瑞星卡卡安全论坛

这是从邮箱的垃圾邮件中捡来的一个虫子。yahoo邮箱的诺顿说“附件无毒”

1、message.elm.bat属于邮件病毒。下载并运行此附件后，你会看到一个自动打开的记事本文件。文件内容是“天书”般的乱码。
此时，你的麻烦来了——蠕虫已将下列文件释放到你的系统中：

C:\WINDOWS\tserv.exe
C:\WINDOWS\tserv.dll
C:\WINDOWS\tserv.s
C:\WINDOWS\tserv.wax
C:\WINDOWS\system32\e1.dll
C:\WINDOWS\system32\msji449c14b7.dll
其中，e1.dll和msji449c14b7.dll插入explorer.exe进程，并动态跟踪并插入染毒后开启的所有进程。

2、病毒在注册表中添加下列启动项：
（1）在：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下添加：
tserv（指向C:\windows\tserv.exe）
（2）在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon分支的Userinit项下添加：
e1.dll，msji449c14b7.dll。其中e1.dll很难删除。

3、此蠕虫破坏卡巴斯基的服务加载项及卡巴斯基的启动项；是否还影响其它杀软，尚不清楚。

4、处理办法：
考虑到e1.dll和msji449c14b7.dll动态跟踪并插入其它程序进程这个特点，我用IceSword处理这个蠕虫。流程如下：
（1）打开IceSword。点击IceSword面板上的“文件”、“设置”。勾选“禁止进/线程创建”、“禁止协件功能”。按“确定”。
（2）右击IceSword进程名，点击“模块信息”。找到e2.dll和msji449c14b7.dll，分别选中它们，再点击“卸载”。
（3）结束系统核心进程以外的所有进程（只保留system、system idle process、lsass、csrss、smss、services、svchost）。
（4）用IceSword删除下列文件：
C:\WINDOWS\tserv.exe
C:\WINDOWS\tserv.dll
C:\WINDOWS\tserv.s
C:\WINDOWS\tserv.wax
C:\WINDOWS\system32\e1.dll
C:\WINDOWS\system32\msji449c14b7.dll
（5）用IceSword删除病毒添加的启动项。
（6）点击IceSword面板上的“文件”、“设置”。取消“禁止进/线程创建”、“禁止协件功能”。按“确定”。
（7）同时按下Ctrl_Alt_Del，调出任务管理器，点击任务管理器工具栏上的“文件”、“新建任务”。键入explorer.exe，再点击“确定”。即可继续正常工作。
至于杀软服务及启动项被破坏问题，可以用事先备份的注册表项恢复。如果没有备份杀软的注册表项，可以重新安装杀软。

学习。

猫叔，样本。。直接去真机试试瑞星，gudugd@yahoo.com.cn

引用:

【deadmanzj的贴子】猫叔，样本。。直接去真机试试瑞星，gudugd@yahoo.com.cn ………………

已发

猫叔，样本。。lailai@nihao.cn

引用:

【我是来来的贴子】猫叔，样本。。lailai@nihao.cn ………………

已发

猫叔，样本。。sheshuchao@163.com

引用:

【sheshuchao的贴子】猫叔，样本。。sheshuchao@163.com ………………

已转发

象Email-Worm.Win32.Warezov变种

猫叔，偶的瑞星没事，不过那个e1.dll确实厉害啊...killbox的延迟删除也解决不了，只能照猫叔写的删了。。不过我发现一个东西

引用:

【deadmanzj的贴子】猫叔，偶的瑞星没事，不过那个e1.dll确实厉害啊...killbox的延迟删除也解决不了，只能照猫叔写的删了。。不过我发现一个东西 ………………

什么东西？

这东西，不断访问一个网络。。。刚才记在一个QQ上。。没想到QQ关了。。找不到了。。。tiny也被我卸了。。郁闷

附件: 7162552006920194243.BMP

【回复“deadmanzj”的帖子】
没见这个。我是完全关闭Tiny后，在Full Shadow模式下观察的。
位置？

C：\Documents and Settings\Owner\Local Settings\Temp下面。。。

还有这个，猫叔补充一下，上面可能还有个c:\windows\system32\acac.exe但被瑞星隔离了。。。

附件: 7162552006920195554.BMP

我也要试试，请给我样本。
xosxon@yahoo.com.cn

引用:

【deadmanzj的贴子】C：\Documents and Settings\Owner\Local Settings\Temp下面。。。 ………………

没机会看了。我重启后，Full Shadow就把所有东西都扫净了。

猫叔，把那个影子系统发个给我吧，我的虚拟机在学校不能上网，一直很郁闷....邮箱你前面有的

学习了...

引用:

【deadmanzj的贴子】猫叔，把那个影子系统发个给我吧，我的虚拟机在学校不能上网，一直很郁闷....邮箱你前面有的 ………………

我的影子就是从其官方网站下载的。没什么特殊的。
自己去下载吧。

【回复“baohe”的帖子】能不能给个地址，有教程是最好不过了。。。汉化我去霏凡好象有，我去搞来

引用:

【deadmanzj的贴子】【回复“baohe”的帖子】能不能给个地址，有教程是最好不过了。。。汉化我去霏凡好象有，我去搞来 ………………

这种工具，我首选官方下载的：http://www.powershadow.com/。我就是从这个网站下载的。什么汉化的、中文版的、破解版的——我统统不用。不知道是否可靠。
不过，这个网址现在好像上不去了

确实！！！郁闷中。。猫叔，麻烦你压缩下，发发给我，去了网站，进不去

引用:

【deadmanzj的贴子】确实！！！郁闷中。。猫叔，麻烦你压缩下，发发给我，去了网站，进不去 ………………

邮箱地址？

gudugd@yahoo.com.cn，谢谢猫叔，还有那个清理注册表的工具，什么名字啊。偶去下载个...方便多了

引用:

【deadmanzj的贴子】gudugd@yahoo.com.cn，谢谢猫叔，还有那个清理注册表的工具，什么名字啊。偶去下载个...方便多了 ………………

发了

谢谢猫叔

....xuexi
ing.................`学习``

....xuexi
ing.................`学习``

学习