关于ha_80210.exe
样本来自本社区:
http://bbs.ikaka.com/showtopic-8521273.aspx?a=6这东东比较难缠。
ha_80210.exe运行释放下列文件:
1、windows目录下:tempq(无后缀)
2、system32目录下:四位字母数字随机组合文件名.dll(本次为:cj7g.dll)
3、drivers目录下:五位随机字母数字组合.sys(本次为:4780y.sys)
4、drivers目录下:八位随机字母数字组合.sys(本次为:go0jwnq2.sys)
添加的注册表驱动项:
1、HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
键值名:五位随机字母数字组合.sys
2、HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
键值名:八位随机字母数字组合.sys
用IceSword配合“软件限制策略”杀毒操作:
1、在“软件限制策略”的“其它规则”中添加如下路径规则
C:\windows\system32\cj7g.dll 不允许
c:\windows\system32\drivers\4780y.sys 不允许
c:\windows\system32\drivers\go0jwnq2.sys 不允许
2、在在“软件限制策略”的“指派的文件类型”中添加DLL和SYS。
3、重启系统。
4、重启后用IceSword删除:
windows目录下的tempq
system32目录下的cj7g.dll
drivers目录下的4780y.sys
drivers目录下的go0jwnq2.sys
5、打开注册表编辑器, 定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
删除注册表驱动项:go0jwnq2.sys
6、重启系统。
7、打开注册表编辑器,定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
删除注册表驱动项:4780y.sys(注:此项再次重启前无法删除,即使用IceSword也无法删除)。
此毒查杀难点在于病毒文件的确认。四个病毒文件中,三个为随机文件名。且每次中招均有变化。文件的创建日期也不一定是中招的那天。
SRENG日志可以看到病毒驱动项。确认病毒文件,这是一个可以利用的线索。
用户系统信息:Opera/9.51 (Windows NT 5.1; U; zh-cn)
