瑞星卡卡安全论坛

File: IO.pif
Size: 19456 bytes
MD5: 90C509FA6A6C2FA798DBE1CFD7F0E4F1
SHA1: DBF721F48369CFBB2B88D0F5D707924A7FE185EC
CRC32: 9822E714

生成如下文件：
%Program Files%\Common Files\Services\svchost.exe
%system32%\DirectX10.dll
在每个分区下面生成一个autorun.inf和IO.pif
达到通过U盘等移动存储传播的目的

调用Cmd利用net stop命令停止以下服务
mcshield
Norton Antivirus Auto Protect Service
Windows Firewall/Internet Connection Sharing (ICS)
System Restore Service

结束如下进程
regedit.exe
taskgmr.exe
360tray.exe
360safe.exe
噬菌体
木马克星
WoptiClean.exe
EGHOST.exe
Iparmor.exe
MAILMON.EXE
KAVPFW.exe
RogueCleaner.exe

顺序查找以下注册表键值
?.S-1-5-21-1801674531-1645522239-725345543-1003\Software\JetCar\JetCar\General的AppPath键值
SOFTWARE\Thunder Network\ThunderOem\thunder_backwnd里面的Path键值
?.Software\Microsoft\Windows\CurrentVersion\App Paths\MSMSGS.EXE
?.Software\Microsoft\Windows\CurrentVersion\App Paths\IEXPLORE.EXE
?.Software\TENCENT\PLATFORM_TYPE_LIST\1 的TypePath键值
以分别获得网际快车，迅雷，MSN，IE，QQ的安装路径
如果查找到了那么即启动相应的文件
（查找方式为顺序查找，如果查找到安装了网际快车，则启动网际快车，不再往下查找）

启动相应的文件以后把自身注入到该进程空间之中，连接网络，下载木马。
http://*.cn/hz/1.exe~http://*.cn/hz/20.exe
到%Program Files%\Internet Explorer\PLUGINS下面
命名为随机8位字母和数字组合。

木马植入完毕以后主要生成如下文件（包括但不限于）
%Program Files%\Internet Explorer\PLUGINS\SysWin64.Jmp
%Program Files%\Internet Explorer\PLUGINS\WinSys64.Sys
%Program Files%\NetMeeting\avpms.dat
%Program Files%\NetMeeting\avpms.exe
%Program Files%\NetMeeting\rav*mon.dat（*为随机两位字母）
%Program Files%\NetMeeting\rav*mon.exe（*为随机两位字母）
%systemroot%\ifc222.dll
%systemroot%\qiji.dll
%systemroot%\rx.dll
%systemroot%\sourro.exe
%systemroot%\winlogor.exe
%systemroot%\Winnt.exe
%SystemRoot%\intent.exe
以及以下这些随机7位字母组合文件名的一些盗号木马
%system32%\avwlain.dll
%system32%\avwlamn.dll
%system32%\avwlast.exe
%system32%\avzxain.dll
%system32%\avzxamn.dll
%system32%\avzxast.exe
%system32%\kaqhacs.dll
%system32%\kaqhcaz.exe
%system32%\kaqhczy.dll
%system32%\kvdxacf.dll
%system32%\kvdxbis.exe
%system32%\kvdxbma.dll
%system32%\kvmxacf.dll
%system32%\kvmxcis.exe
%system32%\kvmxcma.dll
%system32%\rsjzafg.dll
%system32%\rsjzapm.dll
%system32%\rsjzasp.exe
%system32%\rsmyafg.dll
%system32%\rsmyapm.dll
%system32%\rsmyasp.exe

