瑞星卡卡安全论坛

最近不少网友反映主页被锁定为main.94ak.com，导致这个问题的原因其实就是最近风行的一个名为soS.Exe的病毒所致，该病毒以前写过很多文章了，但发现最近该病毒正通过移动存储,大量的网页挂马和局域网arp欺骗方式疯狂传播，而且会下载大量木马，甚至包括机器狗病毒，中毒者机器基本接近崩溃，因此下面把该病毒的完整解决方案详述一下

病毒简要分析File: TxHMoU.Exe
Size: 27136 bytes
Modified: 2007年12月16日, 12:12:07
MD5: 3A1382BE0C9B07DC403EC06ECED29649
SHA1: B4AD5D523A52F09E82EC5AB8E1DE3E44ACA909A4
CRC32: 4514BDF2
加壳方式：UPX

1.病毒运行后，衍生如下副本：
%systemroot%\system32\AuToRUN.Inf
%systemroot%\system32\TxHMoU.Exe
在每个分区根目录下面生成AuToRUN.Inf和soS.Exe，达到通过U盘等移动存储传播的目的。

2.不断调用reg.exe进行相关的系统破坏，其中包括
(1)添加自身启动项目
(2)禁用Windows自动更新
(3)禁用任务管理器
(4)破坏显示隐藏文件
(5)不显示文件扩展名

3.遍历磁盘分区删除gho文件

4.感染所有磁盘分区的遍历所有磁盘分区的INDEX.ASP，.HTM，INDEX.PHP，DEFAULT.ASP，DEFAULT.PHP，

CONN.ASP文件,并在其尾部加入ieframe代码

5.连接网络下载3个txt文本文档，并把它们保存到%systemroot%\system32下面命名为FSEz.COM，

FSEx.COM，FSEc.COM，FSEv.COM，FSEb.COM等
这三个文本文档一般分别为
http://*/url.txt
http://*/IE.txt
http://*/table.txt

其中
IE.txt为锁定的主页的列表
table.txt为关闭指定窗口的关键字列表
url.txt为下载的木马列表
且table.txt，IE.txt会每隔几秒下载一次检查是否有更新..

之后会读取IE.txt的中的内容（里面一般为一个网址）
目前为http://main.94ak.com
之后病毒则会把IE主页锁定为http://main.94ak.com ，且使得Internet选项中主页设定项变灰。

table.txt为病毒试图关闭的窗口关键字列表，目前为：
360safe
木马
木馬
病毒
杀毒
殺毒
查毒
防毒
反病毒
专杀
專殺
卡巴
江民
瑞星
卡卡社区
金山毒霸
毒霸
金山
社区
360安全
恶意软件
流氓软件
举报
报警
杀软
殺軟
防駭
**
卡巴斯基
kaspersky
rising
瑞星
诺顿

之后会读取url.txt下载一系列木马和病毒
其中有目前比较流氓的机器狗病毒（破坏还原卡，替换userinit.exe）

中毒后的sreng日志如下：
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <crsss><%systemroot%\system32\TxHMoU.Exe> []
    <SSLDyn><%systemroot%\SSLDyn.exE> []
    <upxdnd><%systemroot%\upxdnd.exe> []
    <cmdbcs><%systemroot%\cmdbcs.exe> []
    <WinSysM><%systemroot%\608769M.exe> [N/A]
    <MsPrint32D><%systemroot%\hhbgkp.exe> []
    <KVP><%systemroot%\system32\drivers\svchost.exe> []
    <WinSysW><%systemroot%\608769L.exe> [N/A]
    <LotusHlp><%systemroot%\LotusHlp.exe> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><kaqhlzy.dll> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{9963387B-212E-4643-B207-82DAEA0E713D}><C:\Program Files\Internet

Explorer\PLUGINS\Wn_Sys8x.Sys> []
    <{521DAF25-0CF6-4605-A66D-010E84546FED}><%systemroot%\system32\edxqmewogy.dll>

[Microsoft Corporation]
    <{AC87A354-ABC3-DEDE-FF33-3213FD7447CA}><%systemroot%\system32\kvdxjma.dll> []
    <{7960356A-458E-DE24-BD50-268F589A56A7}><%systemroot%\system32\avwlgmn.dll> []
    <{BD561258-45F3-A451-F908-A258458226DB}><%systemroot%\system32\kvdxskma.dll> []
    <{8A1247C1-53DA-FF43-ABD3-345F323A48D8}><%systemroot%\system32\avwghmn.dll> []
    <{C7D81718-1314-5200-2597-58790101807C}><%systemroot%\system32\kaqhlzy.dll> []
    <{68907901-1416-3389-9981-372178569986}><%systemroot%\system32\kawdfzy.dll> []
    <{F6650011-3344-6688-4899-345FABCD156F}><%systemroot%\system32\ratbopi.dll> []
    <{88847374-8323-FADC-B443-4732ABCD3788}><%systemroot%\system32\sidjhzy.dll> []
    <{809B3B49-72F3-491E-87FA-1753DA02FA06}><%systemroot%\system32\vvneypgwnevm.dll>

