瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 致“fzzfzz”和“ 迷你超音速”——关于inetsrv文件夹中的csrss.exe

12345678   1  /  8  页   跳转

致“fzzfzz”和“ 迷你超音速”——关于inetsrv文件夹中的csrss.exe

收藏
本主题由 大版主 networkedition 于 2012-2-24 13:25:57 执行 移动主题 操作
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-09-05 18:42 | 只看楼主 短消息 资料
字号: 1楼

致“fzzfzz”和“ 迷你超音速”——关于inetsrv文件夹中的csrss.exe

【说明】收到你发的样本。
这个样本比较怪。解压运行后,csrss.exe只能进入当前用户文件夹中运行。另外一怪是:未见其添加常见的启动项。结果是:重启后csrss.exe不能运行(我的WINDOWS防火墙是关闭的,不知是否与此有关)!直接删除病毒文件,清理注册表了事。
本查杀流程可能与被动中招者有出入,仅供参考。
查杀流程:
一、结束病毒进程csrss.exe(DLL文件图标)
二、清理注册表:

1、HKEY_CLASSES_ROOT\CLSID\
删除:{881F6F06-4620-4070-AD05-BD77D4C56661}

2、HKEY_CLASSES_ROOT\Interface\
删除:{468262B9-8400-4A49-B2E5-CE8550EB1347}

3、HKEY_CLASSES_ROOT\
删除:SimFlyyu.SysBackHelper

4、HKEY_CLASSES_ROOT\TypeLib\
删除:{F63B08CD-3645-474F-8872-BA4293251FF9}

5、HKEY_CURRENT_USER\Software\Microsoft\MediaPlayer\Player\Extensions\
删除:.fy
6、HKEY_CURRENT_USER\Software\Microsoft\MediaPlayer\Player\Extensions\
删除:.rm
7、HKEY_CURRENT_USER\Software\Microsoft\MediaPlayer\Player\Extensions\
删除:.rmvb

8、HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
删除:"C:\\Documents and Settings\\baohelin\\Local Settings\\Temp\\Rar$EX00.554\\csrss.exe"="C:\\Documents and Settings\\baohelin\\Local Settings\\Temp\\Rar$EX00.554\\csrss.exe:*:Enabled:Generic Hosts for WinService"

三、删除下列文件(图):

附件附件:

下载次数:579
文件类型:image/pjpeg
文件大小:
上传时间:2006-9-5 18:42:47
描述:
预览信息:EXIF信息



最后编辑2006-10-12 09:23:54
分享到:
gototop
 
westbeck
头像
初生襁褓狮
  • 帖子:3572
  • 注册: 2006-07-27
  • 来自:
发表于: 2006-09-05 18:58 | 短消息 资料
字号: 2楼

很奇怪...
猫叔,这文件可能不是这病毒的主体
gototop
 
fzzfzz
头像
拙长孩提狮
  • 帖子:121
  • 注册: 2005-09-04
  • 来自:
发表于: 2006-09-05 20:17 | 短消息 资料
字号: 3楼

谢谢baohe斑竹.
注册表还没有清理完,清理过的各个项又恢复了。进程也恢复了。是不是还另有病毒文件?
intensrv中的其他两个文件会有关系吗?
gototop
 
fzzfzz
头像
拙长孩提狮
  • 帖子:121
  • 注册: 2005-09-04
  • 来自:
发表于: 2006-09-05 20:20 | 短消息 资料
字号: 4楼

谢谢baohe斑竹.
注册表还没有清理完,清理过的各个项又恢复了。进程也恢复了。是不是还另有病毒文件?
inetsrv中的其他两个文件会有关系吗?
gototop
 
fzzfzz
头像
拙长孩提狮
  • 帖子:121
  • 注册: 2005-09-04
  • 来自:
发表于: 2006-09-06 08:43 | 短消息 资料
字号: 5楼

早上开机发现有新的情况.报告一下,请baohe斑竹看看,希望斑竹能继续关注我机器里的这个该死的病毒csrss.

发现:
1.
用Hijackthis发现有异常的BHO
BHO: Sun Java2 - {C61A70F3-505E-4B90-916F-627A8706B4BC} - c:\WINDOWS\system32\COMBoHEvent.dll
用其他软件也发xi现这个Sun Java2  浏览器扩展对象
该文件属性无版本号,无公司名。
用Hijackthis 修复该BHO项并删除文件COMBoHEvent.dll后,都会自动恢复。

2.
任务管理器和procexp中发现有c:\WINDOWS\system32\cmd.exe进程,
根据它属性中的的创建日期和公司,可认为这个cmd.exe文件没有问题。但是这个进程出现不正常.

