瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 给你的电脑做无痛手术的病毒(兼答Explorer缺少sysup32.dll无法启动的问题)

1   1  /  1  页   跳转

给你的电脑做无痛手术的病毒(兼答Explorer缺少sysup32.dll无法启动的问题)

收藏
newcenturymoon
头像
社区嘉宾
  • 帖子:15158
  • 注册: 2005-08-03
  • 来自:
论坛8周年活动礼物幸运草
发表于: 2007-06-19 12:14 | 显示全部 短消息 资料
字号: 1楼

给你的电脑做无痛手术的病毒(兼答Explorer缺少sysup32.dll无法启动的问题)

作者:清新阳光                      ( http://hi.baidu.com/newcenturysun)
        日期:2007/06/19            (转载请保留此申明)

昨天在整理虚拟机里的木马时候 发现了这么一个病毒 此病毒替换系统文件 并且不会使你感觉到任何蛛丝马迹 给你

的电脑做了一个无痛手术
让我们来看看他是怎样做的吧
File: rxm.exe
Size: 115628 bytes
MD5: AF62DC062ABF0A7E059EBD2C79460D27
SHA1: 67F317C5D2D60DB7D38CA2953E313DEC0FD3E8E4
CRC32: 63610FE3
运行后
首先访问61.152.116.132:80
下载http://xxxxx.com.cn/count/data_add.aspx?filename=rxm.exe
到临时文件夹
临时文件夹的rxm.exe随即运行
首先修改winlogon.exe的虚拟内存
然后winlogon.exe修改注册表以下内容(不知何意,望高手指导)
进程:
      路径: C:\WINDOWS\system32\winlogon.exe
      PID: 640
      信息: Windows NT Logon Application (Microsoft Corporation)
注册表群组: System
对象:
      注册表键: HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
      注册表值: ParseAutoexec
      新的值:
        类型: REG_SZ
        值: 1
      先前值:
        类型: REG_SZ
        值: 1

增加目录C:\WINDOWS\system32\wins
在其下面释放一个随机8位字母组合的一个dll文件
我这里是ccnvlewg.dll

在C:\windows下释放C:\WINDOWS\wlhhjm.dll
和C:\WINDOWS\system32\secmgnt.dll

然后删除C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\dllcache\services.exe
并用修改过的傀儡SERVICES.EXE分别替换之(究竟是怎样替换的还没搞清楚)
但已经搞清楚C:\WINDOWS\system32\wins的那个dll就是 系统原先的services.exe

病毒为什么会替换services.exe呢
经过研究那个傀儡的services.exe
此services.exe的dll 导出表中包含有病毒释放的C:\WINDOWS\system32\secmgnt.dll
也就是说services.exe只要运行就得加载自己的C:\WINDOWS\system32\secmgnt.dll
否则会报找不到secmgnt.dll而无法运行

真正实现了注册表无痕迹启动
那个C:\WINDOWS\system32\secmgnt.dll卡巴报为Trojan-Psw.Win32.OnlineGames.bf
还是个盗号木马 可卡巴一旦把这个dll删了 你的系统就会因为services.exe启动不了而崩溃 哈哈 这招够绝

附件附件:

下载次数:230
文件类型:image/pjpeg
文件大小:
上传时间:2007-6-19 12:14:12
描述:
预览信息:EXIF信息



最后编辑2007-06-19 14:51:35
分享到:
gototop
 
newcenturymoon
头像
社区嘉宾
  • 帖子:15158
  • 注册: 2005-08-03
  • 来自:
论坛8周年活动礼物幸运草
发表于: 2007-06-19 12:15 | 显示全部 短消息 资料
字号: 2楼

怎么解决呢?
既然病毒给我们做了个手术 我们也给他做个手术吧 也得是无痛的哦 哈哈
直接用冰刃结束services.exe 不好吧 这样会造成系统倒计时重启 那就不叫无痛手术了
因为正在运行的文件 可以被重命名 所以就利用这招吧 重命名大法方法如下:
从其他电脑上拷贝一个好的services.exe
然后把他复制到C:\WINDOWS\system32\dllcache替换原来的文件
重命名C:\WINDOWS\system32\services.exe为services1.exe
再把好的services.exe复制到C:\WINDOWS\system32中
哈哈 病毒都不知道我们在给他做手术哦 嘘 别告诉他!

附件附件:

下载次数:261
文件类型:image/pjpeg
文件大小:
上传时间:2007-6-19 12:15:23
描述:
预览信息:EXIF信息
gototop
 
newcenturymoon
头像
社区嘉宾
  • 帖子:15158
  • 注册: 2005-08-03
  • 来自:
论坛8周年活动礼物幸运草
发表于: 2007-06-19 12:16 | 显示全部 短消息 资料
字号: 3楼

重启计算机看看情况哈哈 services.exe成功被我们替换咯

附件附件:

下载次数:228
文件类型:image/pjpeg
文件大小:
上传时间:2007-6-19 12:16:32
描述:
预览信息:EXIF信息
gototop
 
newcenturymoon
头像
社区嘉宾
  • 帖子:15158
  • 注册: 2005-08-03
  • 来自:
论坛8周年活动礼物幸运草
发表于: 2007-06-19 12:16 | 显示全部 短消息 资料
字号: 4楼

然后的事情就简单了 删除C:\WINDOWS\system32\secmgnt.dll
C:\WINDOWS\wlhhjm.dll
C:\WINDOWS\system32\services1.exe
C:\WINDOWS\system32\wins文件夹

附件附件:

下载次数:242
文件类型:image/pjpeg
文件大小:
上传时间:2007-6-19 12:16:55
描述:
预览信息:EXIF信息
gototop
 
newcenturymoon
头像
社区嘉宾
  • 帖子:15158
  • 注册: 2005-08-03
  • 来自:
论坛8周年活动礼物幸运草
发表于: 2007-06-19 12:17 | 显示全部 短消息 资料
字号: 5楼

PS:最近有用户求助 卡巴把他们的sysup32.dll删除了 造成Explorer找不到sysup32.dll而无法启动
这个问题的根源跟我的这个问题完全一致 因为昨天测试时候发现了这个问题
但没找到是哪个病毒文件造成的
那个Explorer.exe同样是被替换过的 其dll导出表中包含sysup32.dll
如果杀毒软件把sysup32.dll杀掉了 那么同样Explorer.exe会报找不到sysup32.dll而无法启动
解决方法类似我上面的方法
1.从其他电脑上拷贝一个好的Explorer.exe
然后把他复制到C:\WINDOWS\system32\dllcache替换原来的文件
重命名C:\WINDOWS\Explorer.exe为Explorer1.exe
再把好的Explorer.exe复制到C:\WINDOWS中
2.重启删除
C:\WINDOWS\Explorer1.exe
和C:\WINDOWS\system32\sysup32.dll
或者直接结束Explorer.exe 再启动正常的Explorer.exe也可以 比我分析的那个相对简单

附件附件:

下载次数:227
文件类型:image/pjpeg
文件大小:
上传时间:2007-6-19 12:17:19
描述:
预览信息:EXIF信息
gototop
 
newcenturymoon
头像
社区嘉宾
  • 帖子:15158
  • 注册: 2005-08-03
  • 来自:
论坛8周年活动礼物幸运草
发表于: 2007-06-19 12:17 | 显示全部 短消息 资料
字号: 6楼

附图

附件附件:

下载次数:238
文件类型:image/pjpeg
文件大小:
上传时间:2007-6-19 12:17:34
描述:
预览信息:EXIF信息
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT