123456   1  /  6  页   跳转

一个利用MS06-040漏洞的新病毒

一个利用MS06-040漏洞的新病毒

一个利用MS06-040漏洞的新病毒

样本csrse.exe来自“安全12公里”。瑞星18.41.40查不出这个病毒;升级到18.41.42后——仍查不到。
样本提供者还附带提供了一个专杀工具。
连网状态运行这个病毒后发现:这个工具并不能彻底杀死此毒。
一、观察到的病毒活动过程:
1、csrse.exe运行后添加系统服务项:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\natman,指向:c:\windows\csrse.exe。
2、SSM的进程列表中可见csrse.exe。HijackThis、autoruns、SREng、IceSword的日志中均扫不到病毒的服务项。
3、csrse.exe访问网络:
68.233.235.254
61.183.133.181
61.121.100.107
65.110.45.130
203.140.25.49
4、csrse.exe运行C:\windows\Temp目录下的eraseme_50568.exe。
5、csrse.exe继续访问网络:203.140.25.49
6、csrse.exe启动服务:Network Gateway Manager(注册表中的服务名natman)
7、csrsc.exe(注意:不是“csrse.exe”)注册系统服务:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\npx,指向:c:\windows\csrsc.exe。
8、csrsc.exe访问网络:68.233.235.254
9、csrsc.exe删除csrse.exe添加系统服务项:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\natman
10、csrsc.exe访问网络:61.121.100.107
..........
二、样本提供者提供的专杀工具杀毒结果:
Windows XP(Build 2600: Service Pack 2)

Start time : 星期日 八月 27 2006 17:23:02

Load Damage Cleanup Template (DCT) "C:\Documents and Settings\baohelin\桌面\新建文件夹\tsc.ptn" (version 9999) [success]
CSRSE.EXE[virus found]
-->delete registry data("HKEY_LOCAL_MACHINE","SOFTWARE\Microsoft\Security Center","1") success
-->delete registry data("HKEY_LOCAL_MACHINE","SOFTWARE\Microsoft\Security Center","1") success
-->delete registry data("HKEY_LOCAL_MACHINE","SOFTWARE\Microsoft\Security Center","1") success
-->delete registry data("HKEY_LOCAL_MACHINE","SOFTWARE\Microsoft\Security Center","1") success
-->delete registry data("HKEY_LOCAL_MACHINE","SOFTWARE\Microsoft\Security Center","1") success
-->delete registry key("HKEY_LOCAL_MACHINE","SOFTWARE\Microsoft\Security Center","") success
-->delete registry key("HKEY_LOCAL_MACHINE","SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate","") success
-->delete registry data("HKEY_LOCAL_MACHINE","SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate","1") success
-->delete registry key("HKEY_LOCAL_MACHINE","SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate","") success
-->delete registry key("HKEY_LOCAL_MACHINE","SOFTWARE\Policies\Microsoft\WindowsFirewall","") success
-->delete registry key("HKEY_USERS",".DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0","") success
-->delete registry key("HKEY_USERS",".DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Cache","") success
-->modify registry data("HKEY_LOCAL_MACHINE","SOFTWARE\Microsoft\Ole","EnableDCOM") success
-->modify registry value("HKEY_LOCAL_MACHINE","SYSTEM\CurrentControlSet\Control","WaitToKillServiceTimeout") success
-->modify registry value("HKEY_LOCAL_MACHINE","SYSTEM\CurrentControlSet\Control\Lsa","restrictanonymous") success
-->delete file("C:\windows\csrse.exe","","") success

Complete time : 星期日 八月 27 2006 17:23:17
Execute pattern count(1), Virus found count(1), Virus clean count(1), Clean failed count(0)
三、专杀工具杀毒效果的检验:
从上面的结果看,原来的csrse.exe及其服务项均被删除了,其它注册表改动也被删除或得以回复。
但是,csrse.exe访问网络过程中带来的csrsc.exe(图1)及其注册的服务项(图2)安然无恙!

四、我的解决办法:
用SSM禁止csrse.exe和csrsc.exe加载运行(图3)。
重启系统后发现:本法有效。
判断根据是:
如果csrse.exe和csrsc.exe这两个病毒程序重启后依然可加载运行,那么,SSM进程列表中应可见其进程;HijackThis、SREng、IceSwoed等日志中也可见其进程(虽然看不到它的服务项)。
但是,重启系统后,用这几个工具检查,均未发现csrse.exe或csrsc.exe进程。而且,残留的csrsc.exe可以直接删除。

图1


附件附件:

下载次数:868
文件类型:image/pjpeg
文件大小:
上传时间:2006-8-27 18:25:09
描述:
预览信息:EXIF信息



最后编辑2006-08-31 10:10:04
分享到:
gototop
 

图2

附件附件:

下载次数:820
文件类型:image/pjpeg
文件大小:
上传时间:2006-8-27 18:25:49
描述:
预览信息:EXIF信息



gototop
 

图3

附件附件:

下载次数:760
文件类型:image/pjpeg
文件大小:
上传时间:2006-8-27 18:26:25
描述:
预览信息:EXIF信息



gototop
 

老大!厉害!!
gototop
 

老大不是吹的!~~~~~~~
gototop
 

谢谢猫叔。
gototop
 

猫叔就是厉害啊!!!!!!!!!!~~~~~~~~~~~~~~~~~~
gototop
 

火车不是推的,猫哥不是吹的~哈哈~我早打了补丁了~应该不会再中那毒把?
gototop
 

汗了。。又不报毒的!~~~这毒啊.....发展真快
猫叔的顶顶
gototop
 

厉害!
gototop
 
123456   1  /  6  页   跳转
页面顶部
Powered by Discuz!NT