一个利用MS06-040漏洞的新病毒

样本csrse.exe来自“安全12公里”。瑞星18.41.40查不出这个病毒；升级到18.41.42后——仍查不到。
样本提供者还附带提供了一个专杀工具。
连网状态运行这个病毒后发现：这个工具并不能彻底杀死此毒。
一、观察到的病毒活动过程：
1、csrse.exe运行后添加系统服务项：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\natman，指向：c:\windows\csrse.exe。
2、SSM的进程列表中可见csrse.exe。HijackThis、autoruns、SREng、IceSword的日志中均扫不到病毒的服务项。
3、csrse.exe访问网络：
68.233.235.254
61.183.133.181
61.121.100.107
65.110.45.130
203.140.25.49
4、csrse.exe运行C:\windows\Temp目录下的eraseme_50568.exe。
5、csrse.exe继续访问网络：203.140.25.49
6、csrse.exe启动服务：Network Gateway Manager（注册表中的服务名natman）
7、csrsc.exe（注意：不是“csrse.exe”）注册系统服务：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\npx，指向：c:\windows\csrsc.exe。
8、csrsc.exe访问网络：68.233.235.254
9、csrsc.exe删除csrse.exe添加系统服务项：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\natman
10、csrsc.exe访问网络：61.121.100.107
..........
二、样本提供者提供的专杀工具杀毒结果：
Windows XP(Build 2600: Service Pack 2)

Start time : 星期日 八月 27 2006 17:23:02

Load Damage Cleanup Template (DCT) "C:\Documents and Settings\baohelin\桌面\新建文件夹\tsc.ptn" (version 9999) [success]
CSRSE.EXE[virus found]
-->delete registry data("HKEY_LOCAL_MACHINE","SOFTWARE\Microsoft\Security Center","1") success
-->delete registry data("HKEY_LOCAL_MACHINE","SOFTWARE\Microsoft\Security Center","1") success
-->delete registry data("HKEY_LOCAL_MACHINE","SOFTWARE\Microsoft\Security Center","1") success
-->delete registry data("HKEY_LOCAL_MACHINE","SOFTWARE\Microsoft\Security Center","1") success
-->delete registry data("HKEY_LOCAL_MACHINE","SOFTWARE\Microsoft\Security Center","1") success
-->delete registry key("HKEY_LOCAL_MACHINE","SOFTWARE\Microsoft\Security Center","") success
-->delete registry key("HKEY_LOCAL_MACHINE","SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate","") success
-->delete registry data("HKEY_LOCAL_MACHINE","SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate","1") success
-->delete registry key("HKEY_LOCAL_MACHINE","SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate","") success
-->delete registry key("HKEY_LOCAL_MACHINE","SOFTWARE\Policies\Microsoft\WindowsFirewall","") success
-->delete registry key("HKEY_USERS",".DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0","") success
-->delete registry key("HKEY_USERS",".DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Cache","") success
-->modify registry data("HKEY_LOCAL_MACHINE","SOFTWARE\Microsoft\Ole","EnableDCOM") success
-->modify registry value("HKEY_LOCAL_MACHINE","SYSTEM\CurrentControlSet\Control","WaitToKillServiceTimeout") success
-->modify registry value("HKEY_LOCAL_MACHINE","SYSTEM\CurrentControlSet\Control\Lsa","restrictanonymous") success
-->delete file("C:\windows\csrse.exe","","") success

Complete time : 星期日 八月 27 2006 17:23:17
Execute pattern count(1), Virus found count(1), Virus clean count(1), Clean failed count(0)
三、专杀工具杀毒效果的检验：
从上面的结果看，原来的csrse.exe及其服务项均被删除了，其它注册表改动也被删除或得以回复。
但是，csrse.exe访问网络过程中带来的csrsc.exe（图1）及其注册的服务项（图2）安然无恙！

四、我的解决办法：
用SSM禁止csrse.exe和csrsc.exe加载运行（图3）。
重启系统后发现：本法有效。
判断根据是：
如果csrse.exe和csrsc.exe这两个病毒程序重启后依然可加载运行，那么，SSM进程列表中应可见其进程；HijackThis、SREng、IceSwoed等日志中也可见其进程（虽然看不到它的服务项）。
但是，重启系统后，用这几个工具检查，均未发现csrse.exe或csrsc.exe进程。而且，残留的csrsc.exe可以直接删除。

图1

图2

图3

老大！厉害！！

老大不是吹的!~~~~~~~

谢谢猫叔。

猫叔就是厉害啊!!!!!!!!!!~~~~~~~~~~~~~~~~~~

火车不是推的，猫哥不是吹的~哈哈~我早打了补丁了~应该不会再中那毒把？

汗了。。又不报毒的！~~~这毒啊.....发展真快
猫叔的顶顶

厉害！