自动安装金山毒霸、风行、ppstream、UUsee等软件！ bbs.ikaka.com

远山的云 - 2009-2-7 12:51:00

我电脑开机后自动安装如标题所说的这些软件，删除后又安装，烦死了，并且有C:\Downloads\update_client_19970.exe ，D盘下出现个windows.exe和msvp.exe，请高手指点。

用户系统信息：Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.0.6) Gecko/2009011913 Firefox/3.0.6

附件: SREngLOG.log

超级游戏迷 - 2009-2-7 12:59:00

请用WINRAR将C:\Downloads\update_client_19970.exe ，D:\windows.exe、D:\msvp.exe分别压缩，上传三个压缩包。

backway - 2009-2-7 13:00:00

你只有试下把C:\DOWNLOADS\UPDATE_CLIENT_19970.EXE]和D盘下出现个windows.exe和msvp.exe删除了试下。用附件里的工具删除。里面有操作方法。

附件: 费尔删除文件工具.rar

超级游戏迷 - 2009-2-7 13:01:00

你的高强度加密大师的安装包还在么？建议用瑞星扫描一下，怀疑被捆绑了东西……:default24:

backway - 2009-2-7 13:05:00

你看嘛，这里http://bbs.ikaka.com/showtopic-8594498.aspx也自动安装，什么状况呢？:default5:

远山的云 - 2009-2-7 13:06:00

用卡卡分析进程，里面有update_client_19970.exe，但是在c:\Downloads是空的，只有在卡卡里结束进程，这个文件才出现在文件夹里，另外d:\windows.exe和d:\msvp.exe也一样，现在找不到了

附件: update_client_19970.rar

backway - 2009-2-7 13:08:00

用附件里的工具,在里面的文件里查找，找到复制出来上传。

附件: XueTr0[1].18.zip

天月来了 - 2009-2-7 13:12:00

干掉它，继续观察看看

如果还出现，需要观察什么软件运行后还出现它。

超级游戏迷 - 2009-2-7 13:17:00

怀疑附件有流氓行为，已上报“可疑文件交流区”鉴定。

超级游戏迷 - 2009-2-7 13:20:00

引用:

原帖由 backway 于 2009-2-7 13:05:00 发表
你看嘛，这里http://bbs.ikaka.com/showtopic-8594498.aspx也自动安装，什么状况呢？:default5:

那个问题比较让人疑惑，日志看了基本正常，比较晕……:default21:

远山的云 - 2009-2-7 13:23:00

我用3楼给的软件试了下，进程项中没了，再重启看看

天月来了 - 2009-2-7 13:42:00

你没注意吧？？？

那日志显示

进程里C:\Downloads\tmp_48044.exe运行着呢

超级游戏迷 - 2009-2-7 13:46:00

引用:

原帖由 天月来了 于 2009-2-7 13:42:00 发表
你没注意吧？？？

那日志显示

进程里C:\Downloads\tmp_48044.exe运行着呢

看到了，但这个文件怎么进入计算机的是重点。

我怀疑可能是一个DLL文件调用IE自动下载安装程序，然后关联一个批处理文件调用安装程序自动安装……:default24:

不过看了日志后，没有发现类似的东西，很郁闷……:default21:

aryda - 2009-2-7 14:05:00

晕..第一次见微软的假签名项..绝对不正常了..
PID: 5396][C:\Downloads\update_client_19970.exe] [Microsoft Corporation, 1, 0, 1, 690]

ps:怎么感觉发贴像打架一样..压力太大了..

天月来了 - 2009-2-7 14:11:00

很可能

但是也可能是利用他系统内什么下载器的漏洞自动下载的

byxxdrls - 2009-2-7 14:44:00

看看这个程序会安装什么：

00014B3C 00415D3C 0 Programs
00014B48 00415D48 0 %s\%s\%s.lnk
00014B70 00415D70 0 Desktop
00014B78 00415D78 0 %s\%s.lnk