其中的盗号木马会盗取如下网络游戏帐号和密码（包括但不限于）
大话西游II
魔域
完美世界
机战
华夏
魔兽世界
问道
征途
热血江湖
奇迹世界
QQ

下载的木马有禁止自动更新和微软的防火墙的作用
并且会把时间修改成2099年1月1日

sreng日志反映如下：

启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
      <w><%SystemRoot%\WinRaR.exe>    [N/A]
      <wm><%SystemRoot%\winlogor.exe>    []
      <wl><%SystemRoot%\intent.exe>    [N/A]
      <mm><%SystemRoot%\sourro.exe>    []
      <zx><%SystemRoot%\winadr.exe>    [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
      <ravztmon><C:\Program Files\NetMeeting\ravztmon.exe>    []
      <avpms><C:\Program Files\NetMeeting\avpms.exe>    []
      <ravwdmon><C:\Program Files\NetMeeting\ravwdmon.exe>    []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
      <{1E32FA58-3453-FA2D-BC49-F340348ACCE1}><C:\WINDOWS\system32\rsmyapm.dll>    []
      <{2C87A354-ABC3-DEDE-FF33-3213FD7447C2}><C:\WINDOWS\system32\kvdxbma.dll>    []
      <{3D47B341-43DF-4563-753F-345FFA3157D3}><C:\WINDOWS\system32\kvmxcma.dll>    []
      <{1960356A-458E-DE24-BD50-268F589A56A1}><C:\WINDOWS\system32\avwlamn.dll>    []
      <{12FAACDE-34DA-CCD4-AB4D-DA34485A3421}><C:\WINDOWS\system32\rsjzapm.dll>    []
      <{1859245F-345D-BC13-AC4F-145D47DA34F1}><C:\WINDOWS\system32\avzxamn.dll>    []
      <{37D81718-1314-5200-2597-587901018073}><C:\WINDOWS\system32\kaqhczy.dll>    []

==================================
正在运行的进程
[PID: *][C:\WINDOWS\Explorer.EXE] 
      [C:\WINDOWS\system32\avwlamn.dll]    [N/A, ]
      [C:\WINDOWS\system32\rsmyapm.dll]    [N/A, ]
      [C:\WINDOWS\system32\kvdxbma.dll]    [N/A, ]
      [C:\WINDOWS\system32\kvmxcma.dll]    [N/A, ]
      [C:\WINDOWS\system32\rsjzapm.dll]    [N/A, ]
      [C:\WINDOWS\system32\avzxamn.dll]    [N/A, ]
      [C:\WINDOWS\system32\kaqhczy.dll]    [N/A, ]
      [C:\Program Files\NetMeeting\ravztmon.dat]    [N/A, ]
      [C:\Program Files\NetMeeting\avpms.dat]    [N/A, ]
      [C:\Program Files\NetMeeting\ravwdmon.dat]    [N/A, ]
      [C:\WINDOWS\ifc222.dll]    [N/A, ]
      [C:\WINDOWS\qiji.dll]    [N/A, ]

清除办法：
一、清除病毒主程序：

首先把系统时间改正确
下载Sreng（http://download.kztechs.com/files/sreng2.zip）
重启计算机进入安全模式

双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示

确定更改时，单击“是” 然后确定

右键点击C盘（系统盘） 点击右键菜单中的“打开” 打开磁盘



[用户系统信息]Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; InfoPath.2)


附件: 5543452007915170955.jpg

删除C:\Io.pif
C:\autorun.inf
%Program Files%\Common Files\Services\svchost.exe
%system32%\DirectX10.dll
同样右键点击其他盘 点击右键菜单中的“打开” 打开磁盘
删除Io.pif和autorun.inf

二、清除下载的木马
1.还是在安全模式下
打开sreng
启动项目    注册表 删除如下项目
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
      <w><%SystemRoot%\WinRaR.exe>    [N/A]
      <wm><%SystemRoot%\winlogor.exe>    []
      <wl><%SystemRoot%\intent.exe>    [N/A]
      <mm><%SystemRoot%\sourro.exe>    []
      <zx><%SystemRoot%\winadr.exe>    [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
      <ravztmon><C:\Program Files\NetMeeting\ravztmon.exe>    []
      <avpms><C:\Program Files\NetMeeting\avpms.exe>    []
      <ravwdmon><C:\Program Files\NetMeeting\ravwdmon.exe>    []
双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示

确定更改时，单击“是” 然后确定
删除如下文件%Program Files%\Internet Explorer\PLUGINS\SysWin64.Jmp
%Program Files%\Internet Explorer\PLUGINS\WinSys64.Sys
%Program Files%\NetMeeting\avpms.dat
%Program Files%\NetMeeting\avpms.exe
%Program Files%\NetMeeting\rav*mon.dat（*为随机两位字母）
%Program Files%\NetMeeting\rav*mon.exe（*为随机两位字母）
%systemroot%\ifc222.dll
%systemroot%\qiji.dll
%systemroot%\rx.dll
%systemroot%\sourro.exe
%systemroot%\winlogor.exe
%systemroot%\Winnt.exe
%SystemRoot%\intent.exe

