1234567   1  /  7  页   跳转

关于worm.delf.dy

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-02-11 16:47 | 只看楼主 短消息 资料
字号: 1楼

关于worm.delf.dy

SREng日志所见异常项:

启动项目
注册表

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <InternetEx><C:\windows\system\1.exe>  [N/A]
    <wsvs><C:\windows\wsvs.exe>  [N/A]
    <upxdnd><C:\DOCUME~1\baohelin\LOCALS~1\Temp\upxdnd.exe>  [N/A]
    <cmdbcs><C:\windows\cmdbcs.exe>  [N/A]
    <mppds><C:\windows\mppds.exe>  [N/A]
    <msccrt><C:\windows\msccrt.exe>  [N/A]
    <wsttrs><C:\windows\wsttrs.exe>  [N/A]
    <Internet><C:\windows\system\svchost.exe>  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <internet><C:\windows\system\taskmgr.exe /scan>  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><684745M.BMP>  [N/A]

==================================
浏览器加载项

[Flash 7]
  {492B8F66-B8CF-4F7A-B0EE-B7383B92F5BA} <C:\WINDOWS\system\IceHBO.dll, N/A>

==================================
被病毒插入的进程

[PID: 1388][C:\windows\Explorer.EXE]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\windows\system\C.dll]  [N/A, N/A]
[PID: 1860][C:\Program Files\Rising\Rav\RavTask.exe]  [Beijing Rising Technology Co., Ltd., 19, 0, 0, 7]
    [C:\windows\system\C.dll]  [N/A, N/A]
[PID: 1852][C:\Program Files\Rising\Rav\Ravmon.exe]  [Beijing Rising Technology Co., Ltd., 19, 0, 0, 45]
    [C:\windows\system\C.dll]  [N/A, N/A]
[PID: 2156][C:\Program Files\Opera\Opera.exe]  [Opera Software, 7561]
    [C:\windows\system\C.dll]  [N/A, N/A]
[PID: 2972][C:\windows\system32\ctfmon.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\windows\system\C.dll]  [N/A, N/A]
[PID: 2848][C:\Program Files\Tiny Firewall Pro\amon.exe]  [Computer Associates International, Inc., 6.5.3.2]
    [C:\windows\system\C.dll]  [N/A, N/A]
[PID: 2556][C:\windows\system32\conime.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\windows\system\C.dll]  [N/A, N/A]
[PID: 532][C:\SREng\SREng.EXE]  [Smallfrogs Studio, 2.3.13.690]
    [C:\windows\684745M.BMP]  [N/A, N/A]
    [C:\windows\system\C.dll]  [N/A, N/A]

病毒进程:
[PID: 616][C:\windows\system\internat.exe]  [N/A, N/A]
    [C:\windows\system\C.dll]  [N/A, N/A]
[PID: 3880][C:\windows\system\1.exe]  [N/A, N/A]
    [C:\windows\system\C.dll]  [N/A, N/A]
[PID: 2220][C:\windows\system\svchost.exe]  [N/A, N/A]
    [C:\windows\684745M.BMP]  [N/A, N/A]
    [C:\windows\system\C.dll]  [N/A, N/A]
[PID: 3288][C:\windows\system\taskmgr.exe]  [N/A, N/A]
    [C:\windows\684745M.BMP]  [N/A, N/A]
    [C:\windows\system\C.dll]  [N/A, N/A]


==================================
Autorun.inf
[C:\]
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\打开(&O)\command=setup.exe
[D:\]
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\打开(&O)\command=setup.exe

结束病毒进程后,需要删除的病毒文件(见附图)。
至于被病毒感染的.exe文件,请用杀软清除其中的病毒代码。瑞星19.09.42已可查杀此毒。

我的实战结果显示:用SSM,可以制服这个蠕虫(不会发生“再次感染”)。即使那些被感染的.exe一时无法处理(须等待杀软升级处理),只要将SSM设置妥当,且用SSM将病毒的.exe程序归入bolcked组,那些被此毒感染过的.exe就运行不了。

附件附件:

下载次数:311
文件类型:image/pjpeg
文件大小:
上传时间:2007-2-11 16:47:29
描述:
预览信息:EXIF信息



最后编辑2007-03-31 23:24:17
分享到:
gototop
 
奇迹天下
头像
叱咤花甲狮
  • 帖子:2935
  • 注册: 2004-07-01
  • 来自:
发表于: 2007-02-11 16:53 | 短消息 资料
字号: 2楼