[Microsoft Corporation]
    <{B859245F-345D-BC13-AC4F-145D47DA34FB}><%systemroot%\system32\avzxkmn.dll> []
    <{45679330-4034-9021-7012-909856721374}><%systemroot%\system32\wszjdzx.dll> []
==================================
驱动程序
[RAS Asynchronous Media Driver / AsyncMac][Running/Auto Start]
<system32\DRIVERS\comint32.sys><N/A>
[comint32 / comint32][Running/Manual Start]
<\??\%systemroot%\system32\DRIVERS\comint32.sys><N/A>
==================================
正在运行的进程
[PID: 1732][%systemroot%\Explorer.exe] [Microsoft Corporation, 6.00.2900.2180

(xpsp_sp2_rtm.040803-2158)]
    [%systemroot%\system32\kawdfzy.dll] [N/A, ]
    [C:\Program Files\Internet Explorer\PLUGINS\Wn_Sys8x.Sys] [N/A, ]
    [%systemroot%\system32\kvdxjma.dll] [N/A, ]
    [%systemroot%\system32\avwlgmn.dll] [N/A, ]
    [%systemroot%\system32\kvdxskma.dll] [N/A, ]
    [%systemroot%\system32\avwghmn.dll] [N/A, ]
    [%systemroot%\system32\kaqhlzy.dll] [N/A, ]
    [%systemroot%\system32\ratbopi.dll] [N/A, ]
    [%systemroot%\system32\sidjhzy.dll] [N/A, ]
    [%systemroot%\system32\avzxkmn.dll] [N/A, ]
    [%systemroot%\system32\wszjdzx.dll] [N/A, ]
    [%systemroot%\608769MM.DLL] [N/A, ]
    [%systemroot%\608769WL.DLL] [N/A, ]
    [%systemroot%\system32\MsPrint32D.dll] [N/A, ]
    [%systemroot%\system32\upxdnd.dll] [N/A, ]
    [%systemroot%\system32\LotusHlp.dll] [N/A, ]
    [%systemroot%\system32\cmdbcs.dll] [N/A, ]
    [%systemroot%\system32\SSLDyn.dll] [N/A, ]
    [%systemroot%\system32\kqldyqiyrj.dll] [Microsoft Corporation, 5.1.2600.3099]
    [%systemroot%\system32\ydysogypiasj.dll] [Microsoft Corporation, 5.1.2600.3099]
...

清除办法：
需要下载的工具：
1.sreng:http://download.kztechs.com/files/sreng2.zip
2.Xdelbox1.6版:http://www.dodudou.com/down/里面的原创软件文件夹下

强烈建议对病机断网隔离并拔掉机器上的移动存储设备再进行查杀！

一.清除病毒主程序TxHMoU.Exe
1.打开sreng
启动项目 注册表
删除
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <crsss><%systemroot%\system32\TxHMoU.Exe> []

重启计算机
打开sreng
系统修复 - Windows Shell/IE 全选 点击修复

之后双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定
点击 菜单栏下方的 文件夹按钮（搜索右边的按钮）

在左边的资源管理器中单击打开系统盘（假设在C盘）

附件: 55434520071216161045.jpg

删除%systemroot%\system32\TxHMoU.Exe
C:\soS.Exe
C:\autorun.inf
%systemroot%\system32\FSEb.COM
%systemroot%\system32\FSEc.COM
%systemroot%\system32\FSEx.COM
%systemroot%\system32\TxHMoU.Exe
同理 从左边的资源管理器中单击打开其它盘
删除soS.Exe，autorun.inf

二.清除病毒下载的木马（由于病毒服务器上的木马群会随时变化，所以此方法仅供参考）
需要使用刚刚下载的Xdelbox1.6
使用方法如下：
解压Xdelbox压缩包到一个文件夹
打开XDelBox.exe

