到好像是中毒了,打开了任务管理器,发现了calc.exe,iexplore.exe
是个计算器的图标,但是我没有启动计算器,又联想到某英文网站提供的漏洞信息
(微软尚未提供补丁),中毒了!!
我立刻打开了冰刃,重命名.com,好在程序还能运行,点了下系统检查,系统没有发现任何异常
(作者够牛B),然后点了下"监视进线程创建",发现问题了
据日志反映,应该是网页病毒通过iexplore后台下载了病毒,然后修改了calc.exe,通过此程序
漏洞,安装Windows_Marketplace服务,随后将normaliz.dll插入lsass.exe进程,保护后台下载
首先应该结束掉iexplore.exe!我通过冰刃结束了iexplore.exe,没想到自动又运行了!
对了,先通过冰刃禁止掉创建进线程,ok,calc.exe,iexplore.exe程序被顺利办掉
接下来,就是要替换掉calc.exe和其目录下的cacls.exe,这个病毒及其狡猾,如果直接删掉,
就会自动恢复,如果删掉后创建同名文件夹,则会更改为另外的文件名
只好使用批处理了
del normaliz.dll
mkdir normaliz.dll
恩,又被病毒改名了,趁病毒修改为OLD3A.tmp的时候,在禁止掉进线程创建,让它卡死
哈哈,成功搞定,用同样的方法整掉了cc1.txt(打开以后发现是些网址,估计是病毒配置代码)
calc.exe\cacls.exe
下面不知道该怎么做了
请高手指明分析,附病毒源文件\sreng日志和病毒源地址(怕病毒作者转移,部分病毒代码已经从网页缓存拷出)
现已经将带毒网址屏蔽
hxxp://v4.acode.ifocus.cn/v1/0.js
hxxp://v4.acode.ifocus.cn/v1/
hxxp://iiegf.com/10/yt11.html
hxxp://www.4fwm.com/dpmain/common.js
hxxp://iiegf.com/10/index.htm
hxxp://www.asp-htm.cn/cs.js

没用杀毒软件杀,可能是还有病毒,关闭与网页相关的程序的时候提示错误不能为read请高手分析

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; http://bsalsa.com) ; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022; GreenBrowser)

附件: bingdu.zip

现在已经将带毒网址hosts
根据右下角图表显示,应该是还有病毒
但是下载不下来了,请高手分析残余信息
已经将病毒信息提交瑞星病毒处理中心,该死的病毒作者,快去死吧!

将以下文件删除：
    [C:\WINDOWS\system\WBX3245.dll]  [N/A, ]
    [C:\WINDOWS\system\WMW3245.dll]  [N/A, ]
    [C:\WINDOWS\system\WMSYS32.dll]  [N/A, ]
  [C:\WINDOWS\system32\Normaliz.dll]  [N/A, ] (替换正常文件）

将以下启动项删除
[Windows_Marketplace / Windows_Marketplace][Stopped/Disabled]
  <C:\WINDOWS\Windows_Marketplace><N/A>
不认得
C:\WINDOWS\system32\tsd32.dll]
现在我要在虚拟机上试试

Rising

21.10.62.00

2009.01.04

Backdoor.Win32.ShangXing.tw

恶意软件：
VirTool:Win32/DelfInject.gen!L

谢谢楼上的大哥!我用瑞星查下,Backdoor.Win32.ShangXing.tw好像是上兴远程控制

下载附件里的360粉碎器，复制以下文件路径，运行附件工具，点击“导入文件列表”，选择粘贴文件列表，再点全选和阻止文件再生，再点粉碎文件。

C:\WINDOWS\system\WBX3245.dll
C:\WINDOWS\system\WMW3245.dll
C:\WINDOWS\system\WMSYS32.dll


之后用附件里的internat.rar解压到C:\WINDOWS\SYSTEM\dllcache和C:\WINDOWS\System32下。

使用SREng修复下面各项：

启动项目 －－ 注册表之如下项删除：
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <Internat.exe><Internat.exe>  [Microsoft Corporation]


附件: 360filekiller.zip

附件: internat.rar

C:\WINDOWS\system32\Normaliz.dll
C:\WINDOWS\system32\tsd32.dll
均为XP SP3系统文件。

分析结果


刚运行



文件含有ARP攻击内容

文件彻底分析

过了会竟然变成了系统进程！！！

上传的calc.exe 和cacls.exe都没问题。估计是在内存中修改calc.exe。

hxxp://iiegf.com/10/index.htm
hxxp://www.weweif.com/10/Mete.exe

您所上报的文件已经收集，有结果会给您回复。

8897603是我另外一个ID,
昨天我把病毒样本上传,遭到打击报复了
又拿我的机器做实验了,郁闷死了,最新的木马群样本
居然只有4个杀软报毒!!!
a-squared 4.0.0.73 2009.01.06 -
AhnLab-V3 2009.1.6.3 2009.01.07 -
AntiVir 7.9.0.45 2009.01.06 TR/Downloader.Gen
Authentium 5.1.0.4 2009.01.06 -
Avast 4.8.1281.0 2009.01.06 Win32:Agent-ACUA
AVG 8.0.0.199 2009.01.06 -
BitDefender 7.2 2009.01.07 -
CAT-QuickHeal 10.00 2009.01.06 -
ClamAV 0.94.1 2009.01.06 -
Comodo 884 2009.01.06 -
DrWeb 4.44.0.09170 2009.01.07 -
eTrust-Vet 31.6.6294 2009.01.06 -
Ewido 4.0 2008.12.31 -
F-Prot 4.4.4.56 2009.01.06 -
F-Secure 8.0.14470.0 2009.01.07 -
Fortinet 3.117.0.0 2009.01.06 -
GData 19 2009.01.07 Win32:Agent-ACUA 
Ikarus T3.1.1.45.0 2009.01.06 -
K7AntiVirus 7.10.578 2009.01.06 -
Kaspersky 7.0.0.125 2009.01.07 -
McAfee 5486 2009.01.05 -
McAfee+Artemis 5487 2009.01.06 -
Microsoft 1.4205 2009.01.07 -
NOD32 3744 2009.01.06 a variant of Win32/Agent.NAK
Norman 5.80.02 2009.01.06 -
Panda 9.0.0.4 2009.01.06 -
PCTools 4.4.2.0 2009.01.06 -
Prevx1 V2 2009.01.07 -
Rising 21.11.12.00 2009.01.06 -
SecureWeb-Gateway 6.7.6 2009.01.06 Trojan.Downloader.Gen
Sophos 4.37.0 2009.01.07 -
Sunbelt 3.2.1809.2 2008.12.22 -
Symantec 10 2009.01.07 W32.Pavsee.A
TheHacker 6.3.1.4.210 2009.01.07 -
TrendMicro 8.700.0.1004 2009.01.06 -
VBA32 3.12.8.10 2009.01.06 -
ViRobot 2009.1.6.1546 2009.01.06 -
VirusBuster 4.5.11.0 2009.01.06 -