样本来自:
http://bbs.janmeng.com/thread-737100-1-1.html据样本提供者说:此毒过了瑞星2008的主动防御。
此毒比较难杀。瑞星20.40不报毒。
病毒特点:
1、运行后自网络下载很多病毒/木马。
2、通过IFEO劫持很多杀软及手工杀毒工具。
3、将windows目录下的explorer.exe替换为病毒文件(文件大小不变,但图标变为一般可执行文件图标。)
4、加载下列病毒驱动:
c:\windows\system32\drivers\msosfpids32.sys
c:\windows\system32\drivers\msosmsfpfis64.sys
关闭瑞星监控、SSM监控、Tiny监控......
5、添加HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInitDlls,键值为N个病毒DLL。并非键值中的每个DLL都存在。
此键值较难删除。
6、下列两个病毒DLL监视键盘,动态插入应用程序进程:
c:\windows\system32\mpmyaapi.dll
c:\windows\system32\ptjhbhlp.dll
7、仅仅通过扫SRENG或autoruns日志,难以发现所有病毒文件。
查杀流程:
1、断网。关闭IE。清空IE临时文件夹(内有病毒文件)。打开windows目录下的win.ini,可见病毒添加的内容(图1)。相应的病毒文件位于system32目录下。记下病毒文件名,删除图1蓝色高亮显示的内容,保存win.ini。
2、改名运行autoruns.exe,扫加载项日志。通过与系统加载项基准日志(未中毒时保存的)比较,即可见绿色高亮显示的病毒加载项以及相应的病毒文件(图2)。
3、点击“开始”、“搜索”。按指定日期搜索。日期指定为中招当日。重点寻找以下三个目录下的异常文件(判断时需要经验):
c:\windows\
C:\WINDOWS\system32\
c:\windows\system32\drivers\
C:\Program Files\Internet Explorer\PLUGINS\
4、打开“记事本”将1-3步发现的病毒文件及其路径一一拷入记事本窗口(图3)。全部选中记事本中的内容,按ctrl_c。
5、运行XDELBOX 1.6。右击“待删除文件列表”窗口,点击“由剪贴板导入”,将待删除病毒文件导入。右击“待删除文件列表”窗口,点击“立即重启执行删除”。
6、重启后,由于WINDOWS目录下被替换的explorer.exe已被删除了,用户无法进入桌面。此时可按Ctrl_Alt_Del,调出任务管理器,点击“文件”、“新建任务(运行..)”,在小窗口中键入c:\windows\system32\dllcache\explorer.exe,按回车,即可进入桌面。
进入桌面后,从c:\windows\system32\dllcache\目录下拷贝一个explorer.exe到WINDOWS目录下。
下列文件需再次重复第5步操作(估计是病毒驱动的干扰,XDELBOX未能删除):
c:\windows\system32\drivers\msosfpids32.sys
c:\windows\system32\drivers\msosmsfpfis64.sys
c:\windows\system32\dnteh.dll
c:\windows\system32\fjyjy.dll
c:\windows\system32\kduy.dll
c:\windows\system32\lariytrz.dll
c:\windows\system32\msepbe.dll
c:\windows\system32\sehhter.dll
c:\windows\system32\xfgnxfn.dll
c:\windows\system32\xgnfn.dll
c:\windows\system32\mpmyaapi.dll
c:\windows\system32\ptjhbhlp.dll
7、再用autoruns扫一下加载项,还能发现漏网者:
c:\windows\system32\dnteh.dll
c:\windows\system32\fjyjy.dll
c:\windows\system32\kduy.dll
c:\windows\system32\lariytrz.dll
c:\windows\system32\msepbe.dll
c:\windows\system32\sehhter.dll
c:\windows\system32\xfgnxfn.dll
c:\windows\system32\xgnfn.dll
此时,可将IceSword改名运行,删除上述漏网之鱼。
8、重启。用IceSword删除病毒添加的AppInitDlls(或将该键值清空;图4)。
9、autoruns.exe扫不到病毒添加的IFEO劫持项。可以改名运行SRENG,找到并删除那些IFEO劫持项(图5)。
图1
[用户系统信息]Opera/9.27 (Windows NT 5.1; U; zh-cn)
