瑞星卡卡安全论坛

这是个木马下载器。允许其访问网络后，狂下木马。

一、下载/释放的病毒文件:
C:\Documents and Settings\baohelin\Local Settings\Temp\packet.dll
C:\Documents and Settings\baohelin\Local Settings\Temp\npf.sys（感染完成后自动删除）
C:\Documents and Settings\baohelin\Local Settings\Temp\wanpacket.dll
C:\Documents and Settings\baohelin\Local Settings\Temp\oprar.exe
C:\Documents and Settings\baohelin\Local Settings\Temp\fsrs25vm.dll（隐藏，须用IceSword找到并删除）
C:\Documents and Settings\baohelin\Local Settings\Temp\winrar.sys（感染完成后自动删除）
C:\Documents and Settings\baohelin\Local Settings\Temp\_wpcap_.bat（感染完成后自动删除）
C:\windows\684745M.BMP（插入系统启动加载的所有进程，并动态插入系统启动后用户运行的应用程序进程）
C:\WINDOWS\system\mhh.exe
C:\WINDOWS\system\wol.exe（感染完成后自动删除）
C:\windows\system\con.exe（顽固，须用IceSword强制删除）
C:\WINDOWS\system\jwm.exe
C:\windows\Download\svhost32.exe
C:\windows\system32\Cnscheck001.dll（跟踪应用程序，动态插入相应进程，非常可恶！）
C:\windows\system32\xydll.dll
C:\windows\system32\ntsmm.nls（插入winlogon、explorer、ctfmon、IDMan、Tiny防火墙进程，并动态插入系统启动后用户运行的应用程序进程）
C:\windows\system32\drivers\npf.sys
【注】C:\windows\system32\ntsmm.nls为随机文件名。每次感染都发生变化。这是指导别人杀毒的困难之一。
二、感染后的SREng日志：

启动项目
注册表

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <xy><C:\windows\Download\svhost32.exe>  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <Userinit><C:\WINDOWS\system32\userinit.exe,c:\windows\system32\Rundll32.exe C:\windows\system32\ntsmm.nls I,>  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><684745M.BMP>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{9A0CFC58-5A6F-41ba-9FFE-4320F4F621BA}><C:\windows\system32\Cnscheck001.dll>  [N/A]

