幕：

样本来自http://teyqiu.5d6d.com/index.php

崔衍渠崔兄的BBS，呵呵

该病毒“功能强大”，中此病毒者除非有相关经验，不然只能重装，这点，我完全没有夸张

============================================

病毒信息：

File size: 33366 bytes
MD5: 203916db6ac014469b61e3b2c2b28ef9
SHA1: 88eb6f47596348193d0a4e91d8ec4ea556252b6d
packers: UPX
packers: UPX
packers: UPX, BINARYRES
编写语言：Delphi


这个用UPX压缩壳的，其实是加了4次壳，大小33366 bytes


脱掉“马甲”后：

File size: 138752 bytes
MD5: ccfe778901a76663416f8ad175fe886b
SHA1: cdb9c25872b6338ba170a5f788955bf8129d2ce6
packers: BINARYRES
编写语言：Delphi

======================================

Avast 4.7.981.0 04.26.2007 Win32:OnLineGames-LX
AVG 7.5.0.464 04.26.2007 PSW.Generic3.XYS
F-Secure 6.70.13030.0 04.27.2007 Trojan-PSW.Win32.OnLineGames.mu
Kaspersky 4.0.2.24 04.26.2007 Trojan-PSW.Win32.OnLineGames.mu
McAfee 5018 04.26.2007 PWS-Hook
NOD32v2 2222 04.26.2007 a variant of Win32/PSW.Delf.VL

................不一一指出了.


=========================================

病毒行为：

1、修复注册表RUN项实现开机启动

2、按汇编显示还注册为服务项，不过我在影子系统里没有实现。

3、释放的病毒dll动态插入进程，拦截API挂杀软（这点最麻烦）

4、破坏安全模式、修改“显示隐藏文件”

==========================================

病毒分析：

先进行反汇编，大概了解了差不多情况，然后运行之




释放8位随机字母，我这里生成的是04B0A72E.dll，点确定后（插入Explorer进程后，瑞星监控挂。。。






遍历进程，试图插入"TIMPlatform.exe"和"Explorer.exe"，汇编看的，不过不能验证，只插入了"Explorer.exe"
随即利用宿主Explorer进行反弹连接，下载木马用的，因为这时候防火墙没任何反映。。
嘿嘿，SSM一个不漏，看下图：






然后下载病毒，也试图插进程，被我阻止了，呵呵，懒的和它纠缠（不是主角）



然后开始工作。。



修改AVG驱动项的启动方式，设置为Disabled。。。
其他亦然，被修改的包括我电脑上所安装的杀软和防火墙，全部禁用。。。
还随便挂了XP自带的防火墙，呵呵（汇编看的，由于是2K系统，无法验证）





随后检查RUN启动项，删除安全工具的启动项。。

还过卡吧。。挂。。








这比较重要，这工作是由04B0A72E.dll完成的

尝试关闭几乎所有安全工具..





