CISRT发布【CISRT2006083】被感染的tel.xls.exe mmc.exe 解决方案

原文：http://www.cisrt.org/bbs/viewthread.php?tid=555&extra=page%3D1

档案编号：CISRT2006083
病毒名称：Virus.Win32.Dzan.a（Kaspersky）
　　　　　 清除Virus.Win32.Dzan.a后：Trojan.Win32.VB.atg（Kaspersky）
病毒别名：Worm.Suser.a（瑞星）
病毒大小：110,592 字节
　　　　　 清除Virus.Win32.Dzan.a后：45,056 字节
加壳方式：N/A
样本MD5：3dc040cb3a352a8577f44a1ff8ef8ca8
样本SHA1：acf12d3a843126cc98efd9f8e77c1cf14b027a70
发现时间：2006.11
更新时间：2006.11
关联病毒：
传播方式：通过恶意网页传播，其它木马下载，可移动存储设备（如U盘、MP3、移动硬盘）


技术分析
==========

这个tel.xls.exe是CISRT2006083http://www.cisrt.org/bbs/viewthread.php?tid=464的变种，行为较之更为恶劣，我们发现这个样本会感染其它exe文件，但是，经过分析发现此文件是被另外一个感染型病毒所感染，本身并不具备感染文件的行为。

tel.xls.exe原始文件大小为45056字节（Trojan.Win32.VB.atg），和CISRT2006083http://www.cisrt.org/bbs/viewthread.php?tid=464的一样，运行后复制自身到系统目录：
%Windows%\session.exe
%Windows%\svchost.exe
%System%\SocksA.exe
%System%\FileKan.exe

创建启动项：

[Copy to clipboard]CODE:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ASocksrv"="SocksA.exe"
在每个驱动器根目录复制副本：
X:\tel.xls.exe
X:\autorun.inf
在系统目录创建autorun.inf的副本：
%Windows%\BACKINF.TAB
autorun.inf内容：

[Copy to clipboard]CODE:[AutoRun]
open=tel.xls.exe
shellexecute=tel.xls.exe
shell\Auto\command=tel.xls.exe
shell=Auto
tel.xls.exe每10秒从%Windows%\session.exe重写X:\tel.xls.exe，从%Windows%\BACKINF.TAB重写X:\autorun.inf。

修改注册表破坏“显示所有文件和文件夹”设置：

[Copy to clipboard]
CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"="0"
由于被病毒（Virus.Win32.Dzan.a）感染，导致它和之前变种CISRT2006083http://www.cisrt.org/bbs/viewthread.php?tid=464有较大的差别。
被感染的tel.xls.exe运行后释放%System%\mmc.exe，覆盖系统“管理控制台”程序，这意味着系统的管理控制台无法打开，比如“计算机管理”、“服务”等。

创建服务：

QUOTE:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mmc]
显示名：Smart Card Supervisor
可执行文件的路径：%System%\mmc.exe
mmc.exe就是感染型文件的原程序，它常驻内存遍历目录感染exe文件，也包括系统文件，当系统文件被感染时系统会弹出“Windows文件保护”的对话框（如图）：




mmc.exe大小61440字节，被感染exe文件增加大小61952字节，是mmc.exe自身大小再加512字节，被感染exe文件运行后会释放mmc.exe运行。

病毒文件如图：





清除步骤
==========

1. 结束病毒进程：
%System%\mmc.exe
X:\tel.xls.exe
%Windows%\svchost.exe
%System%\SocksA.exe

2. 删除病毒文件：
%Windows%\BACKINF.TAB
%Windows%\session.exe
%Windows%\svchost.exe
%System%\SocksA.exe
%System%\FileKan.exe
%System%\mmc.exe

3. 通过磁盘驱动器右键菜单进入根目录：右键点击驱动器盘符，点击菜单中的“打开”进入驱动器根目录，删除根目录下的文件：
X:\autorun.inf
X:\tel.xls.exe

4. 删除病毒启动项和服务：

[Copy to clipboard]
CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ASocksrv"="SocksA.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mmc]
5. 修改“显示所有文件和文件夹”设置，到注册表以下位置：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
删除右边病毒创建的字符串值："CheckedValue"="0"
新建DWORD值，名称：CheckedValue，数据：1

6. 使用反病毒软件进行全盘扫描，清除被感染的exe文件
注：今天上午测试，Kaspersky（卡巴斯基）和瑞星（Rising）可以基本清除被感染exe文件

7. 从正常的相同的操作系统里复制%System%\mmc.exe，用以恢复系统“管理控制台”功能


发布时间：2006-11-30 10:48
更新时间：2006-11-30 18:01

有疑问请访问：C.I.S.R.T.http://www.cisrt.org/bbs

【回复“艾玛”的帖子】
染了这个毒，硬盘中的.exe（RAR包中的除外）几乎全军覆没。
解决办法，最好用可以清除此毒的杀软。
手工杀毒太累，而且难免漏网之“鱼”。

一直没看明白..

这么说应该是.. mmc.exe  成独立的感染型 病毒咯?

tel.xls.exe 是单个?

引用:

【mopery的贴子】一直没看明白.. 这么说应该是.. mmc.exe  成独立的感染型 病毒咯? tel.xls.exe 是单个? ………………

不妨这样理解：
此tel.xls.exe是个感染了艾滋病病毒的“荡妇”；那个mmc.exe就是这个荡妇体内的艾滋病毒。

理解了。。。这都行//猫叔，偶看了下，我的tiny没被感染，IS也没感染其他的也没去看，应该都没感染。。只是不明白的是我的那个mmc.exe没被替换，但变隐藏的属性了，MD5值也没变化

那就是夹杂着...


希望不会大面积中毒咯..

引用:

【baohe的贴子】【回复“艾玛”的帖子】 染了这个毒，硬盘中的.exe（RAR包中的除外）几乎全军覆没。 解决办法，最好用可以清除此毒的杀软。 手工杀毒太累，而且难免漏网之“鱼”。 ………………

大叔说的深有同感
有过这个病毒确实恐怖
几乎感染了所有的EXE

我也认为若是这样的话
手式查杀难免彻底

引用:

【不言放弃的贴子】 引用: 【baohe的贴子】【回复“艾玛”的帖子】 染了这个毒，硬盘中的.exe（RAR包中的除外）几乎全军覆没。 解决办法，最好用可以清除此毒的杀软。 手工杀毒太累，而且难免漏网之“鱼”。 ……………… 大叔说的深有同感 有过这个病毒确实恐怖 几乎感染了所有的EXE 我也认为若是这样的话 手式查杀难免彻底 ………………

不言 都来了..
又好久没见了..

看看吧..何况现在杀软能处理..
面积也不大..

如果面积大的话还是可以叫人写个专杀..

引用:

【deadmanzj的贴子】理解了。。。这都行//猫叔，偶看了下，我的tiny没被感染，IS也没感染其他的也没去看，应该都没感染。。只是不明白的是我的那个mmc.exe没被替换，但变隐藏的属性了，MD5值也没变化 ………………

你的Tiny，如果设置了所有分区的文件保护，或者录入的.exe都有“文件完整性保护”，而且你运行这个病毒样本时没有关闭Tiny的windows security 和 integrity guard两个模块，那么，你的系统就相当于有“安全套”保护。按照原来的手工杀毒流程，即可搞掂。

玛姐的贴子盲目的顶一下，５５５５５５５５５５５５上你博客里面了好友里没有俺职，要加上噢，博客里的歌曲刚刚的好听
ＩＣ　ＩＰ　ＩＱ卡统统告诉我密码