File pos Mem pos ID Text
======== ======= == ====

00014B98 00415D98 0 %s\bin\
00014BA0 00415DA0 0 QQ2009
00014BCC 00415DCC 0 Serv-U/IE
00014BE0 00415DE0 0 C:\Program Files\Internet Explorer\
00014C14 00415E14 0 %s\start\
00014C88 00415E88 0 %.X%.X
00014C90 00415E90 0 CLIENT
00014C98 00415E98 0 Windows.exe
00014CA4 00415EA4 0 D:\%s
00014CAC 00415EAC 0 www.woxask.cn
00014CBC 00415EBC 0 C:\Downloads
00014CCC 00415ECC 0 C:\Downloads\tmp_%d.exe
00014CE4 00415EE4 0 C:/boot.dat
00014D3C 00415F3C 0 C:/TDownland/ms_avp_update.exe
00014D6C 00415F6C 0 Button
00014D74 00415F74 0 update
00014D88 00415F88 0 .......
00014D90 00415F90 0 winlogin_ok
00014D9C 00415F9C 0 xp_avp_guard
00014DAC 00415FAC 0 Run Command
00014DB8 00415FB8 0 bad allocation
00014DC8 00415FC8 0 Install
00014DD8 00415FD8 0 C:\Program Files\Funshion Online\Funshion\Funshion.exe
00014E10 00416010 0 %sDocuments and Settings
00014E4C 0041604C 0 %s\%s\
00014EA4 004160A4 0 UUSee
00014ED0 004160D0 0 UUSee
00014EF0 004160F0 0 2009.lnk
00014F04 00416104 0 2009.lnk
00014F18 00416118 0 2009.lnk
00014F30 00416130 0 2009.lnk
00014F40 00416140 0 %s\%s\Application Data\Microsoft\Internet Explorer\Quick Launch\%s
00014F8C 0041618C 0 2009.lnk
00014FA4 004161A4 0 C://Program Files/KWMUSIC/KwMusic.exe
00014FD0 004161D0 0 http://play.koowo.com/play/st/Play?srid=MUSIC_377425&mrid=MV_63949&ssig1=2495529862&ssig2=597970983&t=s&n=
00015058 00416258 0 http://play.koowo.com/play/st/Play?srid=MUSIC_121182&mrid=MV_72633&ssig1=4072298341&ssig2=2271078239&t=s&n=
000150CB 004162CB 0 &r=Carpenters(
000150F2 004162F2 0 2007 Beta 6
00015100 00416300 0 C://Zcom/E-Space.exe
00015118 00416318 0 UUSEE
00015128 00416328 0 C://Program Files/uusee/UUSeePlayer.exe
00015150 00416350 0 UUSee
00015170 00416370 0 C://Program Files/PPLiveVA/PPLiveVA.exe
000151A8 004163A8 0 C://Program Files/Kingsoft/Kingsoft Internet Security/kpfw32.exe
000151F8 004163F8 0 C://Program Files/PPStream/PPStream.exe
00015220 00416420 0 pps://3ogxoeoqeb3qcyby2aqa.pps/
00015247 00416447 0 .rmvb
00015250 00416450 0 pps://o4awai6qedndyisp2aqa.pps/
00015286 00416486 0 .rmvb
0001529C 0041649C 0 C://Program Files/Funshion Online/Funshion/Funshion.exe
000152D8 004164D8 0 fsp://7cf1d3ab9745f0f0d8ff939d7991d96a40b83a60|auto=4|c=shy,-,-|m=63824|torrent=http://www.btstream.org/torrents/2008-03-07/5372255_1204858804_213.torrent
00015378 00416578 0 fsp://17c998372828b8f7aef37e6521d0956431efae18|auto=4|c=shy,-,-|m=35137|torrent=http://www.btstream.org/torrents/2008-06-27/4629932_1214550164_898.torrent
00015414 00416614 0 InitConfigFile
00015424 00416624 0 C:\boot.dat
00015438 00416638 0 Init Over
00015444 00416644 0 C:\\boot.dat
00015470 00416670 0 Funshion
0001547C 0041667C 0 Kill Process!
0001548C 0041668C 0 Down Soft Ready
0001549C 0041669C 0 Setup Soft Ready

File pos Mem pos ID Text
======== ======= == ====

000154C0 004166C0 0 Zcom
000154CF 004166CF 0 2008 Bata6
000154E0 004166E0 0 UUSee
000154EE 004166EE 0 2008
000154FC 004166FC 0 (0.2.17.0077)(
00015520 00416720 0 2009
00015530 00416730 0 PPS v2.6.85.7020 Final
00015550 00416750 0 Funshion 1.5.1.10 Beta
00015570 00416770 0 Setup Soft Finished

超级游戏迷 - 2009-2-7 14:53:00

引用:

00014DC8 00415FC8 0 Install
00014DD8 00415FD8 0 C:\Program Files\Funshion Online\Funshion\Funshion.exe
00014E10 00416010 0 %sDocuments and Settings
00014E4C 0041604C 0 %s\%s\
00014EA4 004160A4 0 UUSee
00014ED0 004160D0 0 UUSee

00014FA4 004161A4 0 C://Program Files/KWMUSIC/KwMusic.exe
…………………………
00015118 00416318 0 UUSEE
00015128 00416328 0 C://Program Files/uusee/UUSeePlayer.exe
00015150 00416350 0 UUSee
00015170 00416370 0 C://Program Files/PPLiveVA/PPLiveVA.exe
000151A8 004163A8 0 C://Program Files/Kingsoft/Kingsoft Internet Security/kpfw32.exe
000151F8 004163F8 0 C://Program Files/PPStream/PPStream.exe