利用IFEO重定向；。。。。

劫持项包括：

(+)(注册表值) Debugger = REG_SZ, "C:\PROGRA~1\COMMON~1\MICROS~1\MSINFO\04B0A72E.dat"
    (+)(注册表键) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kabaload.exe
      (+)(注册表值) Debugger = REG_SZ, "C:\PROGRA~1\COMMON~1\MICROS~1\MSINFO\04B0A72E.dat"
    (+)(注册表键) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KaScrScn.SCR
      (+)(注册表值) Debugger = REG_SZ, "C:\PROGRA~1\COMMON~1\MICROS~1\MSINFO\04B0A72E.dat"
    (+)(注册表键) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KASMain.exe
      (+)(注册表值) Debugger = REG_SZ, "C:\PROGRA~1\COMMON~1\MICROS~1\MSINFO\04B0A72E.dat"
    (+)(注册表键) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KASTask.exe
      (+)(注册表值) Debugger = REG_SZ, "C:\PROGRA~1\COMMON~1\MICROS~1\MSINFO\04B0A72E.dat"
    (+)(注册表键) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAV32.exe
      (+)(注册表值) Debugger = REG_SZ, "C:\PROGRA~1\COMMON~1\MICROS~1\MSINFO\04B0A72E.dat"
    (+)(注册表键) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVDX.exe
      (+)(注册表值) Debugger = REG_SZ, "C:\PROGRA~1\COMMON~1\MICROS~1\MSINFO\04B0A72E.dat"
    (+)(注册表键) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVPFW.exe
      (+)(注册表值) Debugger = REG_SZ, "C:\PROGRA~1\COMMON~1\MICROS~1\MSINFO\04B0A72E.dat"
    (+)(注册表键) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVSetup.exe
      (+)(注册表值) Debugger = REG_SZ, "C:\PROGRA~1\COMMON~1\MICROS~1\MSINFO\04B0A72E.dat"
    (+)(注册表键) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVStart.exe
      (+)(注册表值) Debugger = REG_SZ, "C:\PROGRA~1\COMMON~1\MICROS~1\MSINFO\04B0A72E.dat"
    (+)(注册表键) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KISLnchr.exe
      (+)(注册表值) Debugger = REG_SZ, "C:\PROGRA~1\COMMON~1\MICROS~1\MSINFO\04B0A72E.dat"
    (+)(注册表键) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KMailMon.exe
      (+)(注册表值) Debugger = REG_SZ, "C:\PROGRA~1\COMMON~1\MICROS~1\MSINFO\04B0A72E.dat"
    (+)(注册表键) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KMFilter.exe
      (+)(注册表值) Debugger = REG_SZ, "C:\PROGRA~1\COMMON~1\MICROS~1\MSINFO\04B0A72E.dat"
    (+)(注册表键) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPFW32.exe
    (+)(注册表键) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvDetect.exe
      (+)(注册表值) Debugger = REG_SZ, "C:\PROGRA~1\COMMON~1\MICROS~1\MSINFO\04B0A72E.dat"
    (+)(注册表键) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvfwMcl.exe
      (+)(注册表值) Debugger = REG_SZ, "C:\PROGRA~1\COMMON~1\MICROS~1\MSINFO\04B0A72E.dat"
    (+)(注册表键) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonXP.kxp
      (+)(注册表值) Debugger = REG_SZ, "C:\PROGRA~1\COMMON~1\MICROS~1\MSINFO\04B0A72E.dat"
    (+)(注册表键) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonXP_1.kxp
      (+)(注册表值) Debugger = REG_SZ, "C:\PROGRA~1\COMMON~1\MICROS~1\MSINFO\04B0A72E.dat"
    (+)(注册表键) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvol.exe
      (+)(注册表值) Debugger = REG_SZ, "C:\PROGRA~1\COMMON~1\MICROS~1\MSINFO\04B0A72E.dat"
    (+)(注册表键) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvolself.exe
      (+)(注册表值) Debugger = REG_SZ, "C:\PROGRA~1\COMMON~1\MICROS~1\MSINFO\04B0A72E.dat"
    (+)(注册表键) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvReport.kxp
      (+)(注册表值) Debugger = REG_SZ, "C:\PROGRA~1\COMMON~1\MICROS~1\MSINFO\04B0A72E.dat"
       

全部都指向：C:\PROGRA~1\COMMON~1\MICROS~1\MSINFO\04B0A72E.dat

。。。。。。。。。。。为了不浪费版面，就写出一部分。




最后还“顺便”挂了江民杀软。。



看看它还干了什么：












上面大概就是它做的了，来看下解决方法，比较简单

先显示隐藏文件，把下面的东西，弄到记事本，用reg导入注册表：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="显示所有文件和文件夹"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"



然后下载强制删除工具，这里推荐Killbox或PowerRmv

填入C:\Program Files\Common Files\Microsoft Shared\MSINFO\04B0A72E.dll

后面的数字随机的，自己看着办，这时候干掉后，所有的安全工具都可以运行，然后再下载个autoruns，删除IFEO劫持




修复安全模式：



进入注册表查找04B0A72E.dll和04B0A72E.dat，，有的话，全部删除

最后清理下遗留的

例如：

HKEY_CLASSES_ROOT\CLSID\{0A7204B0-04B0-A72E-B0A7-4B0724B0A72E}\InProcServer32
REG_SZ, "C:\Program Files\Common Files\Microsoft Shared\MSINFO\04B0A72E.dll











还有个同名的帮助文件,呵呵,也一起删除,在Help目录下
好了，到这里完美解决这个病毒，其他遗留下的项目可以通过修复杀软进行查杀，建议再用注册表修复器修复！

呵呵，乱乱的，懒得整理了，很抱歉

自己沙发个

呵呵

好累啊,忙了一早上,休息下

别拍砖啊..

板凳

那是TINY吧?今天下了个TINY,结果不会用,郁闷死了,正准备找个汉化的,呵呵.
开始分析了,不错不错

兄弟,找到汉化的说下地址,我还从没挖到过汉化的TINY呢.现在用英文的有点累了.不过,还是能习惯

地板

地下室


那是TINY吗？？？？？?

我也遇到过，是前两天的事情了。。。。
好难杀的。。最后还是重新装了系统才搞定。。。。。郁闷死。。

学习~~


问题同地下室...

地下室N楼

楼主分析辛苦了...
看楼主的分析相当专业了

羡慕ING