==================================
驱动程序

[Netgroup Packet Filter / NPF]
  <system32\DRIVERS\npf.sys><CACE Technologies>

[squell1 / squell1]
  <\??\C:\DOCUME~1\baohelin\LOCALS~1\Temp\winrar.sys><N/A>
==================================
正在运行的进程
[PID: 708][\??\C:\windows\system32\winlogon.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\windows\684745M.BMP]  [N/A, N/A]
[PID: 768][C:\windows\system32\services.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\windows\684745M.BMP]  [N/A, N/A]
[PID: 780][C:\windows\system32\lsass.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\windows\684745M.BMP]  [N/A, N/A]
[PID: 1008][C:\windows\system32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\windows\684745M.BMP]  [N/A, N/A]
[PID: 1116][C:\windows\system32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\windows\684745M.BMP]  [N/A, N/A]
[PID: 1228][C:\windows\System32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\windows\684745M.BMP]  [N/A, N/A]
[PID: 1476][C:\windows\System32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\windows\684745M.BMP]  [N/A, N/A]
[PID: 1632][C:\windows\system32\spoolsv.exe]  [Microsoft Corporation, 5.1.2600.2696 (xpsp_sp2_gdr.050610-1519)]
    [C:\windows\684745M.BMP]  [N/A, N/A]
[PID: 1688][C:\Program Files\Common Files\PFShared\UmxCfg.exe]  [Computer Associates International, Inc., 6.0.1.48]
    [C:\windows\684745M.BMP]  [N/A, N/A]
[PID: 1724][C:\Program Files\Tiny Firewall Pro\UmxFwHlp.exe]  [Computer Associates International, Inc., 6.5.3.2]
    [C:\windows\684745M.BMP]  [N/A, N/A]
[PID: 1776][C:\Program Files\Common Files\PFShared\UmxPol.exe]  [Computer Associates International, Inc., 6, 0, 0, 5]
    [C:\windows\684745M.BMP]  [N/A, N/A]
[PID: 1884][C:\Program Files\Tiny Firewall Pro\UmxAgent.exe]  [Computer Associates International, Inc., 6.0.1.76]
    [C:\windows\684745M.BMP]  [N/A, N/A]
[PID: 1912][C:\Program Files\Tiny Firewall Pro\UmxTray.exe]  [Computer Associates International, Inc., 6.5.1.59]
    [C:\windows\684745M.BMP]  [N/A, N/A]
[PID: 1988][C:\windows\System32\Ati2evxx.exe]  [N/A, N/A]
    [C:\windows\684745M.BMP]  [N/A, N/A]
[PID: 556][C:\windows\Explorer.EXE]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\windows\684745M.BMP]  [N/A, N/A]
    [C:\windows\system32\ntsmm.nls]  [N/A, N/A]
    [C:\windows\system32\Cnscheck001.dll]  [N/A, N/A]
[PID: 1188][C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE]  [Microsoft Corporation, 7.00.9466]
    [C:\windows\684745M.BMP]  [N/A, N/A]
[PID: 1272][C:\windows\System32\QCONSVC.EXE]  [N/A, N/A]
    [C:\windows\684745M.BMP]  [N/A, N/A]
[PID: 1352][C:\windows\system32\shadow\ShadowService.exe]  [N/A, N/A]
    [C:\windows\684745M.BMP]  [N/A, N/A]
[PID: 1396][C:\Program Files\Common Files\PFShared\umxlu.exe]  [Tiny Software, Inc., 6.0.1.15]
    [C:\windows\684745M.BMP]  [N/A, N/A]
[PID: 280][C:\windows\system32\ctfmon.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\windows\684745M.BMP]  [N/A, N/A]
    [C:\windows\system32\ntsmm.nls]  [N/A, N/A]
    [C:\windows\system32\Cnscheck001.dll]  [N/A, N/A]
[PID: 580][C:\Program Files\Tiny Firewall Pro\amon.exe]  [Computer Associates International, Inc., 6.5.3.2]
    [C:\windows\684745M.BMP]  [N/A, N/A]
    [C:\windows\system32\ntsmm.nls]  [N/A, N/A]
    [C:\windows\system32\Cnscheck001.dll]  [N/A, N/A]
[PID: 876][C:\Program Files\Internet Download Manager\IDMan.exe]  [Internet Download Manager Corp., Tonec Inc. , 5, 0, 0, 0]
    [C:\windows\684745M.BMP]  [N/A, N/A]
    [C:\windows\system32\ntsmm.nls]  [N/A, N/A]
    [C:\windows\system32\Cnscheck001.dll]  [N/A, N/A]
[PID: 2468][C:\windows\System32\alg.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\windows\684745M.BMP]  [N/A, N/A]
[PID: 2276][C:\windows\system32\NOTEPAD.EXE]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\windows\684745M.BMP]  [N/A, N/A]
    [C:\windows\system32\ntsmm.nls]  [N/A, N/A]
    [C:\windows\system32\Cnscheck001.dll]  [N/A, N/A]
[PID: 1424][C:\Program Files\SREng\SREng.exe]  [Smallfrogs Studio, 2.2.6.605]
    [C:\windows\684745M.BMP]  [N/A, N/A]
    [C:\windows\system32\ntsmm.nls]  [N/A, N/A]
    [C:\windows\system32\Cnscheck001.dll]  [N/A, N/A]
[PID: 2620][C:\Program Files\HyperSnap-DX 5\HprSnap5.exe]  [Hyperionics Technology LLC, 5, 3, 0, 0]
    [C:\windows\684745M.BMP]  [N/A, N/A]
    [C:\windows\system32\ntsmm.nls]  [N/A, N/A]

三、我的查杀流程：

1、用SREng删除病毒加载项及驱动项（见SREng日志）。用SSM阻截病毒的进程插入。
2、重启系统。显示隐藏文件。
3、删除病毒文件（详见“一、下载/释放的病毒文件”）。

注：这个注册表项须用户自己找到并删除：HKEY_CLASSES_ROOT\CLSID\{9A0CFC58-5A6F-41ba-9FFE-4320F4F621BA}



附件: 15584720061110104433.jpg

重启后\\.\C\windws\system\con.exe又生成了,怎么办
我只有这三个
con.exe
system32.tmp
system32.vxd

为什么我没发现这些?

学习~

现在的木马下载器比木马还要讨厌~~(一中就一窝!)

学习

诺吨已经把其它文件都删除了，唯独是con.exe和ztt.exe诺吨没查到，需要自己手动删除，但是在SYSTEM32里我怎么找不到那个LU......文件

附件: 3506222006111055826.jpg

建议版主们至少一周写一篇当周多发性病毒的分析文章,做好编号,以便于我们菜鸟学习.文章最好不要用"冰刀"之类的工具,它的删除力无限制,我们菜鸟很易误删文件.还是从分析入手,按常规法删除,这样安全.
不对之处望包涵

来晚了，回帖太多了，为免看不到，只能这样回你了。

“一周写一篇”倒是不用这样规定，有需要写的我们就会写。其实现在的求助者中的很多都是老毒，有些甚至是两三个月前我们就已经给出解决办法的。编号这一点做起来困难，大伙都在写，光是要统一格式就不容易，重要的帖子我们会放到置顶的重要帖子索引中，强烈呼吁求助者自己先看看那个索引，寻找自己所中病毒的解决办法。

至于工具，其实很多工具的某些功能都是不“常规”的，也正因为这样才能更简便地对付一些顽固病毒。比如，如果没有扫日志的工具，我们只能叫求助者用msconfig加上自己翻找注册表的项目；如果没有killbox这样的延迟删除，没有IS和procexp、unlocker这样能卸除模块和线程，解锁的工具，那么要删除一个有注册表守护、插入进程、在安全模式下仍然加载的病毒，如何处理，让求助者打dos命令？恐怕，这是更令求助者头疼的。
IceSword的“慎用”，其实具体来说就是“新手应该在指导下使用”，我们不提倡在不了解系统的情况下自己随意用IS鼓捣系统。而在处理病毒的时候，只要我们认准病毒文件及其处理办法，眼明手快的话，就不会出问题。
关键不在于使不使用工具，而在于是否“按章操作”。

by 轩辕小聪

引用:

