最近U盘病毒auto.exe闹的比较凶,但与此同时,又发现了一个类似的通过U盘传播的下载者病毒,希望各位网友要提高警惕。
下面是这个病毒的分析:
File: servver.exe
Size: 37888 bytes
MD5: 411AD11AC0FF5164C8B18AB4AD0D5739
SHA1: 04F46D6222232921CDC9882E8B82182DFB6479DA
CRC32: F57CD054
生成如下文件
在系统盘下生成其副本
%system32%\servver.exe
并在每个磁盘分区下生成
autorun.inf和servver.exe
注册为服务 Windowsms
指向%system32%\servver.exe
启动类型:自动
显示名称:Telephots google
服务描述:为即插即用设备提供支持
试图修改注册表HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun的键值 但测试时未实现
查找窗口“IE执行保护”查找到以后 查找按钮“允许执行”
并发送WM_LBUTTONDOWN的指令 模拟按键
查找窗口“瑞星卡卡上网安全助手-IE防漏墙”查找到以后 查找按钮“允许”
并发送WM_LBUTTONDOWN的指令 模拟按键
查找有无drivers/klif.sys文件
如果有则通过cmd /c date 1981-01-12 命令把日期改为1981年1月12日
并在15s以后 把日期再改回来
调用CreateProcess打开进程c:\windows\system32\svchost.exe,然后调用WriteProcessMemory等函数往此进程中写入病毒代码,实现下载功能
下载如下文件
http://ads.*.com/100.exe~http://ads.*.com/119.exe
到%system32%文件夹下
下载的病毒有盗号木马 威金等
其中117.exe可以进行arp欺骗
113.exe具有感染htm文件的功能
盗号木马可以盗取以下一些网络游戏的帐号密码(包括但不限于)
征途
完美世界
QQ
...
并可结束如下进程或者服务(包括但不限于)
Noton AntiVirus Server
McTaskmanager
McShield
McAfeeFramework
kvsrvxp
DefWatch
KPfwSvc
KWatchSvc
RavMon.exe
RavMonD.exe
...
并可关闭自动更新和Windows自带的防火墙
木马和病毒植入完毕以后 sreng日志如下
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<DiskMan32><C:\WINDOWS\DiskMan32.exe> []
<mppds><C:\WINDOWS\mppds.exe> []
<AVPSrv><C:\WINDOWS\AVPSrv.exe> []
<cmdbcs><C:\WINDOWS\cmdbcs.exe> []
<MsIMMs32><C:\WINDOWS\MsIMMs32.exe> []
<NVDispDrv><C:\WINDOWS\NVDispDrv.exe> []
<WinSysM><C:\WINDOWS\IGM.exe> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<MSDEG32><LYLoader.exe> []
<MSDWG32><LYLoadbr.exe> [N/A]
<MSDCG32 ><LYLeador.exe> [N/A]
<MSDOG32><LYLoador.exe> [N/A]
<MSDSG32><LYLoadar.exe> [N/A]
<MSDMG32><LYLoadmr.exe> [N/A]
<MSDHG32><LYLoadhr.exe> [N/A]
<MSDQG32><LYLoadqr.exe> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><avwlbmn.dll> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{E418E9ED-9221-4661-B1F3-4AA35BD83832}><C:\Program Files\Internet Explorer\PLUGINS\WinSys88.Sys> []
<{2960356A-458E-DE24-BD50-268F589A56A2}><C:\WINDOWS\system32\avwlbmn.dll> []
==================================
服务
[Telephots google / Windowsms][Stopped/Auto Start]
<C:\WINDOWS\system32\servver.exe><N/A>
[Remote Help Session Manager / Rasautol][Stopped/Auto Start]
<C:\WINDOWS\system32\ntsokele.exe><N/A>
<load><C:\WINDOWS\uninstall\rundl132.exe> []
==================================
正在运行的进程
[PID: 3084][C:\WINDOWS\explorer.exe] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\avwlbmn.dll] [N/A, ]
[C:\WINDOWS\system32\LYMANGR.DLL] [N/A, ]
[C:\WINDOWS\system32\DiskMan32.dll] [N/A, ]
[C:\WINDOWS\system32\mppds.dll] [N/A, ]
[C:\WINDOWS\system32\thjphl.dll] [N/A, ]
[C:\WINDOWS\system32\bxtmaz.dll] [N/A, ]
[C:\WINDOWS\system32\MsIMMs32.dll] [N/A, ]
[C:\WINDOWS\system32\tojdcs.dll] [N/A, ]
[C:\Program Files\Internet Explorer\PLUGINS\WinSys88.Sys] [N/A, ]
==================================
Winsock 提供者
MSAPI Tcpip [TCP/IP]
C:\WINDOWS\system32\qdshm.dll(, N/A)
MSAPI Tcpip [UDP/IP]
C:\WINDOWS\system32\qdshm.dll(, N/A)
...
清除办法:一、清除病毒主程序
下载冰刃http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip
sreng http://download.kztechs.com/files/sreng2.zip
打开sreng
“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”,
选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:
Telephots google / Windowsms
重启计算机
使用冰刃删除如下文件
%system32%\servver.exe
以及各个分区下的autorun.inf和servver.exe
二、清除木马
以前写的好多了,这里不再赘述。
具体方法参考之前的auto.exe的木马群的查杀http://forum.ikaka.com/topic.asp?board=28&artid=8362073
以及最近流行的一些木马群的查杀总结http://forum.ikaka.com/topic.asp?board=28&artid=8371486
即可
三、下载威金专杀修复受感染的exe文件
http://download.jiangmin.info/jmsoft/VikingKiller.exe
四、下载http://www.vaid.cn/blog/attachment/iframekill.rar修复受感染的htm文件
[用户系统信息]Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; InfoPath.2)
