文件名称: WI8JHN7.EXE
文件大小: 937,456 bytes
MD5: 9e3d8dcfcc5098de5e8ce956241173c5
加壳: N/A
编写语言: C++
病毒名: kaspersky: N/A
rising: N/A
duba: N/A
详细资料:
文件变化:
释放文件
C:\WINDOWS\SUGUZEFHWD.dll
C:\Program Files\HypotenuseTardy\ParchmentHypotenuse.exe
C:\Program Files\TardyGrandstand\TardyParchment.exe
C:\Documents and Settings\用户名\Local Settings\Temp\VibrantAnachronism.exe
C:\Documents and Settings\用户名\Local Settings\Temp\AluminiumObsequious.exe
注册表变动:
创建启动项
[HKCR\CLSID\{D8D2F841-C4FC-4ADE-731A-56E6D1755624}]
[HKCR\Interface\{11D9AE74-3FC1-41D6-911B-F5F503BBD8FE}]
[HKCR\TypeLib\{472A988E-2192-5F11-F0C0-ED3419BB40AB}]
[HKCR\Thunder.xunlei]
[HKCR\Thunder.xunlei.1]
创建俩个病毒服务
[HKLM\SYSTEM\CurrentControlSet\Services\KernelKernel]
指向 C:\Program Files\TardyGrandstand\TardyParchment.exe
[HKLM\SYSTEM\CurrentControlSet\Services\NebulaKernel]
指向 C:\Program Files\HypotenuseTardy\ParchmentHypotenuse.exe
修改虚拟机设置选项
[HKLM\SYSTEM\CurrentControlSet\Control\Session Manager]
"PendingFileRenameOperations"="\??\C:\DOCUME~1\用户名\LOCALS~1\Temp\VibrantAnachronism.exe"
其他行为:
搜索感染除系统盘以外的所有 .exe 文件, 在运行的 .exe 不会感染
被感染的文件全部被覆盖处理, 但是文件大小不变, 因此文件不可修复
SUGUZEFHWD.dll 插入系统进程 Explorer.exe , 但调用此进程, 病毒就会在C盘根目录释放一个随机字母+数字文件名的自身
此病毒不断运行自身已达到保护进程
后台访问下列网站(貌似都是有关汽车的)
hxxp://ocsp.verisign.com
hxxp://crl.verisign.com/tss-ca.crl
hxxp://ocsp.verisign.com
hxxp://crl.verisign.com/ThawteTimestampingCA.crl
hxxp://crl.verisign.com/pca3.crl
hxxp://CSC3-2004-crl.verisign.com/CSC3-2004.crl
hxxp://ocsp.verisign.com
hxxp://CSC3-2004-aia.verisign.com/CSC3-2004-aia.cer
解决方法:
1.
借助 xdelbox 来处理
xdelbox:
http://bbs.ikaka.com/showtopic-8442813.aspx 三楼可以下载到
打开 xdelbox 添加以下文件路径
C:\WINDOWS\SUGUZEFHWD.dll
C:\Program Files\HypotenuseTardy\ParchmentHypotenuse.exe
C:\Program Files\TardyGrandstand\TardyParchment.exe
C:\Documents and Settings\用户名\Local Settings\Temp\VibrantAnachronism.exe
C:\Documents and Settings\用户名\Local Settings\Temp\AluminiumObsequious.exe
添加完毕,选择 立即重启执行删除. 等待系统重新启动
2.
删除与病毒相关的注册表
[HKCR\CLSID\{D8D2F841-C4FC-4ADE-731A-56E6D1755624}]
[HKCR\Interface\{11D9AE74-3FC1-41D6-911B-F5F503BBD8FE}]
[HKCR\TypeLib\{472A988E-2192-5F11-F0C0-ED3419BB40AB}]
[HKCR\Thunder.xunlei]
[HKCR\Thunder.xunlei.1]
3.
删除病毒创建的服务
[HKLM\SYSTEM\CurrentControlSet\Services\KernelKernel]
[HKLM\SYSTEM\CurrentControlSet\Services\NebulaKernel]
4.
删除C盘根目录下随机文件名的病毒文件
5.
卸载迅雷并重新安装
Note
所有被感染的 .exe 文件已无法修复, 建议全部删除之.....
用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.6 (KHTML, like Gecko) Chrome/6.0.495.0 Safari/534.6