在 添加旁边的框中 分别输入（有经验的朋友可以根据sreng日志列出下面的病毒列表）
%Program Files%\Internet Explorer\PLUGINS\Sy_Win7k.Jmp
%Program Files%\Internet Explorer\PLUGINS\Wn_Sys8x.Sys
%systemroot%\608769MM.DLL
%systemroot%\608769WL.DLL
%systemroot%\cmdbcs.exe
%systemroot%\LotusHlp.exe
%systemroot%\MsPrint32D.exe
%systemroot%\SSLDyn.exE
%systemroot%\system32\avwghmn.dll
%systemroot%\system32\avwghst.exe
%systemroot%\system32\avwlgmn.dll
%systemroot%\system32\avwlgst.exe
%systemroot%\system32\avzxkmn.dll
%systemroot%\system32\avzxkst.exe
%systemroot%\system32\cmdbcs.dll
%systemroot%\system32\drivers\comint32.sys
%systemroot%\system32\drivers\svchost.exe
%systemroot%\system32\edxqmewogy.dll
%systemroot%\system32\FTCCompress.dll
%systemroot%\system32\gdjzi32.dll
%systemroot%\system32\kaqhlaz.exe
%systemroot%\system32\kaqhlzy.dll
%systemroot%\system32\kawdfaz.exe
%systemroot%\system32\kawdfzy.dll
%systemroot%\system32\kvdxjisa.exe
%systemroot%\system32\kvdxjma.dll
%systemroot%\system32\kvdxskis.exe
%systemroot%\system32\kvdxskma.dll
%systemroot%\system32\LotusHlp.dll
%systemroot%\system32\LYLOADER.EXE
%systemroot%\system32\LYMANGR.DLL
%systemroot%\system32\MSDEG32.DLL
%systemroot%\system32\MsPrint32D.dll
%systemroot%\system32\msqdlsl32.dll
%systemroot%\system32\ratbopi.dll
%systemroot%\system32\ratbotl.exe
%systemroot%\system32\REGKEY.hiv
%systemroot%\system32\sidjhaz.exe
%systemroot%\system32\sidjhzy.dll
%systemroot%\system32\SSLDyn.dll
%systemroot%\system32\TxHMoU.Exe
%systemroot%\system32\upxdnd.dll
%systemroot%\system32\vvneypgwnevm.dll
%systemroot%\system32\wszjdax.exe
%systemroot%\system32\wszjdzx.dll
%systemroot%\upxdnd.exe
输入完一个以后 点击旁边的添加 按钮 被添加的文件 将出现在下面的大框中
然后在下面的大框中单击右键 点击 “立即重启进行删除”
软件会自动重启计算机



附件: 55434520071216161008.jpg

重启计算机以后 会有两个系统进入的选择的倒计时界面
第一个是你原来的windows系统
第二个是这个软件给你设定的dos系统
不用你管，它会自动选择进入第二个系统

附件: 55434520071216161024.jpg

类似dos的界面滚动完毕以后 对应的木马就被删除了
之后他会自动重启进入正常模式

重启计算机后
打开sreng
删除上述对应的启动项目

三.清理机器狗病毒
1.清理机器狗病毒的驱动程序
本次涉及到的是%systemroot%\system32\drivers\pcihdd.sys
方法使用Xdelbox直接删除该文件即可

2.其次机器狗病毒清理的关键是把被感染的userinit.exe替换回来。

注意：清理该病毒一定不要使用杀毒软件，因为杀毒软件会盲目的将userinit.exe删除而导致重启计算机后登陆就注销，所以一旦杀毒软件报警userinit.exe是病毒，一定要选择忽略!

请按照下面步骤操作将userinit.exe替换回来

首先打开任务管理器 查看是否有userinit.exe进程
有则结束它

从其他相同系统的机器中找一个userinit.exe分别复制到%systemroot%\system32\dllcache和%systemroot%\system32替换原先的文件（注意，先覆盖%systemroot%\system32\dllcache中的）
如果出现文件保护的对话框，点击是即可

四.由于病毒感染htm等网页文件 所以最后一定要使用杀毒软件全盘杀毒或者使用网页感染清除工具处理
推荐使用CSI的iframkill
下载地址：http://www.vaid.cn/blog/read.php?9

另外建议网管屏蔽以下IP地址
58.211.79.209
222.92.41.228
121.10.107.156
61.157.109.222
58.211.79.117

终于分析出来了。

看看。

谢谢`上个星期六也见到这个病毒

**

===============
呵呵，终于出名了，被木马作者注意了。

很好！

这马很无耻，没事感染文件干嘛！！

分析的透彻，那两个驱动又来了。别说查杀，连举报都封闭，存心置人于死地。
第二病毒有登录就注销的，可要好好看看了！
支持！

刚刚实战过这个玩意，一打开IceSword，满屏幕的reg.exe真是让人叹为观止。不过我那个主页没有被修改，不过Internet选项中主页设定同样不能用，隐藏文件注册表项被破坏，组策略管理器不能使用。同样是用XdelBox治掉的。

引用:

【天天泡泡的贴子】刚刚实战过这个玩意，一打开IceSword，满屏幕的reg.exe真是让人叹为观止。不过我那个主页没有被修改，不过Internet选项中主页设定同样不能用，隐藏文件注册表项被破坏，组策略管理器不能使用。同样是用XdelBox治掉的。 ………………

主页有没有被改 主要看那个 IE.txt里面是什么东西 如果是about:blank
当然就没被改咯

喔噻~!没想到这么多能力~~

阳光,给我个样本让我体会一下吧~!  谢谢!

