瑞星卡卡安全论坛

一个利用MS06-040漏洞的新病毒

样本csrse.exe来自“安全12公里”。瑞星18.41.40查不出这个病毒；升级到18.41.42后——仍查不到。
样本提供者还附带提供了一个专杀工具。
连网状态运行这个病毒后发现：这个工具并不能彻底杀死此毒。
一、观察到的病毒活动过程：
1、csrse.exe运行后添加系统服务项：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\natman，指向：c:\windows\csrse.exe。
2、SSM的进程列表中可见csrse.exe。HijackThis、autoruns、SREng、IceSword的日志中均扫不到病毒的服务项。
3、csrse.exe访问网络：
68.233.235.254
61.183.133.181
61.121.100.107
65.110.45.130
203.140.25.49
4、csrse.exe运行C:\windows\Temp目录下的eraseme_50568.exe。
5、csrse.exe继续访问网络：203.140.25.49
6、csrse.exe启动服务：Network Gateway Manager（注册表中的服务名natman）
7、csrsc.exe（注意：不是“csrse.exe”）注册系统服务：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\npx，指向：c:\windows\csrsc.exe。
8、csrsc.exe访问网络：68.233.235.254
9、csrsc.exe删除csrse.exe添加系统服务项：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\natman
10、csrsc.exe访问网络：61.121.100.107
..........
二、样本提供者提供的专杀工具杀毒结果：
Windows XP(Build 2600: Service Pack 2)

Start time : 星期日 八月 27 2006 17:23:02

Load Damage Cleanup Template (DCT) "C:\Documents and Settings\baohelin\桌面\新建文件夹\tsc.ptn" (version 9999) [success]
CSRSE.EXE[virus found]
-->delete registry data("HKEY_LOCAL_MACHINE","SOFTWARE\Microsoft\Security Center","1") success
-->delete registry data("HKEY_LOCAL_MACHINE","SOFTWARE\Microsoft\Security Center","1") success
-->delete registry data("HKEY_LOCAL_MACHINE","SOFTWARE\Microsoft\Security Center","1") success
-->delete registry data("HKEY_LOCAL_MACHINE","SOFTWARE\Microsoft\Security Center","1") success
-->delete registry data("HKEY_LOCAL_MACHINE","SOFTWARE\Microsoft\Security Center","1") success
-->delete registry key("HKEY_LOCAL_MACHINE","SOFTWARE\Microsoft\Security Center","") success
-->delete registry key("HKEY_LOCAL_MACHINE","SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate","") success
-->delete registry data("HKEY_LOCAL_MACHINE","SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate","1") success
-->delete registry key("HKEY_LOCAL_MACHINE","SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate","") success
-->delete registry key("HKEY_LOCAL_MACHINE","SOFTWARE\Policies\Microsoft\WindowsFirewall","") success
-->delete registry key("HKEY_USERS",".DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0","") success
-->delete registry key("HKEY_USERS",".DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Cache","") success
-->modify registry data("HKEY_LOCAL_MACHINE","SOFTWARE\Microsoft\Ole","EnableDCOM") success
-->modify registry value("HKEY_LOCAL_MACHINE","SYSTEM\CurrentControlSet\Control","WaitToKillServiceTimeout") success
-->modify registry value("HKEY_LOCAL_MACHINE","SYSTEM\CurrentControlSet\Control\Lsa","restrictanonymous") success
-->delete file("C:\windows\csrse.exe","","") success

Complete time : 星期日 八月 27 2006 17:23:17
Execute pattern count(1), Virus found count(1), Virus clean count(1), Clean failed count(0)
三、专杀工具杀毒效果的检验：
从上面的结果看，原来的csrse.exe及其服务项均被删除了，其它注册表改动也被删除或得以回复。
但是，csrse.exe访问网络过程中带来的csrsc.exe（图1）及其注册的服务项（图2）安然无恙！

四、我的解决办法：
用SSM禁止csrse.exe和csrsc.exe加载运行（图3）。
重启系统后发现：本法有效。
判断根据是：
如果csrse.exe和csrsc.exe这两个病毒程序重启后依然可加载运行，那么，SSM进程列表中应可见其进程；HijackThis、SREng、IceSwoed等日志中也可见其进程（虽然看不到它的服务项）。
但是，重启系统后，用这几个工具检查，均未发现csrse.exe或csrsc.exe进程。而且，残留的csrsc.exe可以直接删除。

图1




附件: 1558472006827181710.jpg

图2

附件: 1558472006827181751.jpg

图3

附件: 1558472006827181827.jpg

老大！厉害！！

老大不是吹的!~~~~~~~

谢谢猫叔。

猫叔就是厉害啊!!!!!!!!!!~~~~~~~~~~~~~~~~~~

火车不是推的，猫哥不是吹的~哈哈~我早打了补丁了~应该不会再中那毒把？

汗了。。又不报毒的！~~~这毒啊.....发展真快
猫叔的顶顶

厉害！

厉害！！高手懂电脑技术``顶

学习了

强啊

猫叔 bin59420@yahoo.com.cn
样本..

引用:

【mopery的贴子】猫叔 bin59420@yahoo.com.cn 样本.. ………………

已发

来晚了，顶一下猫叔的贴子。

请问“魔波”病毒怎么杀呀？气死我也！！！救救我呀！

猫叔少吃点，会长肥的哦

引用:

【病毒很可恨的贴子】请问“魔波”病毒怎么杀呀？气死我也！！！救救我呀！ ………………

扫日志贴到论坛上。

谢谢…………楼主啦！不过我还没有SSM这个工具啊！！！
请楼主给个下载地址呗………………！！！

引用:

【和弦外音的贴子】谢谢…………楼主啦！不过我还没有SSM这个工具啊！！！ 请楼主给个下载地址呗………………！！！ ………………

http://www.syssafety.com/files.html

猫叔  问下 是不是那补丁只要打上了 就不会中那病毒了?``另外 那你是怎么知道那病毒添加那些注册表项的?``

学~~~
无止尽

~~~

好,厉害...
学习!

从头在来...谢了,加菲老大

学习

强啊

这个样本就是我给mopery版主的那个样本!!!
服务中心却说不是病毒!!!

真不负责任!!
这种态度!!

强淫  哈哈