老版~~~关于那个loadie.exe 有不同之处~~(可能有点长~~) bbs.ikaka.com

影子110 - 2006-9-8 13:02:00

上午试运行了下~在SSM有如下发现~~(与老版的那个帖子有些出入~~)

(上面还有两步,这里就不帖了~~)

父级进程：
路径： C:\Program Files\Common Files\qq1.exe
子级进程：
路径： C:\WINDOWS\regedit.exe
信息： Registry Editor (Microsoft Corporation)
命令行：regedit /s c:\dat3.reg

修改<ctfmon>值为<C:\windows\ctfmon.exe>C:\windows\regedit.exe

进程：
路径： C:\WINDOWS\regedit.exe
信息： Registry Editor (Microsoft Corporation)
注册表分组：
对象：
注册表键： HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings
注册表值： SyncMode5
新的值:
类型: REG_DWORD
值： 00000003
先前值:
类型: REG_DWORD
值： 00000004

父级进程：
路径： C:\Program Files\Internet Explorer\IEXPLORE.EXE
信息： Internet Explorer (Microsoft Corporation)
启动
子级进程：
路径： C:\Program Files\Common Files\mh1.exe
命令行："C:\Program Files\Common Files\mh1.exe"

进程：
路径： C:\WINDOWS\regedit.exe
信息： Registry Editor (Microsoft Corporation)
注册表分组：
添加对象
对象：
注册表键： HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表值： ctfmon
类型: REG_SZ
值： C:\windows\ctfmon.exe

父级进程：
路径： C:\Program Files\Common Files\qq1.exe
启动
子级进程：
路径： C:\WINDOWS\CTFMON.exe
命令行：C:\windows\CTFMON.exe

进程：
路径： C:\Program Files\Common Files\mh1.exe
修改其内存
对象：
路径： C:\WINDOWS\system32\services.exe
信息： Services and Controller app (Microsoft Corporation)
此项用以修改其它程序的虚拟内存且可能改变其性能。

父级进程：
路径： C:\Program Files\Internet Explorer\IEXPLORE.EXE
信息： Internet Explorer (Microsoft Corporation)
启动
子级进程：
路径： C:\Program Files\Common Files\zt1.exe
信息： (GtD98wl9NLxsBCcvZTQh)
命令行："C:\Program Files\Common Files\zt1.exe"

父级进程：
路径： C:\WINDOWS\CTFMON.exe
启动
子级进程：
路径： C:\WINDOWS\regedit.exe
信息： Registry Editor (Microsoft Corporation)
命令行：regedit /s c:\dat3.reg

附:{PG报, C:\WINDOWS\CTFMON.exe安装全局钩子~~(Callwndproc)}

进程：
路径： C:\Program Files\Common Files\mh1.exe
对象：
路径： C:\WINDOWS\system32\services.exe
信息： Services and Controller app (Microsoft Corporation)
此项用以修改其它程序的虚拟内存且可能改变其性能。

父级进程：
路径： C:\Program Files\Common Files\zt1.exe
信息： (GtD98wl9NLxsBCcvZTQh)
启动
子级进程：
路径： C:\WINDOWS\SMSS.EXE
信息： (GtD98wl9NLxsBCcvZTQh)
命令行：C:\windows\SMSS.EXE

进程：
路径： C:\Program Files\Common Files\mh1.exe
试图控制
对象：
路径： C:\WINDOWS\system32\services.exe
信息： Services and Controller app (Microsoft Corporation)
此项允许程序执行其代码于另一程序上（DLL注入）。

进程：
路径： C:\WINDOWS\SMSS.EXE
信息： (GtD98wl9NLxsBCcvZTQh)
试图控制(可能想关闭)
对象：
路径： C:\Program Files\Rising\Rav\CCenter.exe
信息： CCenter (Beijing Rising Technology Co., Ltd.)
此项允许获得全部控制于另一进程的某线程上，且可能被用于“DLL注入”。

