123   1  /  3  页   跳转

[原创] 关于近期1.exe的木马群病毒

关于近期1.exe的木马群病毒

调用RUNDLL32创建进程


源头在taskkill.exe
comres.dll





释放喽啰,最后留下一个守护的(没截图)





[attachimg]515282[/attachimg][attachimg]515282[/attachimg]





[attachimg]515287[/attachimg][attachimg]515287[/attachimg]

smallyou93发表
为了方便看,弄到了楼顶
先加载%SystemRoot%\aboy.dll

释放驱动并安装
%SystemRoot%\system32\drivers\pcidump.sys

调用ipconfig.exe执行命令"ipconfig.exe /ALL"后才开始感染系统非分区文件



Windows XP Professional-2009-05-04-18-56-13.png (67.95 K)
2009-5-4 19:05:35



SRENG反而没被感染,倒是俺的ED等删除工具被感染(打包见VIRUS.ZIP)


总之清除难度很大
COMRES.dll被替换
aboy.dll含有RPC攻击!局域网没打补丁的话就爆发了

QQ目录下有东西生成
非系统盘有QQfish木马



手动清除建议下载正常版本的COMRES.dll
删除aboy.dll
删除AUTORUN.inf
删除HOSTS的文件内容
DOS下删除病毒文件





用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1;  Embedded Web Browser from: http://bsalsa.com/; InfoPath.1; .NET CLR 2.0.50727)
本帖被评分 1 次
最后编辑夲號ヱ被ジ盜 最后编辑于 2009-05-17 21:40:50
分享到:
gototop
 

回复:刚才天月给的木马群样本

aboy.dll文件应该不是替换吧???

而是病毒直接创建吧

得删除系统Windows文件夹内的这文件

还有是否存在感染其他盘文件的行为呢??
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 

http://ainikv.cn/06/06.exe

调用cmd执行以下命令
cacls %SystemRoot%\System32 /e /p everyone:f
cacls "%Temp%\" /e /p everyone:f
sc config ekrn start= disabled
sc config avp start= disabled
taskkill /im ekrn.exe /f
taskkill /im egui.exe /f
taskkill /im ScanFrm.exe /f
taskkill /im avp.exe /f

释放文件
%SystemRoot%\aboy.dll
%SystemRoot%\System32\killkb.dll
X:\1.exe
X:\autorun.inf

加载%SystemRoot%\System32\killkb.dll
rundll32.exe C:\WINDOWS\system32\killkb.dll, droqp
篡改文件
%SystemRoot%\System32\drivers\acpiec.sys
并加载,实现恢复SSDT

加载%SystemRoot%\aboy.dll,感染非分区文件

调用ipconfig.exe执行命令
ipconfig.exe /ALL


引用:
aboy.dll含有RPC攻击!局域网没打补丁的话就爆发了)

难道是这个,不懂,飘过..

联网下载病毒
http://ainikv.cn/33.txt

1:http://yygeiwofc.cn/77/77.exe
1:http://yygeiwofc.cn/77/0.exe
1:http://yygeiwofc.cn/77/1.exe
1:http://yygeiwofc.cn/77/2.exe
1:http://yygeiwofc.cn/77/3.exe
1:http://yygeiwofc.cn/77/4.exe
1:http://yygeiwofc.cn/77/5.exe
1:http://yygeiwofc.cn/77/6.exe
1:http://yygeiwofc.cn/77/7.exe
1:http://yygeiwofc.cn/77/9.exe
1:http://yygeiwofc.cn/77/8.exe
1:http://yygeiwofc.cn/77/10.exe
1:http://yygeiwofc.cn/77/16.exe
1:http://yygeiwofc.cn/77/17.exe
1:http://yygeiwofc.cn/77/18.exe
1:http://yygeiwofc.cn/77/19.exe
1:http://yygeiwofc.cn/77/21.exe
1:http://yygeiwofc.cn/77/24.exe
1:http://yygeiwofc.cn/77/26.exe
1:http://yygeiwofc.cn/77/30.exe
1:http://yygeiwofc.cn/77/31.exe
1:http://yygeiwofc.cn/77/35.exe
1:http://yygeiwofc.cn/77/88.exe
1:http://yygeiwofc.cn/77/qq.exe
gototop
 

回复:刚才天月给的木马群样本

加载%SystemRoot%\aboy.dll,感染非分区文件??????

确实感染了???

只感染.exe文件?????

你观察仔细了????
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 

回复 12F 天月来了 的帖子

貌似是的,我的非分区文件只有.exe,tiny的监控的确监控到加载aboy.dll后就感染非分区文件
gototop
 

回复:刚才天月给的木马群样本

难怪好象处理的几个求助的,都没能清理完全

反复中毒

干脆以后不论什么木马群,都要其他分区的.exe文件来看得了

你将你那被感染的其他盘的单文件可运行的.exe文件发两个来看看

例如SRENG工具什么的

看看现在的瑞星能否检测清除感染
最后编辑天月来了 最后编辑于 2009-05-04 18:55:19
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 

回复: 刚才天月给的木马群样本

先加载%SystemRoot%\aboy.dll

释放驱动并安装
%SystemRoot%\system32\drivers\pcidump.sys

调用ipconfig.exe执行命令"ipconfig.exe /ALL"后才开始感染系统非分区文件




SRENG反而没被感染,倒是俺的ED等删除工具被感染(打包见VIRUS.ZIP)

附件附件:

文件名:aboy.zip
下载次数:671
文件类型:application/zip
文件大小:
上传时间:2009-5-4 19:04:50
描述:zip

附件附件:

文件名:VIRUS.zip
下载次数:775
文件类型:application/zip
文件大小:
上传时间:2009-5-4 19:08:16
描述:zip

最后编辑smallyou93 最后编辑于 2009-05-04 19:10:21
gototop
 

回复:刚才天月给的木马群样本

多谢添加
下载的样本你也弄来了
全盗号木马(Trojan.OnlineGameTheif)
我测试时发现总共创建了35个进程。。。。
真的写入

我用PRESS EXPLORER忘了看加载的DLL了
最后编辑夲號ヱ被ジ盜 最后编辑于 2009-05-04 19:42:35
gototop
 

回复:刚才天月给的木马群样本

还不错

瑞星竟然已可清除感染
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 

回复:刚才天月给的木马群样本

15楼的样本,瑞星最新版本病毒库:21.28.04已经可以查杀。
gototop
 
123   1  /  3  页   跳转
页面顶部
Powered by Discuz!NT