首页    新闻    下载    文档    论坛     最新漏洞    黑客教程    数据库    搜索    小榕软件实验室怀旧版    星际争霸WEB版    最新IP准确查询   
名称: 密码:      忘记密码  马上注册
安全知识 :: 专题文章

U盘病毒Windows.scr(Win32.Downloader.b)分析及专杀方法


http://www.gipsky.com/
今天接到了好几起感染这个病毒的案例 分析了一下 这个病毒就是先前的罗姆病毒的新变种

File: Windows.scr

Size: 28024 bytes

Modified: 2007年9月11日, 23:49:55

MD5: E47C0D7E26B63E44DD5929618E64FD57

SHA1: 072597E8C7D3F6FD3644919414245BCE42317C33

CRC32: 4E29C95D



1.生成如下文件:

C:\Program Files\Common Files\fjOs0r.dll

C:\Program Files\Internet Explorer\OnlO0r.bak(就是windows.scr文件)

C:\Program Files\Internet Explorer\OnlO0r.dll

C:\Program Files\Internet Explorer\OnlO0r.obk



fjOs0r.dll和OnlO0r.dll注入到Explorer进程中以及由Explorer启动的进程中



2.添加注册表键值

HKCR\CLSID\{CC3596CB-D6C1-ECA1-AE51-DEEA63F6C21C}\InProcServer32

指向C:\Program Files\Internet Explorer\OnlO0r.dll

HKCR\CLSID\{6C7596CB-31CC-BBA3-BE51-2EEA62F9C51D}\InProcServer32

指向HKCR\CLSID\{6C7596CB-31CC-BBA3-BE51-2EEA62F9C51D}\InProcServer32

达到开机自动加载的目的



3.假如有新的移动存储设备插入电脑,则往里面写入windows.scr和autorun.inf文件



4.通过遍历HKEY_LOCAL_MACHINE下 相关软件的installpath,ProgramPath,Folder,InstallDir,Installed Path等的键值 获得某些安全软件的



安装目录,比如360安全卫士,瑞星杀毒软件,诺顿等

在这些安全软件的目录中创建MFC42.DLL的文件夹

导致杀毒软件应用程序初始化失败,出现(0xc00000ba)错误

并在MFC42.DLL文件夹下生成歧义文件夹10I11O10..\导致windows下无法删除该文件夹



5.感染除系统分区外的exe文件

被感染文件被加入2092个字节的代码 被感染文件创建时间被改为1620年或者1619年

被感染文件被加入的代码具备下载功能 能够联网下载病毒主程序

被感染文件瑞星报Win32.Downloader.b



6.由Explorer.exe连接网络

读取http://www.*.org/Data/No.txt配置文件

下载木马和病毒

http://*/Images/Hide/1.exe

http://*/Images/Hide/2.exe

http://*/Images/Hide/3.exe

http://*/Images/Hide/4.exe

http://*/Images/Hide/5.exe

http://*/Images/Hide/6.exe

http://*/Images/Hide/7.exe

http://*/Images/Hide/8.exe

http://*/Images/Hide/9.exe

http://*/Images/Hide/10.exe

http://*/Images/Hide/11.exe

http://*/Images/Hide/12.exe

http://*/Images/Hide/13.exe

http://*/Images/Hide/14.exe

http://*/Images/Hide/15.exe

http://*/Images/Hide/16.exe

http://*/Images/Hide/M2.exe

http://*/Images/Hide/smss.exe

到%Temp%文件夹

其中M2.exe为病毒主程序的最新版本(即病毒具有在线更新功能)

前面说的被感染的exe文件 也是连接网络下载这个文件



其他木马植入完毕后在%System32%文件夹下生成很多wldoor0.dll类似的**door0.dll的文件

并且插入Explorer.exe和由explorer.exe启动的进程

这些**door0.dll都是盗号木马

主要盗取如下网络游戏的帐号和密码(包括但不限于)



盛大通行证的帐号密码

天龙八部

大话西游Online II

梦幻西游

完美世界

诛仙

问道

热血江湖

QQ幻想

魔域

传奇世界

魔兽世界

...



sreng日志体现如下

注册表

启动项目

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

http://www.i170.com/attach/97670969-F47C-4A8B-9529-F0F602EFA902)

sreng (http://download.kztechs.com/files/sreng2.zip)



一、清除windows.scr产生的病毒文件

打开Xdelbox

在 添加旁边的框中 分别输入

C:\Program Files\Common Files\fjOs0r.dll

C:\Program Files\Internet Explorer\OnlO0r.bak

C:\Program Files\Internet Explorer\OnlO0r.dll

输入完一个以后 点击旁边的添加 按钮 被添加的文件 将出现在下面的大框中

然后一次性选中 (按住ctrl)下面大框中所有的文件

右键 单击 点击 重启立即删除

[img width=500]http://images.rising.com.cn/uploadfiles/200710/4/554345200710423442.jpg[/img]http://images.rising.com.cn/uploadfiles/200710/4/554345200710423442.jpg" onload="(script removed)DrawImage(this);" />

重启计算机以后会有一个系统菜单选择

选择Go Xdelbox To Del Files

[img width=500]http://images.rising.com.cn/uploadfiles/200710/4/554345200710423509.jpg[/img]http://images.rising.com.cn/uploadfiles/200710/4/554345200710423509.jpg" onload="(script removed)DrawImage(this);" />

类似dos的界面滚动完毕以后 病毒就被删除了

之后他会自动重启进入正常模式

进入正常模式后

打开sreng

启动项目 注册表 删除如下项目

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

[img width=500]http://images.rising.com.cn/uploadfiles/200710/4/554345200710423526.jpg[/img]http://images.rising.com.cn/uploadfiles/200710/4/554345200710423526.jpg" onload="(script removed)DrawImage(this);" />

记住所有*door0.dll的名称

之后利用Xdelbox的删除功能将其删除

[img width=500]http://images.rising.com.cn/uploadfiles/200710/4/554345200710423620.jpg[/img]http://images.rising.com.cn/uploadfiles/200710/4/554345200710423620.jpg" onload="(script removed)DrawImage(this);" />

重启计算机以后



打开sreng

启动项目 注册表 删除如下项目

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

[最后修改由 , 于 2007-10-19 10:28:48]
<< igw.exe病毒分析及专杀清楚方法 Microsoft Windows XP/2003 Macrovision SecDrv.sys privilege escalation(0day) >>
评分
10987654321
API:
gipsky.com& 安信网络
网友个人意见,不代表本站立场。对于发言内容,由发表者自负责任。

系统导航

 

Copyright © 2001-2010 安信网络. All Rights Reserved
京ICP备05056747号