今天,收到“ldz”网友发来的一个样本——services.exe。这是一个很BT的东东。手工查杀很麻烦。请大家务必做好系统的安全防护。
一、此木马感染系统的表现
1、进程列表中出现services.exe,程序所在路径是C:\windows\services.exe。services.exe的图标是个红底的龙。
系统被感染后,用户运行任何应用程序,病毒均试图插入相应的进程。
2、创建的文件(13个):
C:\autorun.inf
C:\windows\1.com
C:\windows\ExERoute.exe
C:\windows\explorer.com
C:\windows\finder.com
C:\windows\services.exe
C:\windows\system32\command.pif
C:\windows\system32\dxdiag.com
C:\windows\system32\finder.com
C:\windows\system32\regedit.com
C:\windows\system32\rundll32.com
C:\Program Files\Common Files\iexplore.pif
C:\Program Files\Internet Explorer\iexplore.com
3、注册表更改(22处):
(1)、在HKCU\Software\VB and VBA Program Settings\Microsoft Process Debuger\CRCCode\
添加Name
(2)、在HKEY_CLASSES_ROOT\.lnk\ShellNew添加"Command"="rundll32.com appwiz.cpl,NewLinkHere %1"
(3)、在HKEY_CLASSES_ROOT\.bfc\ShellNew添加"Command"="%SystemRoot%\\system32\\rundll32.com %SystemRoot%\\system32\\syncui.dll,Briefcase_Create %2!d! %1"
(4)、在HKEY_CLASSES_ROOT\cplfile\shell\cplopen\command添加@="rundll32.com shell32.dll,Control_RunDLL \"%1\",%*"
(5)、在HKEY_CLASSES_ROOT\dunfile\shell\open\command添加@="%SystemRoot%\\system32\\rundll32.com NETSHELL.DLL,InvokeDunFile %1"
(6)、在HKEY_CLASSES_ROOT\inffile\shell\Install\command添加:@="%SystemRoot%\\System32\\rundll32.com setupapi,InstallHinfSection DefaultInstall 132 %1"
(7)、在HKEY_CLASSES_ROOT\InternetShortcut\shell\open\command添加@="finder.com shdocvw.dll,OpenURL %l"
(8)、在HKEY_CLASSES_ROOT\scrfile\shell\install\command添加@="finder.com desk.cpl,InstallScreenSaver %l"
(9)、在HKEY_CLASSES_ROOT\scriptletfile\Shell\Generate Typelib\command添加@="\"C:\\WINDOWS\\System32\\finder.com\" C:\\WINDOWS\\System32\\scrobj.dll,GenerateTypeLib \"%1\""
(10)、在HKEY_CLASSES_ROOT\telnet\shell\open\command添加@="finder.com url.dll,TelnetProtocolHandler %l"
(11)、在HKEY_CLASSES_ROOT\Unknown\shell\openas\command添加@="%SystemRoot%\\system32\\finder.com %SystemRoot%\\system32\\shell32.dll,OpenAs_RunDLL %1"
(12)、在HKEY_CLASSES_ROOT\htmlfile\shell\open\command添加@="\"C:\\Program Files\\Internet Explorer\\iexplore.com\" -nohome"
(13)、在HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command添加@="\"C:\\Program Files\\Internet Explorer\\iexplore.com\" %1"
(14)、在HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command添加@="\"C:\\Program Files\\Internet Explorer\\iexplore.com\""
(15)、在HKEY_CLASSES_ROOT\ftp\shell\open\command添加@="\"C:\\Program Files\\Internet Explorer\\iexplore.com\" %1"
(16)、在HKEY_CLASSES_ROOT\Drive\shell\find\command添加@="%SystemRoot%\\explorer.com"
(17)、在HKEY_CLASSES_ROOT\winfiles\Shell\Open\Command添加@="C:\\windows\\ExERoute.exe \"%1\" %*"
(18)、在HKEY_CLASSES_ROOT\winfiles\DefaultIcon添加@="%1"
(19)、将HKEY_CLASSES_ROOT\.exe下的@="exefiles"改为@="winfiles"
(20)、将HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main下的"Check_Associations"="Yes"改为"Check_Associations"="No"
(21)、在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下添加"Torjan Program"="C:\\windows\\services.exe"
(22)、将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下的"Shell"="Explorer.exe"改为"Shell"="Explorer.exe 1"
二、查杀:
1、结束病毒进程services.exe及所有被病毒插入的进程。
2、删除病毒文件。
3、清理注册表。注册表改动较多且复杂(许多文件关联被篡改)。有些被篡改的注册表项【如(2)、(3)等】,用SREng等工具软件自动修复无效,请用手工修复。