关于新pagefile.pif病毒（兼答“大连蓝天”） bbs.ikaka.com

baohe - 2007-12-20 21:05:00

在Thinkpad T60p本本上搞了搞，终于能运行你的样本了。

此毒运行后，我U盘中保存的唯一可执行文件explorer.exe由995K变为1156K；图标变花（图）。用SSM禁止病毒程序LSASS.EXE和SMSS.EXE运行后，U盘中的染毒文件以及autorun.inf、pagefile.pif均可直接删除。

由于我的本本只有一个分区，其它分区的文件感染情况无法观察。估计pagefile.pif同样会感染系统分区以外的.exe文件。

此外，此毒释放下列文件（可用XDELBOX删除）：
C:\windows\system32\com\LSASS.EXE
C:\windows\system32\com\SMSS.EXE
C:\windows\system32\com\netcfg.000
C:\windows\system32\com\netcfg.dll
注：多分区硬盘，可能还会有：
C:\autorun.inf
C:\pagefile.pif
D:\autorun.inf
D:\pagefile.pif
E:\autorun.inf
E:\pagefile.pif
F:\autorun.inf
F:\pagefile.pif
.
.
.
.
这个毒有点儿意思。运行后，IceSword、SRENG等常用工具基本报废（虽然能运行这些工具，但不能执行任何实际操作。）
用SSM禁止C:\windows\system32\com\LSASS.EXE和C:\windows\system32\com\SMSS.EXE运行后，上述工具才能正常使用。

SRENG日志所见异常如下：
==================================
正在运行的进程

[PID: 2856 / baohelin][C:\windows\system32\com\LSASS.EXE] [N/A, ]
[C:\windows\system32\PROCHLP.DLL] [Lenovo Group Limited, 2, 0, 6, 0]
[C:\Program Files\Lenovo\Client Security Solution\tvtpwm_windows_hook.dll] [Lenovo Group Limited, 2.0.0]

[PID: 2116 / baohelin][C:\windows\system32\com\SMSS.EXE] [N/A, ]
[C:\windows\system32\PROCHLP.DLL] [Lenovo Group Limited, 2, 0, 6, 0]
[C:\Program Files\Lenovo\Client Security Solution\tvtpwm_windows_hook.dll] [Lenovo Group Limited, 2.0.0]

==================================
Autorun.inf
N/A
==================================
进程特权扫描

特殊特权被允许： SeLoadDriverPrivilege [PID = 2856, C:\WINDOWS\SYSTEM32\COM\LSASS.EXE]
特殊特权被允许： SeLoadDriverPrivilege [PID = 2116, C:\WINDOWS\SYSTEM32\COM\SMSS.EXE]

==================================

病毒篡改的注册表内容如下：
HKEY_CLASSES_ROOT\CLSID\ 添加了{D9901239-34A2-448D-A000-3705544ECE9D}
HKEY_CLASSES_ROOT\CLSID\ 添加了{C50EC9C4-0F7F-407F-B084-D1147FE9DDCC}
HKEY_CLASSES_ROOT\Component Categories\ 添加了{7DD95801-9882-11CF-9FA9-00AA006C42C4}
HKEY_CLASSES_ROOT\Component Categories\ 添加了{7DD95802-9882-11CF-9FA9-00AA006C42C4}
HKEY_CLASSES_ROOT\ 添加了IFOBJ.IfObjCtrl.1
HKEY_CLASSES_ROOT\Interface\ 添加了{2D96C4BF-8DCA-4A97-A24A-896FF841AE2D}
HKEY_CLASSES_ROOT\Interface\ 添加了{AAC17985-187F-4457-A841-E60BAE6359C2}
HKEY_CLASSES_ROOT\TypeLib\ 添加了{814293BA-8708-42E9-A6B7-1BD3172B9DDF}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\ 删除了IMAIL
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\ 删除了MAPI
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\ 删除了MSFS
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ 删除了{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ 删除了{4D36E967-E325-11CE-BFC1-08002BE10318}

[用户系统信息]Opera/9.22 (Windows NT 5.1; U; zh-cn)

附件: 15584720071220205411.jpg

求知而来 - 2007-12-20 21:13:00

抢到猫叔的沙发
猫叔能帮我看看我中的毒吗？

大连蓝天 - 2007-12-20 21:16:00

感谢

newcenturymoon - 2007-12-20 21:17:00

这个东西还会感染压缩包内的exe文件不知猫叔发现没有最近很流行的说

baohe - 2007-12-20 21:21:00

引用:

【newcenturymoon的贴子】这个东西还会感染压缩包内的exe文件不知猫叔发现没有最近很流行的说
………………

压缩包中的文件感染观察到了。病毒先在c:\windows\system32\com\文件夹中创建一个与被感染压缩包同名的.bak，接着，估计是该搞那些文件了；然后，又将搞过鬼的压缩文件放回原处，再删除c:\windows\system32\com\文件夹中那个同名的.bak

newcenturymoon - 2007-12-20 21:30:00

http://secure.itdigger.com/2007/12/17/364287098171.htm
上周分析的不过上周没发现有这么严重这周可能再找样本写一下

天月来了 - 2007-12-20 21:34:00

这毒才象个样。

终于玩死人了。

天月来了 - 2007-12-20 21:35:00

至于SRENG工具，感觉并不够强。

我自己的电脑里，因为很久没弄什么了，所以一直几个月没扫个SRENG日志看看了。

刚才扫日志时，竟然发现SRENG工具不论在哪种系统模式下都不能扫出进程数PID小于1200的所有系统进程。

安全模式下，也只扫到PID在700以后的，呵呵！！！

SRENG工具也不是很强的了。

过客2007 - 2007-12-20 21:36:00

这毒比较牛啊..

把瑞星监控都给弄没了。/。

我先按着猫叔的删除那些多余的注册表试试。。

baohe - 2007-12-20 21:38:00

引用:

【过客2007的贴子】这毒比较牛啊..

把瑞星监控都给弄没了。/。

我先按着猫叔的删除那些多余的注册表试试。。
………………

汗！
我是开着瑞星玩儿的。
病毒、瑞星————二者相安无事。

以毒攻毒攻无不克 - 2007-12-20 21:47:00

因该只是个测试版的病毒

天月来了 - 2007-12-20 21:49:00

这毒在不同的系统中，有不同的结果。

呵呵！！！！！

bluerain333 - 2007-12-20 21:56:00

嗯。。。我觉得，我也中招了。。。。。

UFO不幸外人 - 2007-12-20 22:20:00

晕死…… 但是这个病毒还删除注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run里面的内容我虚拟机炮出来的

UFO不幸外人 - 2007-12-20 22:21:00

还有病毒样本是我提供给蓝天的……………………因为不知道怎么给你……

hotboy - 2007-12-20 22:24:00

强烈关注Thinkpad T60p

baohe - 2007-12-20 22:36:00

引用:

【UFO不幸外人的贴子】晕死…… 但是这个病毒还删除注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run里面的内容我虚拟机炮出来的
………………

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\ 删除了IMAIL
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\ 删除了MAPI
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\ 删除了MSFS

天月来了 - 2007-12-20 22:46:00

引用:

【hotboy的贴子】强烈关注Thinkpad T60p
………………

呵呵！！

那坏了，你可高兴了

一生孤心 - 2007-12-20 23:01:00

这个病毒我今天也弄到样本了，注册表里的动作惊人的大

bluerain333 - 2007-12-21 0:20:00

很好，很强大~
然后注册表要怎么修复。。。。

Aasetup - 2007-12-21 0:52:00

谢谢猫叔
收下问题:记住文件名等用XDELBOX 删除, 被染的RAR ZIP 杀软可以清理掉吧?

moooon - 2007-12-21 9:25:00

哎搞了三天还没搞定希望瑞星尽快更新病毒库和出专杀
电脑都崩溃了

姑苏残月 - 2007-12-21 10:58:00

这个有点意思，猫叔，样本发个来玩玩

新版小欧 - 2007-12-21 12:53:00

引用:

【newcenturymoon的贴子】这个东西还会感染压缩包内的exe文件不知猫叔发现没有最近很流行的说
………………

晕~这还了得???

一生孤心 - 2007-12-21 14:06:00

尝试了下手杀，失败~~~无限郁闷中……这病毒咋这强呢

xqb761 - 2007-12-21 14:52:00

这个病毒好玩啊,我玩了几次了~~
对于那些被感染的EXE文件,再运行一下就可以恢复,当然那病毒也就会再运行,不过不用怕EXE再被感染,因为你要快(呵呵),病毒一运行,就删掉SMSS和LSASS,就没事了,EXE文件多的话,有耐心就一个个点,没的话就等专杀吧~~呵`~~

病毒样本,我也有~~~嘿嘿~~

独孤豪侠 - 2007-12-21 16:00:00

呵呵.....学习了..

Leoooo - 2007-12-21 17:11:00

该病毒变种非常多，特别是针对杀软不停的出变种。大家如果发现瑞星查不到的变种，请尽快发送到http://up.rising.com.cn/webmail/uploadnew.htm。瑞星会用最快速度处理该病毒，能够正常恢复被感染的文件和修复注册表文件，还原一个干净的系统给用户！

FCOME - 2007-12-21 17:48:00

【回复“baohe”的帖子】
猫叔看下这个帖子
http://forum.ikaka.com/topic.asp?board=28&artid=8407587
我朋友的机器没有你说的
C:\windows\system32\com\LSASS.EXE
C:\windows\system32\com\SMSS.EXE
C:\windows\system32\com\netcfg.000
C:\windows\system32\com\netcfg.dll

开始有的删除后
也把每个分区下的那两个删除了！
但过段时间又有了！
猫叔看看是不是还有什么再搞鬼！
谢谢了！

zhongzhi - 2007-12-21 18:26:00

引用:

【以毒攻毒攻无不克的贴子】因该只是个测试版的病毒
………………

这么凶还在测试，如果弄成型了，岂不更厉害？

瑞星卡卡安全论坛