瑞星卡卡安全论坛

孤独更可靠的分析：



1、释放病毒文件：



C:\Windows\system32\niu.exe 18944 字节

C:\Windows\system32\Autorun.inf 159 字节



2、遍历磁盘，尝试在C-Z盘下生成Autorun.inf和niu.exe。



Autorun.inf内容：



[AutoRun]
open=niu.exe
shell\open=打开(&O)
shell\open\Command=niu.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=niu.exe



3、连接203.171.233.2**（河南省郑州市 景安计算机网络技术有限公司）下载15个木马：



（中途死了一只，汗``）



C:\WINNT\system32\1.exe
C:\WINNT\system32\1.DAT
C:\WINNT\system32\2.exe
C:\WINNT\system32\xyfini.dll
C:\WINNT\system32\xyfpri.dll
C:\WINNT\system32\4.exe
C:\WINNT\system32\4.DAT
C:\WINNT\system32\6.exe
C:\WINNT\system32\tlmini.dll
C:\WINNT\system32\tlmpri.dll
C:\WINNT\system32\7.exe
C:\WINNT\system32\7.DAT
C:\WINNT\system32\8.exe
C:\WINNT\system32\8.DAT
C:\WINNT\system32\11.exe
C:\WINNT\system32\ztkini.dll
C:\WINNT\system32\ztkpri.dll
C:\WINNT\system32\13.exe
C:\WINNT\system32\zxeini.dll
C:\WINNT\system32\zxepri.dll
C:\WINNT\system32\TIMHost.dll
C:\WINNT\TIMHost.exe



包括魔域、梦幻、完美世界、华夏等``（还有几个不认得是什么游戏的``=。=）



4、下载的木马群比较恶劣，使用Hook技术（WH_CBT）挂钩Explorer，检测下面窗口并尝试点击：



瑞星注册表监控提示-- 同意修改 确定



瑞星卡卡上网安全助手 - IE防漏墙允许执行  IE 执行保护确定 允许执行 确定



允许 创建规则 跳过(&S) （卡吧的检测窗口）






解决方法：



http://free.ys168.com/?gudugengkekao



下载冰刃和SREng（自己网上搜索）



1、打开冰刃，设置禁止进线程创建，确定。



2、冰刃“文件”功能，删除：



C:\Windows\system32\niu.exe
C:\Windows\system32\Autorun.inf



C:\WINNT\system32\1.exe
C:\WINNT\system32\1.DAT
C:\WINNT\system32\2.exe
C:\WINNT\system32\xyfini.dll
C:\WINNT\system32\xyfpri.dll
C:\WINNT\system32\4.exe
C:\WINNT\system32\4.DAT
C:\WINNT\system32\6.exe
C:\WINNT\system32\tlmini.dll
C:\WINNT\system32\tlmpri.dll
C:\WINNT\system32\7.exe
C:\WINNT\system32\7.DAT
C:\WINNT\system32\8.exe
C:\WINNT\system32\8.DAT
C:\WINNT\system32\11.exe
C:\WINNT\system32\ztkini.dll
C:\WINNT\system32\ztkpri.dll
C:\WINNT\system32\13.exe
C:\WINNT\system32\zxeini.dll
C:\WINNT\system32\zxepri.dll
C:\WINNT\system32\TIMHost.dll
C:\WINNT\TIMHost.exe



每个分区下的Autorun.inf和niu.exe



（注意不要漏了，不然又要重来``）



3、设置冰刃，重启并监视。



4、重启后不要连接运行进程等，直接打开SREng，删除：



HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run



    <TIMHost><C:\winnt\TIMHost.exe>  []



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks



    <{713AF41A-21B1-131B-1BFC-D2A90DF4A2B7}><C:\winnt\system32\xyfpri.dll>  []
    <{212BC423-3713-224D-3F55-32B35C62B112}><C:\winnt\system32\tlmpri.dll>  []
    <{B1351752-5628-1547-FFAB-BADC13512AFB}><C:\winnt\system32\ztkpri.dll>  []
    <{5A65498A-7653-9801-1647-987114AB7F45}><C:\winnt\system32\zxepri.dll>  []


[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

孤独是在2000系统下测试的病毒

我拿回样本。机器的情况如下：
XP2的系统，补丁打全，08体验版的瑞星，关闭了自动播放。
病毒无法运行，关闭瑞星的监控，病毒运行，但是个太监！
怀疑是杀软在防护。把瑞星删除，防火墙删除，卡卡关闭保护。重起，再次运行病毒！
还是个太监！！！！

