瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 垃圾桶图标感染型病毒查杀
mopery - 2010-8-22 13:02:00
文件名称: WI8JHN7.EXE
文件大小: 937,456 bytes
MD5: 9e3d8dcfcc5098de5e8ce956241173c5
加壳: N/A
编写语言: C++
病毒名: kaspersky: N/A
rising: N/A
duba: N/A


详细资料:


文件变化:
释放文件
C:\WINDOWS\SUGUZEFHWD.dll
C:\Program Files\HypotenuseTardy\ParchmentHypotenuse.exe
C:\Program Files\TardyGrandstand\TardyParchment.exe
C:\Documents and Settings\用户名\Local Settings\Temp\VibrantAnachronism.exe
C:\Documents and Settings\用户名\Local Settings\Temp\AluminiumObsequious.exe


注册表变动:
创建启动项
[HKCR\CLSID\{D8D2F841-C4FC-4ADE-731A-56E6D1755624}]
[HKCR\Interface\{11D9AE74-3FC1-41D6-911B-F5F503BBD8FE}]
[HKCR\TypeLib\{472A988E-2192-5F11-F0C0-ED3419BB40AB}]
[HKCR\Thunder.xunlei]
[HKCR\Thunder.xunlei.1]


创建俩个病毒服务
[HKLM\SYSTEM\CurrentControlSet\Services\KernelKernel]
指向 C:\Program Files\TardyGrandstand\TardyParchment.exe


[HKLM\SYSTEM\CurrentControlSet\Services\NebulaKernel]
指向 C:\Program Files\HypotenuseTardy\ParchmentHypotenuse.exe


修改虚拟机设置选项
[HKLM\SYSTEM\CurrentControlSet\Control\Session Manager]
"PendingFileRenameOperations"="\??\C:\DOCUME~1\用户名\LOCALS~1\Temp\VibrantAnachronism.exe"


其他行为:
搜索感染除系统盘以外的所有 .exe 文件, 在运行的 .exe 不会感染
被感染的文件全部被覆盖处理, 但是文件大小不变, 因此文件不可修复


SUGUZEFHWD.dll 插入系统进程 Explorer.exe , 但调用此进程, 病毒就会在C盘根目录释放一个随机字母+数字文件名的自身


此病毒不断运行自身已达到保护进程


后台访问下列网站(貌似都是有关汽车的)
hxxp://ocsp.verisign.com
hxxp://crl.verisign.com/tss-ca.crl
hxxp://ocsp.verisign.com
hxxp://crl.verisign.com/ThawteTimestampingCA.crl
hxxp://crl.verisign.com/pca3.crl
hxxp://CSC3-2004-crl.verisign.com/CSC3-2004.crl
hxxp://ocsp.verisign.com
hxxp://CSC3-2004-aia.verisign.com/CSC3-2004-aia.cer


解决方法:
1.
借助 xdelbox 来处理
  xdelbox: http://bbs.ikaka.com/showtopic-8442813.aspx  三楼可以下载到


打开 xdelbox 添加以下文件路径
C:\WINDOWS\SUGUZEFHWD.dll
C:\Program Files\HypotenuseTardy\ParchmentHypotenuse.exe
C:\Program Files\TardyGrandstand\TardyParchment.exe
C:\Documents and Settings\用户名\Local Settings\Temp\VibrantAnachronism.exe
C:\Documents and Settings\用户名\Local Settings\Temp\AluminiumObsequious.exe


  添加完毕,选择 立即重启执行删除. 等待系统重新启动


2.
删除与病毒相关的注册表
[HKCR\CLSID\{D8D2F841-C4FC-4ADE-731A-56E6D1755624}]
[HKCR\Interface\{11D9AE74-3FC1-41D6-911B-F5F503BBD8FE}]
[HKCR\TypeLib\{472A988E-2192-5F11-F0C0-ED3419BB40AB}]
[HKCR\Thunder.xunlei]
[HKCR\Thunder.xunlei.1]


3.
删除病毒创建的服务
[HKLM\SYSTEM\CurrentControlSet\Services\KernelKernel]
[HKLM\SYSTEM\CurrentControlSet\Services\NebulaKernel]


4.
删除C盘根目录下随机文件名的病毒文件


5.
卸载迅雷并重新安装


Note
所有被感染的 .exe 文件已无法修复, 建议全部删除之.....


用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.6 (KHTML, like Gecko) Chrome/6.0.495.0 Safari/534.6
是昔流芳 - 2010-8-22 13:03:00
强大.
awilamt - 2010-8-22 13:22:00
:kaka7: 很暴力
jks_风 - 2010-8-23 5:14:00
所有被感染的文件无法修复 建议删除之。。

这个病毒危害很大。。

LZ的行为分析学的很棒 肯定是跟猫叔学的。
夲號ヱ被ジ盜 - 2010-8-23 20:35:00
膜拜病毒作者:kaka7:
DJ在这 - 2010-9-1 18:27:00
瑞星能杀吗?:kaka2:
xqb761 - 2010-9-2 15:45:00
病毒倒不难清。。。。主要是被感染的EXE文件没了。。。。那才让人抓狂的事。。。
MyL1fe - 2010-9-2 18:07:00
o(︶︿︶)o 唉,还没感染过病毒呢!
闪电风暴 - 2010-9-5 8:40:00


引用:
原帖由 jks_风 于 2010-8-23 5:14:00 发表
所有被感染的文件无法修复 建议删除之。。

这个病毒危害很大。。

LZ的行为分析学的很棒 肯定是跟猫叔学的。





慎言之……
mopery - 2010-9-5 12:38:00


引用:
原帖由 闪电风暴 于 2010-9-5 8:40:00 发表


引用:
原帖由 jks_风 于 2010-8-23 5:14:00 发表
所有被感染的文件无法修复 建议删除之。。

这个病毒危害很大。。

LZ的行为分析学的很棒 肯定是跟猫叔学的。





慎言之……


nothing much!  long time not see .
苏苏黎以 - 2010-9-6 14:17:00
太高深了,看不懂
jks_风 - 2010-9-9 20:50:00


引用:
原帖由 mopery 于 2010-9-5 12:38:00 发表


引用:
原帖由 闪电风暴 于 2010-9-5 8:40:00 发表


引用:
原帖由 jks_风 于 2010-8-23 5:14:00 发表
所有被感染的文件无法修复 建议删除之。。

这个病毒危害很大。。

LZ的行为分析学的很棒 肯定是跟猫叔学的。





慎言之……


nothing 


呵呵 来论坛时间较短 很多地方不知道 多多指教。
破解相册 - 2010-10-7 20:24:00
楼主好强大啊
yaholo - 2010-10-22 13:56:00
该用户帖子内容已被屏蔽
mcafeesecure - 2010-11-15 11:10:00
顶一个!!  话说家里的那台电脑裸奔至今,中毒无数 都一一被搞定  可是和楼主比起来  哎 真是自愧不如啊!  学习了!!!:kaka9:  :kaka12:
1
查看完整版本: 垃圾桶图标感染型病毒查杀