进程：
路径： C:\WINDOWS\SMSS.EXE
信息： (GtD98wl9NLxsBCcvZTQh)
注册表分组：
试图添加对象
对象：
注册表键： HKCU\Software\Microsoft\Internet Explorer\Main
注册表值： Check_Associations
类型: REG_SZ
值： No

进程：
路径： C:\WINDOWS\system32\services.exe
信息： Services and Controller app (Microsoft Corporation)
创建
注册表对象：
对象：
注册表键： HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

进程：
路径： C:\WINDOWS\SMSS.EXE
信息： (GtD98wl9NLxsBCcvZTQh)
修改
注册表分组：
对象：
注册表键： HKCR\ftp\shell\open\command
注册表值：（默认）
新的值:
类型: REG_SZ
值： "C:\Program Files\Internet Explorer\iexplore.com" %1
先前值:
类型: REG_SZ
值： "C:\Program Files\Internet Explorer\iexplore.exe" %1

进程：
路径： C:\WINDOWS\system32\services.exe
信息： Services and Controller app (Microsoft Corporation)
添加对象
注册表分组：
对象：
注册表键： HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

进程：
路径： C:\WINDOWS\SMSS.EXE
信息： (GtD98wl9NLxsBCcvZTQh)
修改
注册表分组：
对象：
注册表键： HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
注册表值： Shell
新的值:
类型: REG_SZ
值： Explorer.exe 1
先前值:
类型: REG_SZ
值： Explorer.exe

影子110 - 2006-9-8 13:05:00

此时,我断开了网络~(要不,再过一会,这儿就成土匪窝了~~)

进程：
路径： C:\WINDOWS\explorer.exe
信息： Windows Explorer (Microsoft Corporation)
创建
注册表对象：
对象：
注册表键： HKLM\SOFTWARE\Clients\StartMenuInternet\iexplore.pif

进程：
路径： C:\WINDOWS\system32\services.exe
信息： Services and Controller app (Microsoft Corporation)
注册表分组：
添加
对象：
注册表键： HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
注册表值： CheckFaultKernel
类型: REG_SZ
值： C:\windows\system32\mswdm.exe{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}

进程：
路径： C:\WINDOWS\SMSS.EXE
信息： (GtD98wl9NLxsBCcvZTQh)
添加
注册表分组：
对象：
注册表键： HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表值： TProgram
类型: REG_SZ
值： C:\windows\SMSS.EXE

进程：
路径： C:\WINDOWS\explorer.exe
信息： Windows Explorer (Microsoft Corporation)
创建
注册表对象：
对象：
注册表键： HKLM\SOFTWARE\Clients\StartMenuInternet\iexplore.pif\shell\open\command

进程：
路径： C:\WINDOWS\SMSS.EXE
信息： (GtD98wl9NLxsBCcvZTQh)
添加
注册表分组：
对象：
注册表键： HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
注册表值： TProgram
类型: REG_SZ
值： C:\windows\SMSS.EXE

进程：
路径： C:\WINDOWS\explorer.exe
信息： Windows Explorer (Microsoft Corporation)
创建
注册表对象：
对象：
注册表键： HKLM\SOFTWARE\Clients\StartMenuInternet\iexplore.pif\shell

进程：
路径： C:\WINDOWS\SMSS.EXE
信息： (GtD98wl9NLxsBCcvZTQh)
创建
注册表对象：
对象：
注册表键： HKCR\winfiles

进程：
路径： C:\WINDOWS\explorer.exe
信息： Windows Explorer (Microsoft Corporation)
创建
注册表对象：
对象：
注册表键： HKLM\SOFTWARE\Clients\StartMenuInternet\iexplore.pif\shell\open

进程：
路径： C:\WINDOWS\SMSS.EXE
信息： (GtD98wl9NLxsBCcvZTQh)
创建
注册表对象：
对象：
注册表键： HKCR\winfiles\DefaultIcon

进程：
路径： C:\WINDOWS\explorer.exe
信息： Windows Explorer (Microsoft Corporation)
创建
注册表对象：
对象：
注册表键： HKLM\SOFTWARE\Clients\StartMenuInternet\iexplore.pif\shell\open\command

