这是一个通过U盘传播的木马下载器。
File: Hide.exe
Size: 24501 bytes
File Version: 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
MD5: F7E7A6F787B1790BC60A02D4B3F33F7E
SHA1: 0BBD74D345401D8FD1981FD8CE3D632285D32B0C
CRC32: 4470B037
生成如下文件:
%system32%\wnipsvr.exe
同时注册服务Visual WEB
启动类型:自动
显示名称:NetworSVSA
服务描述:允许对TCP/IP上NetBios服务以及NetBT名称解析的支持。
达到开机启动的目的
在每个分区下面生成一个Hide.exe和autorun.inf
达到通过移动存储传播的目的
后台调用使用cmd调用wnipsvr.exe的down参数下载木马
读取http://xz.*.info/ad.txt的下载配置文件下载木马
http://xz.*.info/1.exe~http://xz.*.info/19.exe
到%program files%下面分别命名为pro1.exe~pro19.exe
下载的木马主要盗取以下几种网络游戏的帐号(包括但不限于)
奇迹世界
QQ华夏
天龙八部
大话西游II
机战ZeroOnline公测版
魔域
问道
完美世界
风云-雄霸天下
QQ
以上木马均能关闭自动更新和Windows防火墙
并在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
下面建立相关键值达到开机启动目的
木马植入成功后,生成如下文件:
%system32%\*ini.dll
%system32%\*ins.exe
%system32%\*pri.dll
%system32%\*man.dll
%system32%\*set.exe
(括号内的*一般为随机3个字母)
%SystemRoot%/DbgHlp32.exe
%SystemRoot%/system32\DbgHlp32.dll
%ProgramFiles%\Internet Explorer\PLUGINS\SysWin64.Jmp
%ProgramFiles%\Internet Explorer\PLUGINS\WinSys64.Sys
%system32%\sers.exe(建立一个服务)
本例中对应的sreng日志如下
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<DbgHlp32><C:\WINDOWS\DbgHlp32.exe> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><wggpri.dll> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{2231A43A-1642-641A-64FD-146ADAB223B2}><C:\WINDOWS\system32\mxbman.dll> []
<{E1351752-5628-1547-FFAB-BADC13512AFE}><C:\WINDOWS\system32\ztaman.dll> []
<{42311A42-AC1B-158F-FD32-5674345F23A4}><C:\WINDOWS\system32\dhdpri.dll> []
<{6562452F-FA36-BA4F-892A-FF5FBBAC5316}><C:\WINDOWS\system32\myfpri.dll> []
<{74123FF1-8371-9834-9021-184518451FA7}><C:\WINDOWS\system32\qjgpri.dll> []
<{4F12545B-1212-1314-5679-4512ACEF8904}><C:\WINDOWS\system32\wddpri.dll> []
<{9A65498A-7653-9801-1647-987114AB7F49}><C:\WINDOWS\system32\zxipri.dll> []
<{725AB2F3-234A-7469-2F43-E341713ABFA7}><C:\WINDOWS\system32\wggpri.dll> []
<{B12BC423-3713-224D-3F55-32B35C62B11B}><C:\WINDOWS\system32\tlvpri.dll> []
<{56368135-64FA-BC34-DA32-DCF4FD431C95}><C:\WINDOWS\system32\qhepri.dll> []
<{53472AF2-174F-AC37-197C-CAC3BCA146C5}><C:\WINDOWS\system32\fyepri.dll> []
<{959AFD5B-159F-ACD8-954C-ACD545FA6589}><C:\WINDOWS\system32\jzipri.dll> []
<{5D83AD9C-3BFC-43F5-979D-2904DBC54A8E}><C:\Program Files\Internet
Explorer\PLUGINS\WinSys64.Sys> []
服务
[NetworSVSA / Visual WEB][Stopped/Auto Start]
<C:\WINDOWS\system32\wnipsvr.exe -Run><Microsoft Corporation>
[Telephonyl / Windowsve][Stopped/Auto Start]
<C:\WINDOWS\system32\sers.exe><N/A>
清除办法:
1.清除病毒主程序
打开sreng (http://download.kztechs.com/files/sreng2.zip)
“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”,
选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:
NetworSVSA / Visual WEB
2.清除*pri.dll,*man.dll等盗号木马双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
打开%system32%文件夹(默认C:\Windows\system32)
单击菜单栏下方的搜索按钮 全部或部分文件名中 输入*pri.dll
更多高级选项 钩选 搜索隐藏的文件和文件夹
右键分别把 这些文件重命名 命名的名字自己要记住 最好有规律
[用户系统信息]Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; InfoPath.2)
