瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » tel.xls.exe 新变种.破坏系统文件mmc.exe
mopery - 2006-11-29 5:50:00
这个病毒前段时间刚写过..
http://forum.ikaka.com/topic.asp?board=28&artid=8202647

结果变种不断出...汗..U盘还真可怜..

这个变种 更可爱了..替换掉系统文件..

瑞星报 Worm.Suser.a 蠕虫..报得太离谱了..

运行样本后..
释放文件
C:\WINDOWS\BACKINF.TAB
C:\WINDOWS\Session.exe
C:\WINDOWS\svchost.exe
C:\WINDOWS\system32\FileKan.exe
C:\WINDOWS\system32\SocksA.exe
C:\WINDOWS\ufdata2000.log
%Temp%下释放两个随机名的临时文件(*.tmp)
替换掉系统文件 C:\WINDOWS\system32\mmc.exe (大小为61440字节.正常的应该是814592字节)

释放每个盘符下
AUTORUN.INF
tel.xls.exe

注册表添加
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[ASocksrv]SocksA.exe{0x00}{0x00}{0x00}{0x00}{0x00}

添加服务
[Smart Card Supervisor / mmc]
<C:\WINDOWS\system32\mmc.exe><N/A>*/

删除隐藏文件键值
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue

访问本地 127.0.0.1

清除方法:
1.Ctrl + Alt + Del 打开任务管理器
结束应用程序 kill 
结束进程 mmc.exe

2.删除添加的注册表以及服务
http://www.kztechs.com/sreng/sreng2.zip
下载 SREng 解压 运行-启动项目-注册表-删除
<ASocksrv><SocksA.exe> [1]

启动项目-服务-WIN32 应用程序
找到 [Smart Card Supervisor / mmc]
<C:\WINDOWS\system32\mmc.exe><N/A>  删除...

3.利用压缩工具 WINRAR 删除文件
C:\WINDOWS\BACKINF.TAB
C:\WINDOWS\Session.exe
C:\WINDOWS\svchost.exe
C:\WINDOWS\system32\FileKan.exe
C:\WINDOWS\system32\SocksA.exe
C:\WINDOWS\ufdata2000.log
C:\WINDOWS\system32\mmc.exe

还有每个盘符下的
AUTORUN.INF
tel.xls.exe

3.恢复显示隐藏文件功能
http://mopery.hits.io/yincang.zip
下载 解压 双击 不能显示隐藏文件.reg 导入即可..

4.去正常系统中复制一个 C:\WINDOWS\system32\mmc.exe 到本机..



好友的博客中有更为具体的分析
http://hi.baidu.com/hzqedison/blog/item/531e918f972d56fa513d92bb.html



附件: 6323982006112954742.jpg
水树雨下 - 2006-11-29 7:52:00
学习!
aikakaka - 2006-11-29 8:35:00
已阅,写的真及时!
好好学习学习,谢谢啦!要注意休息哦……
高歌猛进 - 2006-11-29 8:52:00
学习
可爱滴小白 - 2006-11-29 9:23:00
学习~``
雨中漫舞 - 2006-11-29 9:33:00
请问Windows\Temp\71139.exe和Windows\system32\scanft.dll这两个是病毒吗?用瑞星查不出来,但是我用木马专家就查出来了,其中第一个删除不掉,第二删除后又会自动出现,我该怎么办?
叶·幽思 - 2006-11-29 10:01:00
是觉得怪,正常微软的文件后面怎么没有Microsoft Corporation,开始还以为是我把路径记错了,后来到system32下看了下,这个路径没错,至于是替换,还没想到(很保守的说了句:这个文件不用删除).

到服务又看了下有个"Smart Card"的服务,但是可执行文件路径又不对,比这个

[Windows User Mode Driver Framework / UMWdf]
  <C:\WINDOWS\system32\wdfmgr.exe><Microsoft Corporation>

还不会忽悠人.
NSEaman - 2006-11-29 11:46:00
1
deadmanzj - 2006-11-29 12:14:00
引用:
释放文件
C:\WINDOWS\BACKINF.TAB
C:\WINDOWS\Session.exe
C:\WINDOWS\svchost.exe
C:\WINDOWS\system32\FileKan.exe
C:\WINDOWS\system32\SocksA.exe
C:\WINDOWS\ufdata2000.log


汗。。怎么偶的沙箱都没。。晕了晕了,我的正常文件mmc.exe变成隐藏属性了,但是MD5值却没改动。。。诡异啊

闪电风暴 - 2006-11-29 12:43:00
学习
一颗蚕蛹 - 2006-11-29 14:05:00
错误签名 szAppName:QQ.exe    szAppVer:0000  szModName;hungapp  szModver  offset:0000000ru  如何处理?先谢了!
冰爽柠檬 - 2006-11-29 14:15:00
阅读中...(作者看来很强哟,有空多发点哟)
NSEaman - 2006-11-29 14:38:00
18.55以上版本已经可以查杀
怀安LEDA電腦 - 2006-11-29 17:08:00
高手,谢谢你提供的分析!
jmbt - 2006-11-29 19:37:00
谢谢
MercedesBenz - 2006-11-29 20:24:00
怎么这么多病毒,计算机是不是应该有点儿自愈能力。
特别的人 - 2006-11-29 20:25:00
ding 路过~~
东♂方♂旭 - 2006-11-29 21:08:00
学习一下
麦兜仔仔 - 2006-11-30 10:34:00
昨天在动物园那里下载了样本测试,文件名是tel.xls.exe~运行之后,修改了MMC.EXE文件,而且还感染了system下的rundll32.exe,service.exe,svchost.exe,verclsid.exe,wuauclt1.exe,wuauclt.exe,logonui.exe,还有system32/webm下的wmiprvse.exe只要其中一个程序运行就会再次自动修改mmc.exe,并且怀疑explorer.exe也被改了(这个不确定)
关键问题是,在测试运行病毒之后我重启了系统,结果出现了起码15+以上的服务,驱动还没研究..解决了那个tel.xls.exe,剩下现在这个MMC.EXE仍然无法搞定~..T_T



已经有分析出来了上面我说的那个样本~
http://www.cisrt.org/bbs/viewthread.php?tid=555
麦兜仔仔 - 2006-11-30 10:35:00
而且我并没有出现kill程序~但是其他情况跟楼主描述的一样~
病毒→客星 - 2006-11-30 10:53:00
【回复“mopery”的帖子】

试用后失败,删除不了,但是如果在安全模式下就可以删除,,没有删除的朋友注意了 !
青ぁ龙ぞ震⊙威 - 2006-11-30 13:45:00
学习了
火影忍者 - 2006-11-30 15:01:00
学习....
wy_1116 - 2006-11-30 17:30:00
谢谢,太及时了,我的电脑不知道中了什么病毒,结果导致所有的隐藏文件全部看不到了,重你这下了个文件解决了这个问题
猪知山 - 2006-11-30 19:21:00
关注
lsoho - 2006-11-30 21:31:00
学习ing
Radios - 2006-12-1 2:43:00
楼主,你运行病毒样本后怎么知道它释放了哪些东西,释放到了哪里呢?
1
查看完整版本: tel.xls.exe 新变种.破坏系统文件mmc.exe
© 2000 - 2026 Rising Corp. Ltd.