现在的病毒都老喜欢在每个盘符加AUTORUN,还是关闭自动播放功能的比较好
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-02-11 16:56 | 只看楼主 短消息 资料
字号: 3楼

引用:
【奇迹天下的贴子】现在的病毒都老喜欢在每个盘符加AUTORUN,还是关闭自动播放功能的比较好
………………

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

将上述内容保存为kill_auto.reg
双击kill_auto.reg,将其导入注册表。就永远清静了。
gototop
 
UFO不幸外人
头像
特邀体验者
  • 帖子:2592
  • 注册: 2006-11-26
  • 来自:火星
发表于: 2007-02-11 17:00 | 短消息 资料
字号: 4楼

不错的方法 哈哈

这个病毒好可恶  那么多文件基本都是病毒下载的
包括征途木马、江湖木马、WSGame等等多个盗号木马
gototop
 
好学的忆忆
头像
快乐黄口狮
  • 帖子:263
  • 注册: 2007-01-28
  • 来自:
发表于: 2007-02-11 17:53 | 短消息 资料
字号: 5楼

学习了..
gototop
 
恋恋♂红尘
头像
初生襁褓狮
  • 帖子:22
  • 注册: 2006-07-30
  • 来自:
发表于: 2007-02-11 18:07 | 短消息 资料
字号: 6楼

能不能说得详细点啊,还有那个图也看不清楚啊
gototop
 
spiritfire
头像
锋芒艾服狮
  • 帖子:1266
  • 注册: 2006-10-22
  • 来自:
发表于: 2007-02-11 18:12 | 短消息 资料
字号: 7楼

唉!貌似现在的病毒感染exe已经成为标配了!
gototop
 
sanjingshou
头像
强壮不惑狮
  • 帖子:1166
  • 注册: 2006-07-15
  • 来自:
发表于: 2007-02-11 18:22 | 短消息 资料
字号: 8楼

刚才看到这个了,不过只有这上面的
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<msccrt><C:\WINDOWS\msccrt.exe> [N/A]
<wsttrs><C:\WINDOWS\wsttrs.exe> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><399952M.BMP> [N/A]
[PID: 1388][C:\windows\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
C:\WINDOWS\msccrt.DLL
C:\WINDOWS\wsttrs.DLL
gototop
 
UFO不幸外人
头像
特邀体验者
  • 帖子:2592
  • 注册: 2006-11-26
  • 来自:火星
发表于: 2007-02-11 18:26 | 短消息 资料
字号: 9楼

TO  7楼的:不一定全部都有  那些都不是这个病毒,而是这个病毒下载的,比如><C:\WINDOWS\msccrt.exe应该是Trojan.PSW.OnLineGames病毒

而C:\WINDOWS\wsttrs.exe是其他病毒,也没准是Trojan.PSW.OnLineGames

而C:\WINDOWS\msccrt.DLL
C:\WINDOWS\wsttrs.DLL这两个文件一定会存在因为它属于
3、DLL嵌入(间接嵌入)
我们再来看看这个间接嵌入,说它间接是因为病毒使用EXE文件作跳板来嵌入EXE文件。这类病毒很多,比如征途木马(Trojan.PSW.ZhengTu.*)的部分变种、Trojan.PSW.WSGame等等,这些病毒如果试验,有一个特点,其EXE文件会在运行后删除。
这个运行方式比较复杂,EXE文件会干以下几件事情:释放要嵌入的DLL、运行DLL(执行嵌入)、建立自身以供下一次运行、建立启动项指向自身、删除自身(顺叙就不知道了,没有试验)。完成运行过程后,EXE文件和DLL文件都会保住,且病毒也会正常运行。
删除方式很简单,就是首先查看启动项,掌握启动的EXE,然后把此EXE文件复制出来,可以用虚拟机(VMware Workstation)进行运行,估计新手没有这种条件,可以使用filemon监视,看看运行此文件创建或者读写了那一个DLL文件,用冰刃删除启动项和对应EXE、DLL文件,病毒解决。
gototop
 
好学的忆忆
头像
快乐黄口狮
  • 帖子:263
  • 注册: 2007-01-28
  • 来自:
发表于: 2007-02-11 18:29 | 短消息 资料
字号: 10楼

引用:
【恋恋♂红尘的贴子】能不能说得详细点啊,还有那个图也看不清楚啊
………………

点击看大图
gototop
 
<<上一主题|下一主题>>
1234567   1  /  7  页   跳转
页面顶部
Powered by Discuz!NT