2.清除随机7位的dll盗号木马
（其实这些就是*pri.dll的变种，仍可以采用重命名方法清除）
仍然是在安全模式下
打开sreng 启动项目 注册表
查看[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]下面的随机7位字母的dll文件，记住他们的名字
然后
双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定


打开C:\windows\system32文件夹 单击上面的搜索按钮
更多高级选项中 要钩选 搜索隐藏的文件和文件夹

分别搜索你记下来的那些随机7位的dll



附件: 5543452007915171021.jpg

右键分别把 这些文件重命名 命名的名字自己要记住 最好有规律
重启计算机后

打开sreng
启动项目    注册表 删除如下项目 （即你刚才在启动项目中看见的所有随机7位字母dll的项目）
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
      <{1E32FA58-3453-FA2D-BC49-F340348ACCE1}><C:\WINDOWS\system32\rsmyapm.dll>    []
      <{2C87A354-ABC3-DEDE-FF33-3213FD7447C2}><C:\WINDOWS\system32\kvdxbma.dll>    []
      <{3D47B341-43DF-4563-753F-345FFA3157D3}><C:\WINDOWS\system32\kvmxcma.dll>    []
      <{1960356A-458E-DE24-BD50-268F589A56A1}><C:\WINDOWS\system32\avwlamn.dll>    []
      <{12FAACDE-34DA-CCD4-AB4D-DA34485A3421}><C:\WINDOWS\system32\rsjzapm.dll>    []
      <{1859245F-345D-BC13-AC4F-145D47DA34F1}><C:\WINDOWS\system32\avzxamn.dll>    []
      <{37D81718-1314-5200-2597-587901018073}><C:\WINDOWS\system32\kaqhczy.dll>    []
双击AppInit_DLLs把器键值改为空

并删除刚才重命名的那些dll文件

注：%System32%是一个可变路径。
Windows2000/NT中默认的安装路径是C:\Winnt\System32，windows95/98/me中默认的安装路径是C:\Windows\System，windowsXP中默认的安装路径是C:\Windows\System32。

%SystemRoot%/        WINDODWS所在目录

%ProgramFiles%\      系统程序默认安装目录

坐个沙发先,,又出变种了,呵呵.看来病毒区要更忙了.

顶阳光!
分析得好彻底哟~~~
收藏,学习:)

这个杀法很有条理，对于学习杀毒或者解除病毒的来说，读了都会受益，支持!

能否给个样本？谢谢

路过,支持一下咯~~~~~

和以前的病毒的解法差不多,不过这病毒可以通过相关网络程序进行对外连接,下载木马和病毒.想法不错~

引用:

【水树雨下的贴子】能否给个样本？谢谢 ………………

邮箱地址？

我也要一个.qcqyt1983@163.com
谢谢了.

分析的很详细，学习了，收藏先...

版主老大可否也给俺个样本......
谢谢！
俺的邮箱：tangxiong851018@126.com

学习中……

不好意思，邮箱忘说了mizukiuka@163.com

对比了，我的tiny无漏洞，ok

请问楼主：右键打开和用资源管理器打开是一样的吗？

请问楼主：右键打开和用资源管理器打开是一样的吗？

版主老大可否也给俺个样本......
谢谢！
俺的邮箱：tangxiong851018@126.com

麻烦楼主也给我一个样本吧，之前杀过这个病毒，有点不一样。
ericwong_neu@yahoo.com.cn 谢了

楼主我也要一个邮箱w520baby@163.com

阳光，给我个样本，谢谢~~~

学习了

样本已收到.........
谢谢：清新阳光"

谢谢你了

链接失效的？。。。。

找了链接了

www.webye163

我收藏了 哈哈  hou2298@yahoo.com.cn

谢了

请问下阳光 那几个要改名删除的文件在安全模式原本也会加载吗？
用冰刃不能直接删除吗？

这次的分析有点完了。不过够详细。

欢迎喜欢反病毒的各位高手朋友们加盟，共同学习、共同提高、再创辉煌。 群号:25306509  群名:反病毒救援中心