【mopery的贴子】 为什么我没发现这些? ………………

这个下载器运作比较缓慢（估计中的人多——太忙了）。要耐心等待。
由于急着试验IceSword的“强制删除”功能，来一个，删一个。因此，我也没观察完全。
相信注册表改动不止这些。
待仔细观察后，再完善这个帖子吧。

引用:

【baohe的贴子】 这个下载器运作比较缓慢（估计中的人多——太忙了）。要耐心等待。 由于记着试验IceSword的“强制删除”功能，来一个，删一个。因此，我也没观察完全。 相信注册表改动不止这些。 待仔细观察后，再完善这个帖子吧。 ………………

怪不得..

我陪他玩一天..

强烈关注中，上次那个C:\WINDOWS\SYSTEM32\WBEM\WINLOGON也是这类马，还没解决呢

偶同学中了的说，再回去帮忙检查一下，那个con.exe在删除时会提示不存在来保护自己。。用IS轻松搞定

猫叔现在更新后就全了。。。不过那个****.BMP的东西没找到/

引用:

【之乎者也的贴子】强烈关注中，上次那个C:\WINDOWS\SYSTEM32\WBEM\WINLOGON也是这类马，还没解决呢 ………………

有样本都好解决..

不过这个好象小聪说过了 是个下载器..

老早前就有样本了..

引用:

【mopery的贴子】 有样本都好解决.. 不过这个好象小聪说过了 是个下载器.. 老早前就有样本了.. ………………

是啊，我那个样本给过你了，你也帮俺分析的很透彻了，但照足你的法子操作，现在瑞星每次杀毒还是在呢，

删除后,只要进入正常模式下就生成\\.\C\windws\system\con.exe
大哥们,好好分析,有什么结果拿上来,让我学习学习

学习  顺便看看新头像怎么样

这个病毒可恶

学习了_>kxzhmc500@sina.com

学习。碰上这类马，没有软件监控，就只有找猫叔了

中了这个 容易精神崩溃

猫叔 测试还是有点错误哦..

艾玛说
感染QQ 还感染 讯雷..

这玩意会比较难对付..

真的很难对付...感染了就重新安装一下.

引用:

【mopery的贴子】猫叔 测试还是有点错误哦.. 艾玛说 感染QQ 还感染 讯雷.. 这玩意会比较难对付.. ………………

Tiny监控分组时，C:\WINDOWS\system\jwm.exe的默认组名是“QQ”，图标是QQ，但文件名仍是jwm.exe。我的系统中QQ已经被卸载。
迅雷之类，我的系统中没有。
IDM，我装了，且是“启动加载”，所以，IDM的进程也被木马插了（前面已经交代）。但IDM程序本身没有被改写（MD5没变化）。

附件: 15584720061110152203.jpg

先收藏了 嘿嘿 学习下  冰刃还不敢用

......xinkugaoshou
```

真是杀之不尽,层出不穷

引用:

【mopery的贴子】猫叔 测试还是有点错误哦.. 艾玛说 感染QQ 还感染 讯雷.. 这玩意会比较难对付.. ………………

谢谢,看了这个,我终于把它杀了
感染讯雷这个是确定了
不把QQ,讯雷删除,只要你重启或注销(正常模式下,只要QQ,讯雷一运行,con.exe都会运行

真晕，原来wow.exe也是木马,竟然没看出来

就怕浪费了时间，结果还是要重装，那不是累得半S，晕！

学习.....

还是回一个吧

简要提一下“下载者con.exe”的清除建议：

该程序利用windows保留设备名的漏洞存在于系统中，造成我们清除的麻烦。


建议删除的文件有：
\\.\C\windws\system\con.exe
con.bat
system32.tmp
system32.vxd
vioak`r.dll
SYSTEM.tmd
SYSTEM.vxd

SOFTWARE\tencent\QQ
QQLiveUpdate.exe
Qzone\Qzone.exe
MagicFlash.exe
TIMPlatform.exe
SOFTWARE\Thunder Network\ThunderOem\thunder_backwnd
Thunder5.exe

PS：由于删除了QQ及讯雷的程序文件，建议删除后重装两程序

+++++++++++++++++++++++++++++++++++

附录windows保留设备名：
具有相同性质的文件夹有：（con、aux、nul、prn、com1、com2）
具有相同性质的文件名有：（aux.exe、nul.exe、prn.exe、com1.exe、com2.exe、con.exe）

本文未涉及con.exe所下载的(hxxp://nb1.993311.com/123.txt)木马病毒的清除。

以上仅个人建议与参照，本人对因此操作造成的问题不承担责任。

分析原贴：http://hi.baidu.com/killvir/blog/item/04b39d167fb5e251f3de329c.html