进程：
路径： C:\WINDOWS\SMSS.EXE
信息： (GtD98wl9NLxsBCcvZTQh)
创建
注册表对象：
对象：
注册表键： HKCR\winfiles\Shell\Open\Command

进程：
路径： C:\WINDOWS\SMSS.EXE
信息： (GtD98wl9NLxsBCcvZTQh)
创建
注册表对象：
对象：
注册表键： HKCR\winfiles\Shell

进程：
路径： C:\WINDOWS\SMSS.EXE
信息： (GtD98wl9NLxsBCcvZTQh)
创建
注册表对象：
对象：
注册表键： HKCR\winfiles\Shell\Open

进程：
路径： C:\WINDOWS\SMSS.EXE
信息： (GtD98wl9NLxsBCcvZTQh)
创建
注册表对象：
对象：
注册表键： HKCR\winfiles\Shell\Open\Command

进程：
路径： C:\WINDOWS\SMSS.EXE
信息： (GtD98wl9NLxsBCcvZTQh)
获取网络存取权限
网络信息：
IP 地址： 127.0.0.1
信任的区域：是
协议： UDP

进程：
路径： C:\WINDOWS\SMSS.EXE
信息： (GtD98wl9NLxsBCcvZTQh)
创建
注册表对象：
对象：
注册表键： HKCU\Software\VB and VBA Program Settings\Microsoft Soft Debuger\Settings

进程：
路径： C:\WINDOWS\SMSS.EXE
信息： (GtD98wl9NLxsBCcvZTQh)
创建~
注册表对象：
对象：
注册表键： HKCU\Software\VB and VBA Program Settings(难道这个项都是它创建出来的~~~?)

进程：
路径： C:\WINDOWS\SMSS.EXE
信息： (GtD98wl9NLxsBCcvZTQh)
创建
注册表对象：
对象：
注册表键： HKCU\Software\VB and VBA Program Settings\Microsoft Soft Debuger

父级进程：
路径： C:\WINDOWS\ExERoute.exe
信息： (GtD98wl9NLxsBCcvZTQh)
启动
子级进程：
路径： C:\WINDOWS\SMSS.EXE
信息： (GtD98wl9NLxsBCcvZTQh)
命令行：C:\windows\SMSS.EXE

进程：
路径： C:\WINDOWS\SMSS.EXE
信息： (GtD98wl9NLxsBCcvZTQh)
创建
注册表对象：
对象：
注册表键： HKCU\Software\VB and VBA Program Settings\Microsoft Soft Debuger\Settings

(我在桌面击右键~

父级进程：
路径： C:\WINDOWS\ExERoute.exe
信息： (GtD98wl9NLxsBCcvZTQh)
启动
子级进程：
路径： C:\WINDOWS\system32\rundll32.exe
信息： Run a DLL as an App (Microsoft Corporation)
命令行："C:\windows\system32\rundll32.exe" /d C:\windows\system32\shell32.dll,Control_RunDLL desk.cpl)

后续动作~
进程：
路径： C:\WINDOWS\system32\services.exe
信息： Services and Controller app (Microsoft Corporation)
修改
注册表分组：
对象：
注册表键： HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
注册表值： Cache
新的值:
类型: REG_SZ
值： C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files
先前值:
类型: REG_SZ
值： C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files

进程：
路径： C:\WINDOWS\system32\services.exe
信息： Services and Controller app (Microsoft Corporation)
注册表分组：
对象：
注册表键： HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
注册表值： Cookies
新的值:
类型: REG_SZ
值： C:\Documents and Settings\LocalService\Cookies
先前值:
类型: REG_SZ
值： C:\Documents and Settings\NetworkService\Cookies

进程：
路径： C:\WINDOWS\system32\services.exe
信息： Services and Controller app (Microsoft Corporation)
注册表分组：
对象：
注册表键： HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
注册表值： History
新的值:
类型: REG_SZ
值： C:\Documents and Settings\LocalService\Local Settings\History
先前值:
类型: REG_SZ
值： C:\Documents and Settings\NetworkService\Local Settings\History

(如,我现在值:C:\Documents and Settings\yingzhi\Local Settings\History)
(这三个值,在我的注册表中还是显示我的用户名,不知它改了哪里~~~?)