劫持没有出现。运行SRENG看到日志不正常项目：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <crsss><C:\WINDOWS\system32\niu.exe>  []

Autorun.inf
[C:\]
[AutoRun]
open=niu.exe
shell\open=打开(&O)
shell\open\Command=niu.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=niu.exe
[D:\]
[AutoRun]
open=niu.exe
shell\open=打开(&O)
shell\open\Command=niu.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=niu.exe
[E:\]
[AutoRun]
open=niu.exe
shell\open=打开(&O)
shell\open\Command=niu.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=niu.exe
[F:\]
[AutoRun]
open=niu.exe
shell\open=打开(&O)
shell\open\Command=niu.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=niu.exe

删除即可

PS：IFEO的权限没有设置过拒绝修改。

但是有一点，我猜想很关键。
我关闭了注册表的这里的修改权限
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

没有出现孤独高手测试的
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks



<{713AF41A-21B1-131B-1BFC-D2A90DF4A2B7}><C:\winnt\system32\xyfpri.dll> []
<{212BC423-3713-224D-3F55-32B35C62B112}><C:\winnt\system32\tlmpri.dll> []
<{B1351752-5628-1547-FFAB-BADC13512AFB}><C:\winnt\system32\ztkpri.dll> []
<{5A65498A-7653-9801-1647-987114AB7F45}><C:\winnt\system32\zxepri.dll> []

也许就是这个病毒成太监的原因吧

PS：不知道这个niu.exe 是不是论坛里几个朋友出现那个什么
“禽兽尚且有点怜悯之心，而我一点都没有，所以我不是禽兽”

LZ 能不能提供各样本给我 谢谢

Drackla@163.com

此牛非彼牛也!

我写的那个分析很早的了,是个下载器

http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/a627b31692653b53f3de32ba.html/cmtid/1bccac02b81c260c4bfb5197#1bccac02b81c260c4bfb5197

2007-07-29 18:08的了

PS:把你的"牛"发个给我:

Lyhan_1988@163.com

加密virus

引用:

【孤独更可靠的贴子】此牛非彼牛也! 我写的那个分析很早的了,是个下载器 http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/a627b31692653b53f3de32ba.html/cmtid/1bccac02b81c260c4bfb5197#1bccac02b81c260c4bfb5197 2007-07-29 18:08的了 PS:把你的"牛"发个给我: Lyhan_1988@163.com 加密virus ………………

发发发个毛毛啊~~


都是一个牛牛耶，从你那搞来滴~
江民社区你发的帖子里面的那个连接撒
晕菜菜了

引用:

【日不懂啊的贴子】 发发发个毛毛啊~~ 都是一个牛牛耶，从你那搞来滴~ 江民社区你发的帖子里面的那个连接撒 晕菜菜了 ………………

!!!

niu.exe应该不是那个 禽兽的病毒

恩，搞错了

今天找了了一天了，还是没弄到那个禽兽病毒样本
阳光大大弄到的话，也给偶发个吧，谢谢啦~~~嘿嘿

谁有病毒文件加我QQ79588805

引用:

【病毒研究菜鸟的贴子】谁有病毒文件加我QQ79588805 ………………

病毒样本不可以随便传播

………………

没错

http://www.2kxs.com/files/article/html/48/48110/你只要打开这个网页就会有那病毒样本了,我就是去这网页看书中的,真搞不懂这个网页在百度搜索"玉仙缘"还排在第一位
我对这反病毒不是太清楚,不过我只知道打开那网页的瑞星同卡卡上网助手都没有用了.而且也有楼主说的那些文件,不过还好我装了还原精灵,重启就没了,然后再用卡卡的文件粉碎功能把D:E:的那两个文件删了,再把瑞星删了,因为我的瑞星是装在D盘还原精灵没保护.所以只有删了再重装,不重装没有用,能打开也能杀就是杀不了.......也不能升级

这个样本是很早的DD。现在的变种危害性比较大
http://hi.baidu.com/newcenturysun/blog/item/19c2bf64d3fc41f3f7365482.html
可以参照阳光斑竹的分析（XP系统）
http://forum.jiangmin.com/dispbbs.asp?boardID=40&ID=501570&page=5孤独更可靠（2000系统）

还是发我信箱吧
j542936@126.com

金山的爱毒霸论坛有禽兽病毒的分析报告，大家可以去看一看。

还好这毒在别的盘就只有那两文件,把C盘还原了也不难清除^_^