瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 病毒下载器lsass.exe的手工杀毒流程

12   1  /  2  页   跳转

[原创] 病毒下载器lsass.exe的手工杀毒流程

病毒下载器lsass.exe的手工杀毒流程

lsass.exe样本由“超级游戏迷”版主上传;其MD5值为:a9c9901e7c9257aa263bcf3c417ca98b。

其行为符合“病毒下载器”。瑞星20.54.51不报毒。


此毒特点:
1、病毒运行后,在drivers目录下释放ntdapi.sys。此驱动加载后即刻删除自身;SSDT被完全恢复,瑞星、tiny监控完全实效。
2、lsass.exe访问网络,下载大量病毒。其中包括c:\windows\system32\drivers\hbkernel.sys和c:\windows\system32\d32dx9.sys两个难杀的驱动。
3、所有病毒下载完成后,大量病毒dll、dat插入多个应用程序模块运行。中毒用户运行SRENG、windows清理助手等工具---即刻被删除。但IceSword和autoruns不受此毒影响。XP专业版的“软件限制策略”依然可用。


autoruns日志所见异常如下:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run                 
+ HBmhly                        c:\windows\system32\hbmhly.exe
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components                 
+ n/a                        c:\windows\system32\xllylqait\lsass.exe
+ n/a                        c:\windows\system32\vsk\lsass.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks                 
+ adsntzt.dll                        c:\windows\system32\adsntzt.dll
+ apsghjba.dll                        c:\windows\system32\apsghjba.dll
+ apzhdtde.dll                        c:\windows\system32\apzhdtde.dll
+ bootvidgj.dll                        c:\windows\system32\bootvidgj.dll
+ ddserh.dll                        c:\windows\system32\ddserh.dll
+ dispexcb.dll                        c:\windows\system32\dispexcb.dll
+ dpvvoxmh.dll                        c:\windows\system32\dpvvoxmh.dll
+ fmcvxy.dll                        c:\windows\system32\fmcvxy.dll
+ jfrwdh.dll                        c:\windows\system32\jfrwdh.dll
+ lweurqhx.dll                        c:\windows\system32\lweurqhx.dll
+ msobjstl.dll                        c:\windows\system32\msobjstl.dll
+ mstimewd.dll                        c:\windows\system32\mstimewd.dll
+ windows64.sys                        c:\program files\internet explorer\plugins\windows64.sys
HKLM\System\CurrentControlSet\Services                 
+ HBKernel                        c:\windows\system32\drivers\hbkernel.sys
+ HiddFldy                        c:\windows\system32\d32dx9.sys
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls                 
+ jolin0.dll                        c:\windows\system32\jolin0.dll
+ msspcyn.dll                        c:\windows\system32\msspcyn.dll
+ myusemt.dll                        c:\windows\system32\myusemt.dll
+ soeehy.dll                        c:\windows\system32\soeehy.dll
+ tennfs.dll                        c:\windows\system32\tennfs.dll
+ wcnonpe.dll                        c:\windows\system32\wcnonpe.dll
+ welyri.dll                        c:\windows\system32\welyri.dll
+ woswelc.dll                        c:\windows\system32\woswelc.dll
+ ytfa.dll                        File not found: ytfa.dll
+ ytfb.dll                        File not found: ytfb.dll
+ ytfc.dll                        File not found: ytfc.dll
+ zsqf.dll                        c:\windows\system32\zsqf.dll

手工杀毒流程见图1-图3。
注意:
1、设置软件限制策略路径规则前,须先在“指派的文件类型”中添加DLL、SYS、DAT、NLS等文件类型,并在“强制”属性中勾选“所有软件”。否则,本帖介绍的利用软件限制策略的手工杀毒流程无效。

 
2、在不同的电脑中,病毒主程序lsass.exe所在目录名有所不同(此目录名是病毒自己建立的)。我的电脑中,病毒lsass.exe所在目录名为:
c:\windows\system32\xllylqait\
c:\windows\system32\vsk\

