12   1  /  2  页   跳转

[原创] Trojan.Ransom.GM的观察及手杀方法

Trojan.Ransom.GM的观察及手杀方法

病毒样本来自卡饭。virustotal扫描结果只有BitDefender一家报毒。


一、在Windows XP 系统中的行为观察结果:

1、网络访问:可见svchost.exe进程访问网络:

通过80端口访问  187.42.94.30(巴西)
通过443端口访问  141.136.16.93(美国)

2、释放的隐藏文件:

C:\Documents and Settings\All Users\Application Data\virordimdo.dat(随机字母文件名.dat)
C:\Documents and Settings\All Users\Application Data\odmidroriv.dat(随机字母文件名.dat)
C:\335043.exe.tmp(病毒样本名.tmp)

3、释放的可见文件:
C:\Documents and Settings\当前用户名\「开始」菜单\程序\启动\ctfmon.lnk,指向:%systemroot%\system32\rundll32.exe C:\335043.exe.tmp,X50
C:\Documents and Settings\当前用户名\Cookies\OTMBWX6M.txt
C:\Documents and Settings\当前用户名\Local Settings\Application Data\Microsoft\Feeds\{5588ACFD-6436-411B-A5CE-666AE6A92D3D}~\WebSlices~\建议网站~.feed-ms
C:\Documents and Settings\当前用户名\Local Settings\Application Data\Microsoft\Feeds\{5588ACFD-6436-411B-A5CE-666AE6A92D3D}~\WebSlices~\网页快讯库~.feed-ms
C:\Documents and Settings\当前用户名\Local Settings\Application Data\Microsoft\Internet Explorer\Recovery\Active\RecoveryStore.{29E3DC89-6B4B-11E1-BE64-00016xxxA1CB7}.dat
C:\Documents and Settings\当前用户名\Local Settings\Application Data\Microsoft\Internet Explorer\Recovery\Active\{29E3DC8A-6B4B-11E1-BE64-00016xxxA1CB7}.dat
C:\Documents and Settings\当前用户名\Local Settings\Application Data\Thunder Network\Thunder\BHO\config.ini

4、进程插入情况:

335043.exe.tmp插入rundll32进程

virordimdo.dat及odmidroriv.dat插入多个系统/应用程序进程(包括winlogon.exe、explorer.exe 及 svchost.exe)

二、用XueTr的手工杀毒方法:

由于此毒乱插进程。因此,手工杀毒时就不要循规蹈矩,面面地折腾啥“终止进程”、“卸载病毒模块”神马的了。这样又傻又面的操作,弄不好会导致系统崩溃重启,一切杀毒操作得从头开始。

得直接上狠招!!

1、按下图勾选“手工杀毒配置”


2、用XueTr强制删除病毒文件:
C:\Documents and Settings\All Users\Application Data\virordimdo.dat(随机字母文件名.dat)
C:\Documents and Settings\All Users\Application Data\odmidroriv.dat(随机字母文件名.dat)
C:\335043.exe.tmp(病毒样本名.tmp)
3、在XueTr的“配置”面板中勾选“强制重启”。
4、重启后系统报错:


这是因为还没处理注册表所致。

5、删除病毒添加的服务项(见下图)


6、删除病毒文件C:\Documents and Settings\当前用户名\「开始」菜单\程序\启动\ctfmon.lnk。

然后再用啥啥卫士之类的工具打扫一下垃圾。搞掂。

用户系统信息:Opera/9.80 (Windows NT 5.1; U; Edition IBIS; zh-cn) Presto/2.10.229 Version/11.61
最后编辑baohe 最后编辑于 2012-03-11 17:43:12
分享到:
gototop
 

回复 1F baohe 的帖子

好久不见你试毒发贴玩了
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 

回复:Trojan.Ransom.GM的观察及手杀方法

1、网络访问:可见svchost.exe进程访问网络:

通过80端口访问  187.42.94.30(巴西)
通过443端口访问  141.136.16.93(美国)

2、释放的隐藏文件:

C:\Documents and Settings\All Users\Application Data\virordimdo.dat(随机字母文件名.dat)
C:\Documents and Settings\All Users\Application Data\odmidroriv.dat(随机字母文件名.dat)
C:\335043.exe.tmp(病毒样本名.tmp)

3、释放的可见文件:
C:\Documents and Settings\当前用户名\「开始」菜单\程序\启动\ctfmon.lnk,指向:%systemroot%\system32\rundll32.exe C:\335043.exe.tmp,X50
C:\Documents and Settings\当前用户名\Cookies\OTMBWX6M.txt
C:\Documents and Settings\当前用户名\Local Settings\Application Data\Microsoft\Feeds\{5588ACFD-6436-411B-A5CE-666AE6A92D3D}~\WebSlices~\建议网站~.feed-ms
C:\Documents and Settings\当前用户名\Local Settings\Application Data\Microsoft\Feeds\{5588ACFD-6436-411B-A5CE-666AE6A92D3D}~\WebSlices~\网页快讯库~.feed-ms
C:\Documents and Settings\当前用户名\Local Settings\Application Data\Microsoft\Internet Explorer\Recovery\Active\RecoveryStore.{29E3DC89-6B4B-11E1-BE64-00016xxxA1CB7}.dat
C:\Documents and Settings\当前用户名\Local Settings\Application Data\Microsoft\Internet Explorer\Recovery\Active\{29E3DC8A-6B4B-11E1-BE64-00016xxxA1CB7}.dat
C:\Documents and Settings\当前用户名\Local Settings\Application Data\Thunder Network\Thunder\BHO\config.ini

4、进程插入情况:

335043.exe.tmp插入rundll32进程

virordimdo.dat及odmidroriv.dat插入多个系统/应用程序进程(包括winlogon.exe、explorer.exe 及 svchost.exe)


这些是 怎么 看出来 呢?

gototop
 

回复 1F baohe 的帖子

猫叔提供一下病毒样本吧
gototop
 

回复: Trojan.Ransom.GM的观察及手杀方法



引用:
原帖由 networkedition 于 2012-3-12 9:20:00 发表
猫叔提供一下病毒样本吧 

拿去玩儿吧


密码:123


附件: 335043.rar (2012-3-12 9:57:21, 141.89 K)
该附件被下载次数 577

gototop
 

回复 3F 云腾四海 的帖子

CA HIPS
gototop
 

回复 5F baohe 的帖子

样本已收集
gototop
 

回复: Trojan.Ransom.GM的观察及手杀方法

瑞星最新版已可以查杀。



gototop
 

回复:Trojan.Ransom.GM的观察及手杀方法

进来拜读一下!
gototop
 

回复:Trojan.Ransom.GM的观察及手杀方法

。。。最近卡饭毒比较少  没怎么测毒
gototop
 
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT