瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 关于loadie.exe
baohe - 2006-9-6 21:25:00


一、运行后的表现:
1、在C:\Program Files\Internet Explorer\释放loadie.exe。在C:\释放kao.reg。
在D:\释放autorun.inf和command.exe。(我的系统只有C、D两个分区)

C:\kao.reg的内容为:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AutoRun"="C:\\Program Files\\Internet Explorer\\loadie.EXE"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"SyncMode5"=dword:00000003

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:00000095
"CDRAutoRun"=dword:00000000

2、通过80端口访问网络:
64.94.110.11美国加州
12.158.80.10美国ATT用户
60.28.242.137未知地址
72.246.46.70未知地址
......
此后,58.48.154.37狂扫本机端口,但被Tiny一一拦截掉(图)。

3、每次启动系统,loadie.exe加载iexplore.exe以及系统驱动ipnat.sys。C:\kao.reg调用regedit,将其中内容写入注册表。

4、未打开IE浏览器前,即可见iexplore.exe进程。

5、如果中招的系统无防火墙或者其防火墙拦截不了loadie.exe的网络通讯,它会自动从http://www.jg666.net/wm/下载三个病毒文件qq1.exe、mh1.exe和zt1.exe。

6、修改注册表多处:

在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\
添加:
{0055C089-8582-441B-A0BF-17B458C2A3A8}
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
{47833539-D0C5-4125-9FA8-0819E2EAAC93}
{92780B25-18CC-41C8-B9BE-3C9C571A8263}
{AE7CD045-E861-484F-8273-0445EE161910}
{DEDEB80D-FA35-45D9-9460-4983E5A8AFE6}
{FB5F1910-F110-11D2-BB9E-00C04F795683}

在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
添加:
"CDRAutoRun"=dword:00000000
"NoDriveTypeAutoRun"=dword:00000095


在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
添加:"AutoRun"="C:\\Program Files\\Internet Explorer\\loadie.EXE"

二、查杀流程:
断网。
关闭IE浏览器。

1、清理注册表:
展开:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\
删除:
{0055C089-8582-441B-A0BF-17B458C2A3A8}
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
{47833539-D0C5-4125-9FA8-0819E2EAAC93}
{92780B25-18CC-41C8-B9BE-3C9C571A8263}
{AE7CD045-E861-484F-8273-0445EE161910}
{DEDEB80D-FA35-45D9-9460-4983E5A8AFE6}
{FB5F1910-F110-11D2-BB9E-00C04F795683}

展开:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
删除:
"CDRAutoRun"=dword:00000000
"NoDriveTypeAutoRun"=dword:00000095

展开:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
删除:"SyncMode5"=dword:00000003

展开:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除:"AutoRun"="C:\\Program Files\\Internet Explorer\\loadie.EXE"

2、删除文件:
C:\Program Files\Internet Explorer\loadie.exe。
C:\kao.reg。
D:\autorun.inf。
D:\command.exe。

附件: 155847200696211733.jpg
deadmanzj - 2006-9-6 21:45:00
猫叔,最新版本瑞星报毒吗?
baohe - 2006-9-6 21:46:00
引用:
【deadmanzj的贴子】猫叔,最新版本瑞星报毒吗?

………………

开着卡巴斯基玩儿的。畅通无阻。
我的卡巴斯基可是自动更新哦。
deadmanzj - 2006-9-6 21:59:00
耶,偶要样本。。。gudugd@yahoo.com.cn谢谢猫叔
艾玛 - 2006-9-6 22:03:00
这就是那公布的漏洞样本?


发个killvir#gmail.com
baohe - 2006-9-6 22:05:00
【回复“deadmanzj”的帖子】
已经发到 gudugd@yahoo.com.cn
deadmanzj - 2006-9-6 22:07:00
谢谢,猫叔
baohe - 2006-9-6 22:08:00
【回复“艾玛”的帖子】
已发到killvir@gmail.com
你给的是killvir#gmail.com
导致yahoo警告我一次!!
汗!!
艾玛 - 2006-9-6 22:20:00
baohe
根目录还有autorun.ini生成

[AutoRun]
open=commamd.exe
baohe - 2006-9-6 22:25:00
引用:
【艾玛的贴子】 baohe
根目录还有autorun.ini生成
………………