3、c:\windows\system32\目录下的那个zuwugcf.dll文件名也随不同的电脑而异。我的本本中运行过此毒的3个不同变种,但这个dll文件名一直保持为zuwugcf。同一台电脑中,注册表中其相应的服务名也不变。











用户系统信息:Opera/9.51 (Windows NT 5.1; U; zh-cn)
本帖被评分 2 次
最后编辑baohe 最后编辑于 2008-07-26 21:54:05
分享到:
gototop
 

回复:病毒下载器lsass.exe的手工杀毒流程

这病毒真残
如果你因我的存在,是一个永久的惊奇,而这,就是人生。我们辨识错了世界,却说世界欺骗了我们。失去了太阳而流泪,那么你也将失去群星了.
gototop
 

回复:病毒下载器lsass.exe的手工杀毒流程

返朴归真!猫版对自己一年前所钟情的那些安全工具越来越用的少了,而对微软本身就有的种种工具越来越用的多了!
无论什么工具到了你老猫的手上都被使得出神入化的境地。
害的俺们一群菜鸟总在你后面转,以为“猫叔”用的工具就定是顶尖的,最好的。


顺便弱弱的问一句,第2幅截图取自WINRAR的?windows xp的回收站?还是别的什么的?
最后编辑两个铁球 最后编辑于 2008-07-26 23:24:50
gototop
 

回复:病毒下载器lsass.exe的手工杀毒流程

第一段文字是自己手工一词一词敲出来的,还是Autoruns有这类的日志转储功能?有的话在哪,我怎么过去没寻到?(好久没用过Autotuns了)
gototop
 

回复 3F 两个铁球 的帖子

所有图都是SnagIt 8 截取的(滚屏截取)。第二幅图是回收站内容。

PS:谁都想用最好、最省事的工具。写这个帖子,模拟了一下最惨的情景:敞开系统大门,放病毒长驱直入。
这样,原来用的顺手的工具不能用了。只好另想办法。
这有点儿像下棋-----在几乎被对手将死的情况下反败为胜。
最后编辑酷卡 最后编辑于 2009-02-24 11:47:15
gototop
 

回复: 病毒下载器lsass.exe的手工杀毒流程



引用:
原帖由 两个铁球 于 2008-7-26 23:38:00 发表
第一段文字是自己手工一词一词敲出来的,还是Autoruns有这类的日志转储功能?有的话在哪,我怎么过去没寻到?(好久没用过Autotuns了)

附件附件:

文件名:1.jpg
下载次数:1775
文件类型:image/jpeg
文件大小:
上传时间:2008-7-27 6:59:32
描述:jpg
预览信息:EXIF信息



gototop
 

回复: 病毒下载器lsass.exe的手工杀毒流程

感谢baohe出手,学习了
打酱油的……
gototop
 

回复:病毒下载器lsass.exe的手工杀毒流程

感谢baohe出手,学习了
我是一个快乐的男孩.
gototop
 

回复:病毒下载器lsass.exe的手工杀毒流程

这个最终是要和木马群结合的,意料之中的事了。

我个人估计,不到半年,它的变种应该能够删除冰刃的了。以及删除Windows系统自身的组策略的。
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 

回复: 病毒下载器lsass.exe的手工杀毒流程



引用:
原帖由 天月来了 于 2008-7-28 9:14:00 发表
这个最终是要和木马群结合的,意料之中的事了。

我个人估计,不到半年,它的变种应该能够删除冰刃的了。以及删除Windows系统自身的组策略的。




若要搞怪,其实也用不着删除Windows系统自身的组策略。目前已有替换mmc.exe的病毒(病毒mmc.exe进程无法终止;若强行替换病毒mmc.exe,下次开机无法进入系统)。中招后,gpedit.msc根本无法运行(提示:另一程序正在使用本文件)。

看护好自己系统的重要目录、有效遏制病毒驱动创建/加载是不可忽视的安全措施。
最后编辑baohe 最后编辑于 2008-07-28 09:30:23
gototop
 
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT