瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 菜鸟学堂 » 求教猫叔,这个新型木马如何手动清除之?
jks_风 - 2010-6-15 23:10:00


文件名:server.exe
CRC32: 238AAB13
MD5: C40DCD0EE8B8DC1D51C97AABF3093CCC
SHA-1: CD7DBB166AA4DB95D62B183CA211E4BBED2BEC41

这个病毒是一个盗号木马,图标高仿ACD,具有很高的伪装性,这个木马会释放并打开一个图片。个人感觉都是比较新的特性。但是苦于自己能力的不足,找不到手动删除的方法,特此请教猫叔。

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\\AppData
创建文件:C:\WINDOWS\mytupian.jpg
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\\Personal

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints\{e9429e60-44b9-11df-af12-806d6172696f}\\BaseClass

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e9429e61-44b9-11df-af12-806d6172696f}\\BaseClass

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e9429e62-44b9-11df-af12-806d6172696f}\\BaseClass

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e9429e65-44b9-11df-af12-ad4d1497141e}\\BaseClass

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\\Common

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\\Desktop

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\\Common

HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache\\C:\Program Files\ACDSee5


调用C:\Program Files\ACDSee5\ACDSee5.exe


于此同时调用C:\WINDOWS\system32\taskkill.exe不停的杀掉一些加载的dll文件


利用taskkill.exe 创建 inproc COM server WBEM Locator //这个没理解什么意思,好像是加载了一个什么服务项,但是没有发现有啥新建的服务


还是askkill.exe 创建 inproc COM server 好像是添加键值{00000000-0000-0000-0000-000000000000}

还是taskkill.exe创建 inproc COM server 应该是启动这个服务项Windows Management and Instrumentation

还是taskkill.exe创建 inproc COM server 好像是添加键值 {00000339-0000-0000-C000-000000000046}

还是taskkill.exe 使用Using dangerous system privileges(使用危险的系统特权) AdjustTokenPrivileges(SeDebugPrivilege)(这个也没知道是啥意思)

下面貌似写了一个循环保证Windows Management and Instrumentation能启动。


taskkill.exe Create inproc COM server(这句是什么意思?) PSFactoryBuffer

taskkill.exe Create inproc COM server (貌似是端口通信之类的服务还是啥)Microsoft WBEM WbemClassObject Marshalling proxy

这个盗号木马感觉是比较猥琐的那种,没有进程,没有服务项,网络连接一般的软件也是检测不出来的。那天SSM检测了下,感觉隐蔽性很好,回来又用TINY详细的看看,好像只是修改了一些注册表,还有加载动态函数库,服务之类运行前后也进行了比对下,运行完,和运行后几乎是一样的。

我现在是不知道怎么手动的删除它,以上是不详细的病毒行为分析报告吧。还请猫叔能指教下,哪个地方分析的不对,还有分析中要注意的事项,以及手动清除的方法,不胜感激。


附件: 盗号木马.rar (2010-6-15 23:09:52, 574.77 K)
该附件被下载次数 774



用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Sicent; WoShiHoney.B; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
dg328 - 2010-7-16 23:20:00
好像是QQ盗号的吧,不断的关闭QQ进程和查找QQ目录
jks_风 - 2010-7-28 23:29:00
恩 每天都能看见一些牛人 来坛子里。不知道咋分析了。求解
夲號ヱ被ジ盜 - 2010-7-28 23:43:00
没看到这个动作?

请去可疑文件交流区讨论


baohe - 2010-8-10 15:41:00
小儿科水平的一个QQ马。
此毒运行后,将QQ安装目录下的正常程序QQ.EXE(144K) 改名为QQ .EXE (注意文件名中加了一个空格),并将其设置为隐藏文件。
然后,在同一位置释放木马程序QQ.EXE(大小1M多)。
在%windows%目录下释放一个TBS.VBS及一张美女图片MyTupian.jpg。
用户登录QQ,则访问一个黑客地址,发送QQ登陆口令。
删除此马很简单:关闭QQ。删除QQ目录下的那个1M多大小的QQ.EXE 以及%windows%目录那个TBS.VBS。

MyTupian.jpg就是张美女图片,自己想看美女的话,可不删除。


然后,显示隐藏文件,去掉被此马隐藏的正常QQ.EXE的隐藏属性。


就这些。
筱碗 - 2010-8-17 15:31:00
菜鸟过来学习了,原来牛人还是好多的
jks_风 - 2010-8-17 18:34:00
恩 猫叔的分析太棒的 求分析方法:kaka15:
1
查看完整版本: 求教猫叔,这个新型木马如何手动清除之?