上周应该处理过这个了，不过分析的确实详细。

确实高手~

文章已阅~

很全面，感谢。

还有个问题想请教

这个文件，你如何得知

1.清理机器狗病毒的驱动程序
本次涉及到的是%systemroot%\system32\drivers\pcihdd.sys

好详细啊  谢谢了 最近整这个病毒整太多了(太有缘!)

问题求证：
一、
2.不断调用reg.exe进行相关的系统破坏，其中包括
(1)添加自身启动项目
(2)禁用Windows自动更新
(3)禁用任务管理器
(4)破坏显示隐藏文件
(5)不显示文件扩展名

这部分似乎没有“不断调用”。只在主程序模块中调用进行一次。之后用SetTimer来循环调用的是，是用reg.exe修改主页并设置不能修改主页的部分，而不是进行上面这些破坏的部分吧？


二、
5.连接网络下载3个txt文本文档，并把它们保存到%systemroot%\system32下面命名为FSEz.COM，

FSEx.COM，FSEc.COM，FSEv.COM，FSEb.COM等
这三个文本文档一般分别为
http://*/url.txt
http://*/IE.txt
http://*/table.txt

URL地址只有三个，却下载到五个本地地址？
实际上，IE.txt被下载到FSEb.COM，url.txt被下载到FSEc.COM，table.txt被下载到FSEx.COM
那么，另外这两个FSEz.COM和FSEv.COM，到底是从哪里下载的？他们各自有什么用？
如果不下载IE.txt，就不会改主页。那么，病毒修改网页文件这个行为呢？它们跟FSEz.COM和FSEv.COM有没有关系？

三、病毒应该是先在%systemroot%\system32文件夹下创建AuToRUN.Inf，然后再复制到各盘符根目录的。

四、是不是不下载table.txt的话，病毒就不对杀毒软件进行破坏了？除了table.txt中所说的之外，病毒有没有内置其他的需要关闭的窗口标题？
除了用PostMessageA的办法关闭table.txt列出的窗口之外，病毒同样还有用SetTimer做出其他对抗安全软件的行为，在这个行为中，两个软件特别受病毒的“照顾”，是哪两个？病毒分别是怎么“照顾”它们的？

希望阳光再确认一下这几个疑点。不一定要在帖子中回答，但是最好搞清楚，这样对全面了解这个病毒的行为有好处。

我就中了..
机子快跪了...
亏了这文章...

已阅，不错，这毒还一般咯

我也中这个毒了。按上面的方法清理之后还有一个问题。
现象是：
在任意一个盘符（C/D/E....）下用以下方式排列图标：
排列图标---按组排列
排列图标---修改时间
排列之后图标被分成"这一千年的某个时候"组。
请问我该怎么解决这个问题。
谢谢

这个病毒在14号，也就是上周五在我们单位局域网爆发了！
当天，陆续8台计算机出现arp攻击现象，随后在问题计算机上就发现了这些特征的病毒，如果数量少，可以手工清除；（我发现一个就重装一个，好在计算机都是同型号的）当天，我就把这个病毒样本发给了瑞星公司，随后也更新了升级包。

总之，这个病毒比较难处理，不停的更新下载木马……举报公安机关处理。

谢谢楼主精彩分析，分析的透彻

楼主这几次分析播报的病毒木马我的机器里几乎全有，可是我自己的电脑技术水平实在是差，自己解决了，现在电脑里一直被控制着好几个Ｇ的隐藏分区！双核也被锁了一个变成单核了，真想得到高人的帮助指点！！

最近也楼住的百度帖子里看到，心底里的佩服！我要是有你一点点的电脑悟性也好啊，可是，哎，只能让病毒继续侵占我的电脑了。

我中了那个病毒了，可是跟版主分析的不一样，我在系统根目录下怎么找不见那么多文件啊，而且我的360卫士也被病毒自动关闭了，启动不了，我现在是把启动项里删的就剩微软的输入法和瑞星，还有360的arp防火墙了，然后我的ie主页就改过来了，但是360启动不了，我该怎么办啊

该用户帖子内容已被屏蔽

我是菜鸟,刚刚接触,本本也中了这个,请问斑竹能不能用联想自带的一键还原来解决啊,我不会斑竹说的手动清除啊

请斑竹快点回复啊,急急急!!!!!!