瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » Trojan.Ransom.GM的观察及手杀方法
baohe - 2012-3-11 17:24:00
病毒样本来自卡饭。virustotal扫描结果只有BitDefender一家报毒。


一、在Windows XP 系统中的行为观察结果:

1、网络访问:可见svchost.exe进程访问网络:

通过80端口访问  187.42.94.30(巴西)
通过443端口访问  141.136.16.93(美国)

2、释放的隐藏文件:

C:\Documents and Settings\All Users\Application Data\virordimdo.dat(随机字母文件名.dat)
C:\Documents and Settings\All Users\Application Data\odmidroriv.dat(随机字母文件名.dat)
C:\335043.exe.tmp(病毒样本名.tmp)

3、释放的可见文件:
C:\Documents and Settings\当前用户名\「开始」菜单\程序\启动\ctfmon.lnk,指向:%systemroot%\system32\rundll32.exe C:\335043.exe.tmp,X50
C:\Documents and Settings\当前用户名\Cookies\OTMBWX6M.txt
C:\Documents and Settings\当前用户名\Local Settings\Application Data\Microsoft\Feeds\{5588ACFD-6436-411B-A5CE-666AE6A92D3D}~\WebSlices~\建议网站~.feed-ms
C:\Documents and Settings\当前用户名\Local Settings\Application Data\Microsoft\Feeds\{5588ACFD-6436-411B-A5CE-666AE6A92D3D}~\WebSlices~\网页快讯库~.feed-ms
C:\Documents and Settings\当前用户名\Local Settings\Application Data\Microsoft\Internet Explorer\Recovery\Active\RecoveryStore.{29E3DC89-6B4B-11E1-BE64-00016xxxA1CB7}.dat
C:\Documents and Settings\当前用户名\Local Settings\Application Data\Microsoft\Internet Explorer\Recovery\Active\{29E3DC8A-6B4B-11E1-BE64-00016xxxA1CB7}.dat
C:\Documents and Settings\当前用户名\Local Settings\Application Data\Thunder Network\Thunder\BHO\config.ini

4、进程插入情况:

335043.exe.tmp插入rundll32进程

virordimdo.dat及odmidroriv.dat插入多个系统/应用程序进程(包括winlogon.exe、explorer.exe 及 svchost.exe)

二、用XueTr的手工杀毒方法:

由于此毒乱插进程。因此,手工杀毒时就不要循规蹈矩,面面地折腾啥“终止进程”、“卸载病毒模块”神马的了。这样又傻又面的操作,弄不好会导致系统崩溃重启,一切杀毒操作得从头开始。

得直接上狠招!!

1、按下图勾选“手工杀毒配置”


2、用XueTr强制删除病毒文件:
C:\Documents and Settings\All Users\Application Data\virordimdo.dat(随机字母文件名.dat)
C:\Documents and Settings\All Users\Application Data\odmidroriv.dat(随机字母文件名.dat)
C:\335043.exe.tmp(病毒样本名.tmp)
3、在XueTr的“配置”面板中勾选“强制重启”。
4、重启后系统报错:


这是因为还没处理注册表所致。

5、删除病毒添加的服务项(见下图)


6、删除病毒文件C:\Documents and Settings\当前用户名\「开始」菜单\程序\启动\ctfmon.lnk。

然后再用啥啥卫士之类的工具打扫一下垃圾。搞掂。

用户系统信息:Opera/9.80 (Windows NT 5.1; U; Edition IBIS; zh-cn) Presto/2.10.229 Version/11.61
天月来了 - 2012-3-11 22:05:00
好久不见你试毒发贴玩了:kaka6:
云腾四海 - 2012-3-12 9:14:00
1、网络访问:可见svchost.exe进程访问网络:

通过80端口访问  187.42.94.30(巴西)
通过443端口访问  141.136.16.93(美国)

2、释放的隐藏文件:

C:\Documents and Settings\All Users\Application Data\virordimdo.dat(随机字母文件名.dat)
C:\Documents and Settings\All Users\Application Data\odmidroriv.dat(随机字母文件名.dat)
C:\335043.exe.tmp(病毒样本名.tmp)

3、释放的可见文件:
C:\Documents and Settings\当前用户名\「开始」菜单\程序\启动\ctfmon.lnk,指向:%systemroot%\system32\rundll32.exe C:\335043.exe.tmp,X50
C:\Documents and Settings\当前用户名\Cookies\OTMBWX6M.txt
C:\Documents and Settings\当前用户名\Local Settings\Application Data\Microsoft\Feeds\{5588ACFD-6436-411B-A5CE-666AE6A92D3D}~\WebSlices~\建议网站~.feed-ms
C:\Documents and Settings\当前用户名\Local Settings\Application Data\Microsoft\Feeds\{5588ACFD-6436-411B-A5CE-666AE6A92D3D}~\WebSlices~\网页快讯库~.feed-ms
C:\Documents and Settings\当前用户名\Local Settings\Application Data\Microsoft\Internet Explorer\Recovery\Active\RecoveryStore.{29E3DC89-6B4B-11E1-BE64-00016xxxA1CB7}.dat
C:\Documents and Settings\当前用户名\Local Settings\Application Data\Microsoft\Internet Explorer\Recovery\Active\{29E3DC8A-6B4B-11E1-BE64-00016xxxA1CB7}.dat
C:\Documents and Settings\当前用户名\Local Settings\Application Data\Thunder Network\Thunder\BHO\config.ini

4、进程插入情况:

335043.exe.tmp插入rundll32进程

virordimdo.dat及odmidroriv.dat插入多个系统/应用程序进程(包括winlogon.exe、explorer.exe 及 svchost.exe)


这些是 怎么 看出来 呢?
networkedition - 2012-3-12 9:20:00
猫叔提供一下病毒样本吧:kaka12:
baohe - 2012-3-12 9:57:00


引用:
原帖由 networkedition 于 2012-3-12 9:20:00 发表
猫叔提供一下病毒样本吧:kaka12: 

拿去玩儿吧


密码:123


附件: 335043.rar (2012-3-12 9:57:21, 141.89 K)
该附件被下载次数 578

baohe - 2012-3-12 9:57:00
CA HIPS
networkedition - 2012-3-12 10:16:00
样本已收集
networkedition - 2012-3-12 13:29:00
瑞星最新版已可以查杀。



haihong1210 - 2012-3-12 17:09:00
进来拜读一下!:kaka1:
奇缘の随风 - 2012-3-22 9:01:00
。。。最近卡饭毒比较少  没怎么测毒
pias - 2012-3-29 18:02:00
额  不敢相信
  瑞星2010  的  木马防御行为能干掉此马
elva_love - 2012-4-10 1:47:00
BAOHE叔,好久不见~!
jks_风 - 2012-4-11 11:48:00
猫叔V5  不知道猫叔是否有往逆向分析木马方向转行的倾向:kaka12:
0c0c0f - 2012-4-18 22:17:00
解压密码是什么
0c0c0f - 2012-4-21 0:04:00
上面用的是什么杀毒软件
下辈子做神仙 - 2012-4-23 7:49:00
2年多都没上论坛了,竟然看到猫叔的帖子,猫叔还是风采依旧!
夜昧 - 2012-5-10 21:04:00
:kaka6:    抓包
1
查看完整版本: Trojan.Ransom.GM的观察及手杀方法