谢谢提醒。
只在D:\下找到autorun.inf。内容是:
[AutoRun]
Open=command.exe

c:\下没有这东东
但是,双击D盘盘符仍可打开D盘。有点儿糊涂了。
艾玛 - 2006-9-6 22:34:00
command.exe这个文件应该存在搜一下看看,等魔法虚拟测试呢,我本本舍不得,我分析了一下程序而已
deadmanzj - 2006-9-6 22:36:00
确实存在,D盘下
deadmanzj - 2006-9-6 22:38:00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"SyncMode5"=dword:00000003

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:00000095
"CDRAutoRun"=dword:00000000
这些在注册表展开后能看到,工具我不会看。。
艾玛 - 2006-9-6 22:44:00
这一项也在run下
regedit /s c:\kao.reg
是这两个文件
\command.exe
\重要文件.exe
baohe - 2006-9-6 22:45:00
引用:
【艾玛的贴子】command.exe这个文件应该存在搜一下看看,等魔法虚拟测试呢,我本本舍不得,我分析了一下程序而已
………………

汗!
在D:\下面。
Tiny监控漏掉了。
艾玛 - 2006-9-6 22:49:00
引用:
【baohe的贴子】
汗!
在D:\下面。
Tiny监控漏掉了。

………………



向官方反映可能是双字节问题


今晚到此啦,祝baohe快乐。


有空把QQ重新开启,想邀你加入群技术交流。
baohe - 2006-9-6 22:56:00
我的Tacklog Analyzer有问题了(漏显,上当一次!)

附件: 155847200696224802.jpg
baohe - 2006-9-6 22:57:00
Track'nReverse记录居然漏监了主角loadie.exe。再汗!

附件: 155847200696224937.jpg
艾玛 - 2006-9-6 22:57:00
明天我去解密
有五行密文可能就是IP地址
deadmanzj - 2006-9-6 23:22:00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"SyncMode5"=dword:00000003
猫叔,这注册表也要删的吧。。。偶找到,删了。。对了Track'nReverse把这发偶邮箱吧。。。gudugd@yahoo.com.cn
westbeck - 2006-9-7 1:11:00
学习...
lunawsz - 2006-9-7 10:12:00
开始无法双击打开我得电脑中的所有磁盘 但可以右键选择打开 之后打开ie但一会就会有不停的广告打开 现在检查到只在D:\下找到内容是:
[AutoRun]
Open=d:\pagefile.pif
不知是否是你们所说的病毒
谢谢了
艾玛 - 2006-9-7 10:16:00
下载"落雪专杀"
taylor05771 - 2006-9-7 10:40:00
对  帖子中 涉及的IP地址  修正一下

IP : 64.94.110.11
地址: 美国 VeriSign/Network Solutions

IP : 12.158.80.10
地址: 美国 ATT用户

IP : 60.28.242.137
地址: 天津市 网通ADSL

IP : 72.246.46.70
地址: 美国 Akamai网络

IP : 58.48.154.37
地址: 湖北省武汉市 电信
qiuhanxu - 2006-9-7 10:46:00
【回复“艾玛”的帖子】顶
独孤豪侠 - 2006-9-7 11:23:00
呵呵..学习了哦....
江南山水 - 2006-9-7 15:19:00
猫叔: 比如我中了这个病毒
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"SyncMode5"=dword:00000003

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:00000095
"CDRAutoRun"=dword:00000000
注册表的这些键值能在反病毒工具HIJACKTHIS或SRENG2此类工具中找到信息吗?
baohe - 2006-9-7 15:22:00
引用:
【江南山水的贴子】猫叔: 比如我中了这个病毒
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"SyncMode5"=dword:00000003

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:00000095
"CDRAutoRun"=dword:00000000
注册表的这些键值能在反病毒工具HIJACKTHIS或SRENG2此类工具中找到信息吗?
………………

找不到
leasu - 2006-9-7 15:28:00
收到,谢谢版主.
deadmanzj - 2006-9-7 16:03:00
猫叔或者别人谁有Track'nReverse,把这发偶邮箱吧。。。gudugd@yahoo.com.cn
12
查看完整版本: 关于loadie.exe
© 2000 - 2026 Rising Corp. Ltd.