不懂代码，不过勉强看懂一点：貌似程序运行会自动安装酷我音乐盒、金山网镖、PPLIVE、PPSTREAM、UUSEE等应用程序（C:\Program Files\Funshion Online\Funshion\Funshion.exe是啥不清楚）。

问题是这个C:\Downloads\tmp_48044.exe文件怎么到计算机里的？楼上可否指点一二？

难道跟 Windows.exe这个病毒后台连接www.woxask.cn下载安装相关应用程序有关？

byxxdrls - 2009-2-7 14:57:00

和你一样，也只能猜猜那些代码:default6:
实机运行了一下，发现IE快捷方式被改了，指向IEXPLOER.EXE，而不是IEXPLORE.EXE。

baohe - 2009-2-7 14:59:00

引用:

原帖由 byxxdrls 于 2009-2-7 14:57:00 发表
IE被替换了。

说到点子上了:default6:

不过，貌似不是替换掉正常的IE，而是玩儿“狸猫换太子”的把戏。

但有一个问题不解：下面图中红框标出的目录及文件找不到（用IceSword也看不到），但Tiny的活动日志确实提示此目录及文件创建了。

超级游戏迷 - 2009-2-7 15:02:00

引用:

原帖由 byxxdrls 于 2009-2-7 14:57:00 发表
和你一样，也只能猜猜那些代码:default6:
实机运行了一下，发现IE快捷方式被改了，指向IEXPLOER.EXE，而不是IEXPLORE.EXE。

00014BE0 00415DE0 0 C:\Program Files\Internet Explorer\
00014C14 00415E14 0 %s\start\
…………………………………………
00014F40 00416140 0 %s\%s\Application Data\Microsoft\Internet Explorer\Quick Launch\%s
00014F8C 0041618C 0 2009.lnk

IE主进程被篡改了快捷方式么？:default27:

随缘92WJC - 2009-2-7 15:03:00

引用:

原帖由 baohe 于 2009-2-7 14:59:00 发表

引用:

原帖由 byxxdrls 于 2009-2-7 14:57:00 发表
IE被替换了。

说到点子上了:default6:

没有被替换，刚测试下发现桌面确实有IE的快捷方式，目标也是正常ie的目标，但进入IE文件夹，该病毒另外生成了一个文件名为iexplore.exe ，也就是说有两个同名文件，桌面上的快捷方式一个是真的一个是假的，如果打开假的话，病毒会从网络下载后门程序

byxxdrls - 2009-2-7 15:05:00

我的帖子已更正，不是替换，俩文件名字的最后两个字母顺序不同。:default3:

天月来了 - 2009-2-7 15:06:00

两个求助的都有这个存在

超级游戏迷 - 2009-2-7 15:06:00

引用:

原帖由 byxxdrls 于 2009-2-7 14:57:00 发表
和你一样，也只能猜猜那些代码:default6:
实机运行了一下，发现IE快捷方式被改了，指向IEXPLOER.EXE，而不是IEXPLORE.EXE。

突出显示了一下，别见怪哈，两个字符串排序不同哦……:default6:

byxxdrls - 2009-2-7 15:09:00

没关系:default6:

天月来了 - 2009-2-7 15:09:00

好象2007年就见过这样恶搞的:default2:

xxlifanxx - 2009-2-7 15:10:00

可能是(转的):
金山毒霸与流氓为伍?今天晚上下班前接到几例用户反馈，称其电脑莫名其妙被安装上了金山毒霸2009套装，且每次一连网半个小时后就安装好了。

搜索了一下论坛的相关反馈如下：
http://bbs.duba.net/thread-22019140-1-6.html
金山客服中心紧急联系到了一位有相关现象咨询的用户，并提取了样本。

样本捆绑在该用户下载的暴风影音的安装文件中，该安装包实际上是一个自解压包。里面有未修改过的暴风影音安装包与病毒运行脚本，脚本会在运行暴风影音安装包的同时执行病毒文件。如图所示自解压包中含有病毒体文件svchost.exe（非系统文件）：

关于该病毒的简略概述：
1.该病毒会检测是否在安装了QQ，如没装的话将终止运行。
2.将病毒体QQ.exe复制到QQ2009目录并设置为隐藏。如复制失败的话，会复制到之前版本的QQ目录下。
此文件毒霸报毒为：Win32.Hack.Agent.155136
3.下载安装金山毒霸2009、酷我音乐盒、UUsee网络电视、PPlive、飞信等软件。如图所示：

小结：
软件安装包程序建议从各个厂商官方网站下载，并确认是否含有数字签名。如没有数字签名的安装程序，建议校验程序发布者提供的Hash值。

超级游戏迷 - 2009-2-7 15:11:00

哈，感谢楼上提供信息……:default71:

baohe - 2009-2-7 15:16:00

系统根目录下的这个boot.dat

天月来了 - 2009-2-7 15:18:00

也是它的？？？

瑞星卡卡安全论坛