3.
异常的csrss.exe进程大摇大摆地自动恢复了。

请斑竹继续多多关注.
gototop
 
fzzfzz
头像
拙长孩提狮
  • 帖子:121
  • 注册: 2005-09-04
  • 来自:
发表于: 2006-09-06 08:45 | 短消息 资料
字号: 6楼

早上开机发现有新的情况.报告一下,请baohe斑竹看看,希望斑竹能继续关注我机器里的这个该死的病毒csrss.

发现:
1.
用Hijackthis发现有异常的BHO
BHO: Sun Java2 - {C61A70F3-505E-4B90-916F-627A8706B4BC} - c:\WINDOWS\system32\COMBoHEvent.dll
用其他软件也发xi现这个Sun Java2  浏览器扩展对象
该文件属性无版本号,无公司名。
用Hijackthis 修复该BHO项并删除文件COMBoHEvent.dll后,都会自动恢复。

2.
任务管理器和procexp中发现有c:\WINDOWS\system32\cmd.exe进程,
根据它属性中的的创建日期和公司,可认为这个cmd.exe文件没有问题。但是这个进程出现不正常.

3.
异常的csrss.exe进程大摇大摆地自动恢复了。

请斑竹继续多多关注.
gototop
 
fzzfzz
头像
拙长孩提狮
  • 帖子:121
  • 注册: 2005-09-04
  • 来自:
发表于: 2006-09-06 08:57 | 短消息 资料
字号: 7楼

4.发现csrss动了我机器中的端口

用CurrPorts检查结果:
==================================================
进程名称          : csrss.exe
ID                : 1052
类型              : UDP
本机端口          : 6100
本机端口类型      :
本机地址          : 0.0.0.0
远程端口          :
远程端口类型      :
远程地址          :
连接状态          :
进程路径          : C:\WINDOWS\system32\inetsrv\csrss.exe
产品名称          :
文件描述          : Generic Hosts for WinService
文件版本          : 1.0.0.0
公司              : Microsoft
进程创建时间      : 2006-9-6 7:54:36
用户名称          : NT AUTHORITY\SYSTEM
进程服务          :
==================================================
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-09-06 11:13 | 只看楼主 短消息 资料
字号: 8楼

引用:
【fzzfzz的贴子】4.发现csrss动了我机器中的端口

用CurrPorts检查结果:
==================================================
进程名称          : csrss.exe
ID                : 1052
类型              : UDP
本机端口          : 6100
本机端口类型      :
本机地址          : 0.0.0.0
远程端口          :
远程端口类型      :
远程地址          :
连接状态          :
进程路径          : C:\WINDOWS\system32\inetsrv\csrss.exe
产品名称          :
文件描述          : Generic Hosts for WinService
文件版本          : 1.0.0.0
公司              : Microsoft
进程创建时间      : 2006-9-6 7:54:36
用户名称          : NT AUTHORITY\SYSTEM
进程服务          :
==================================================
………………

这个csrss.exe用的还不止6100一个端口。
而且,还有一个特点:一旦允许它访问网络后(哪怕只是一次),即使你结束了这个csrss.exe进程,它依然不停的访问网络。访问的IP地址多个,开的端口也有变换。
这个木马通过将自身加入到WINDOWS防火墙的“例外”中达到偷偷访问网络的目的(图)。即使这样,我的Tiny依然可以发现并拦截它。
今天再次试验了另一位网友发来的样本,结果与这个帖子叙述的现象一样。

附件附件:

下载次数:518
文件类型:image/pjpeg
文件大小:
上传时间:2006-9-6 11:13:43
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-09-06 11:19 | 只看楼主 短消息 资料
字号: 9楼

引用:
【fzzfzz的贴子】谢谢baohe斑竹.
注册表还没有清理完,清理过的各个项又恢复了。进程也恢复了。是不是还另有病毒文件?
inetsrv中的其他两个文件会有关系吗?
………………

建议你用SSM禁止其.exe和dll运行,关闭WINDOWS的防火墙。重启后再清理注册表。
试试看。
gototop
 
mopery
头像
卡卡技术团队
  • 帖子:17737
  • 注册: 2005-12-06
  • 来自:New York
卡卡名人堂论坛9周年纪念
发表于: 2006-09-06 11:38 | 短消息 资料
字号: 10楼

猫叔 转到我邮箱看看..
gototop
 
<<上一主题|下一主题>>
12345678   1  /  8  页   跳转
页面顶部
Powered by Discuz!NT