12   1  /  2  页   跳转

[原创] 关于网马np.exe

关于网马np.exe

此毒来源于被挂木马的网页。这就是它的“尊容”:





这个网页上挂的木马下载器变种很快。昨天到今天,我就见到了3个不同的变种。前两个提交给瑞星后,瑞星2010已经能杀。新出现的变种,瑞星2010最新病毒库(22.38.05.03)不报,且可在瑞星2010默认设置监控下顺畅运行,瑞星2010无任何提示。

中此毒后的明显症状是:任务栏中瑞星小绿伞消失(RavMonD.exe进程依然存在);用户打开IceSword后,IceSword窗口被此毒关闭。

使用瑞星2010的“应用程序控制”,可以手工杀灭此毒。操作流程如下:

一、在瑞星2010的“应用程序访问控制”中设置规则,禁止任何程序访问下列文件或文件夹:
C:\kfnainfs.exe
C:\Documents and Settings\当前用户名\Local Settings\Temp
C:\Program Files\Internet Explorer\IETimbar
C:\Windows\Fonts\lanjica.ini
C:\Windows\system\svhost.exe
C:\Windows\system32\winaeg.ime(此毒的主角儿之一。中此毒后难杀的原因之一。)
C:\WINDOWS\Tasks\User_Feed_Synchronization-{8166F633-A6E9-48A8-90E2-737BCDC202CA}.job
瑞星2010的“应用程序访问控制”的设置操作示例见下图:






二、清理注册表:
1、展开:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layouts\
删除:E0240804
注:不同电脑,因安装的输入法数目不同,此键名可能有所不同。请核实右栏中的“Ime File”的数据值:WINAEG.IME

2、展开:HKEY_CURRENT_USER\Keyboard Layout\Preload
删除:1 (键值E0240804)
删除:7 (键值E0240804)
3、HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
将@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" www.07129.com"改为:
@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\

4、展开:HKEY_CLASSES_ROOT\CLSID\{1163E531-B58E-4BB9-B877-0906A0A22AEC}\InprocServer32
删除:@="C:\\PROGRA~1\\INTERN~1\\IETimbar\\IETimbar.dll"。或删除整个{1163E531-B58E-4BB9-B877-0906A0A22AEC}

5、HKEY_CLASSES_ROOT\
删除:IETimbar.CRNP

6、展开:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
删除:{1163E531-B58E-4BB9-B877-0906A0A22AEC}


7、展开:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
删除:IETimbar

8、展开:HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
删除:"Start Page"="www.07129.com",或将此键值改为你自己原先设定的网页url。

三、重启系统。待所有启动加载的程序加载完成、进入用户桌面后,取消第一步设定的“应用程序控制”规则;删除下列病毒文件:


用户系统信息:Opera/9.80 (Windows NT 5.1; U; zh-cn) Presto/2.2.15 Version/10.10
最后编辑baohe 最后编辑于 2010-03-14 11:12:48
分享到:
gototop
 

回复:关于网马np.exe

  猫叔  你的底层系统知识怎么这么好
要深入,要专一.......
gototop
 

回复:关于网马np.exe

这些注册表和系统文件我一窍不通

我什么时候能到你这样的程度
要深入,要专一.......
gototop
 

回复:关于网马np.exe

猫叔,有没有和host security agent system amon类似的软件。
这个软件设置比较复杂啊。折腾了几次都不会使用。
gototop
 

回复: 关于网马np.exe



引用:
原帖由 木马bbbb 于 2010-3-13 14:19:00 发表
猫叔,有没有和host security agent system amon类似的软件。
这个软件设置比较复杂啊。折腾了几次都不会使用。  

tiny和你说的CA HIPS相差无几。但,用Tiny,如果设置不到位,也无法搞掂此毒。
其它的HIPS,我没用过。
gototop
 

回复:关于网马np.exe

计划任务
[已启用] User_Feed_Synchronization-{28DC18DC-A46A-4160-AF7E-2DDD78C2B120}.job
            C:\WINDOWS\system32\msfeedssync.exe
gototop
 

回复:关于网马np.exe

at.exe和taskmgr.exe是正常的吧,难不成被感染了
gototop
 

回复: 关于网马np.exe



引用:
原帖由 networkedition 于 2010-3-15 11:22:00 发表
at.exe和taskmgr.exe是正常的吧,难不成被感染了



监测过程中发现病毒写过这两个文件,此外C:\WINDOWS\Tasks\User_Feed_Synchronization-{8166F633-A6E9-48A8-90E2-737BCDC202CA}.job,病毒也写过。所以就都删除了。(反正有dllcache 中的备份自动替补)
gototop
 

回复:关于网马np.exe

学习了。
gototop
 

回复:关于网马np.exe

关于病毒,最烦的就是修改系统文件了

有时搞的人不得不重装系统
gototop
 
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT