机器狗新变种及其预防措施
样本来自剑盟社区
http://bbs.janmeng.com/thread-705751-1-1.html文件名:explorer.exe
文件大小:954K
MD5值:e89e8f1ab469a56342f823831cd9a
瑞星20.29.30扫此样本————不报毒。
在桌面上运行病毒文件后,病毒explorer.exe先运行dllcache文件夹中的explorer.exe;然后访问网络202.106.195.29、222.191.251.214、59.60.154.154、59.60.152.22、222.191.251.214。
在IE临时文件夹内创建O5PB3DVN\ggg[1].txt
在当前用户临时文件夹内创建~F*.tmp
在c:\windows\system32\drivers\目录下创建:
192yuioealdjfiefjsdfa2s.txt
2a.exe
2a.txt
3a.exe
3a.txt
.
.
.
25a.exe
25a.txt
此后,在system32文件夹释放“随机字母.dll”病毒文件若干。
结束掉原位运行的病毒进程explorer.exe,删除病毒DLL。完事。
初步观察,扫清战场后,采取如下措施:
XP专业版,在原来预防“机器狗”的“软件限制策略”基础上(
http://forum.ikaka.com/topic.asp?board=28&artid=8422763),再添加两条路径策略,禁止c:\windows\system32\drivers\*.exe和*.dll即可完全防住这个机器狗新变种。
增加上述软件限制策略后,再次运行这个样本,病毒的上述活动过程均以失败告终。
此后,Tiny防火墙的监控记录中可见远程IP:222.222.27.11试图通过80端口访问系统,但均被Tiny一一拦截掉了。
查看SRENG日志,无异常。
至此,结束掉原位运行的病毒进程explorer.exe。完事。