进程：
路径： C:\WINDOWS\system32\services.exe
信息： Services and Controller app (Microsoft Corporation)
获取网络存取权限
网络信息：
IP 地址： 127.0.0.1
信任的区域：是
协议： UDP

另,下面是在清除时感觉到的~
mh1获得远程数据修改的权限

smss获得远程代码控制的权限

修改了exe文件关联

最后删除时有如下文件无法删除
qq1.exe
mh1.exe
zt1.exe
loadie.exe(源文件)
另,还有一个文件(c:\dat3.reg 没有找到~~估计运行后就被它删除了~~)
附:
防火墙被关
连上网络就退不出来~(只有硬关猫~~)
无法关机~

影子110 - 2006-9-8 13:09:00

影子110 - 2006-9-8 13:27:00

C:\WINDOWS\SMSS.EXE
C:\WINDOWS\CTFMON.exe
C:\WINDOWS\ExERoute.exe
还有,创建了N多的注册项,修改了许多值(上面可以看出~~)

如~
HKCU\Software\VB and VBA Program Settings
HKCR\winfiles
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
(这几个项好像都是它创建出来的~可能还有不少漏掉的~~也不知SSM对注册表的监控到底如何~~)

mopery - 2006-9-8 13:40:00

loadie.exe
版家已经讨论过...也知道了..

lansely - 2006-9-8 13:50:00

我看的狂晕现在趋与复杂化创建那么多东西哎

从头爱你 - 2006-9-8 13:52:00

....鄙视病毒````

baohe - 2006-9-8 14:11:00

【回复“影子110”的帖子】
qq1.exe
mh1.exe
zt1.exe
这三个是中上loadie.exe后（电脑处于连网状态），loadie.exe从网络上下载的木马。都是些老马，多数杀软可杀。
如果用户装了IDM，并由IDM接管所有下载任务，下载这些木马文件后，只要你不点击IDM的“打开文件”，这些木马不会自动运行。把它们删掉就是了。

mopery - 2006-9-8 14:37:00

如果安装了tiny ...好象连网状态下什么玩意都不会发生....

两个铁球 - 2006-9-8 15:35:00

好厉害的病毒！不过看了七楼版主的解释，心稍安。
弱弱地问一声楼主，请赐教：这么长、这么详尽的纪录，是手工临时记的，还是SSM带有这么详尽的log？（只见SSM每一步有这些提示，不知道它是否留有日志）。

baohe - 2006-9-8 15:37:00

引用:

【mopery的贴子】如果安装了tiny ...好象连网状态下什么玩意都不会发生....
………………

是的。
Tiny可完全阻截

影子110 - 2006-9-8 23:25:00

【回复“baohe”的帖子】
qq1.exe
mh1.exe
zt1.exe
loadie.exe(源文件)

最后这几个文件死活删不去,??是怎么回事呢??(用Icesword 也不行~~~)
最后我不得不随它~~直接关机了~~

影子110 - 2006-9-8 23:33:00

另,我想,我的电脑的防护状态可能和大部分的网友差不多~~可能中毒后~在他们的电脑上,该有的都有了,没有的~可能也都有了~~(我在感觉不对的时候赶忙断开网络了~~~)

不知现在杀软对中了此毒的电脑的查杀情况如何??(彻底查杀的可能性估计不太多了,除非出个专杀类的~~~)

影子110 - 2006-9-8 23:33:00

========Content========
另,我想,我的电脑的防护状态可能和大部分的网友差不多~~可能中毒后~在他们的电脑上,该有的都有了,没有的~可能也都有了~~(我在感觉不对的时候赶忙断开网络了~~~)

不知现在杀软对中了此毒的电脑的查杀情况如何??(彻底查杀的可能性估计不太多了,除非出个专杀类的~~~)

瑞星卡卡安全论坛