一个值得注意的网马下载器
这是一个网页挂的木马下载器。
http://yyhhccnn.cn/1.exe这个病毒网址已经失效。
此样本来自剑盟
http://bbs.janmeng.com/thread-808350-1-1.html中招后,SRENG 2.6.18.1205仍可正常运行。SRENG日志的异常所见见附件。
这个马群比较BT。通过恢复SSDT,使杀软等安全工具失效。替换系统文件wuauclt.exe、beep.sys。释放病毒驱动HBKernel.sys........。
此毒不但通过IFEO劫持目前流行的杀软及常用辅助杀毒工具,且监视相关安全软件、辅助工具的窗口、目录、图标。一旦发现相关程序活动,立即关闭程序窗口。SSM也没逃过其黑手。使中招者难以下手杀毒。
例如:中招后,你点击IceSword所在的目录,窗口会立即关闭;将IceSword.exe改名为000.exe,图标不变,这个000.exe也不能运行。尝试从IceSword所在目录拷贝IceSword.exe到桌面(文件名取0.com),结果:在桌面生成一个病毒文件.pif。
只好从其它电脑拷贝一个IceSword.exe,取名为0.com,放在U盘上。再将U盘上的0.com拷贝至C盘根目录下。在cmd下键入:c:\0.com /c,回车。这个改名为0.com的IceSword可运行,但窗口即刻被病毒关闭。汗!
再次键入c:\0.com /c,按回车。OK!不知是病毒反应不过来,还是此毒本身考虑欠周到,反正我第二次在cmd下运行这个改名为0.com的IceSword,成功了。
主动权到手!立即禁止进程创建。结束系统核心进程以外的所有进程。删除SRENG日志所见的病毒文件,删除相应的注册表加载项、驱动项、服务项以及IFEO劫持项。
重启系统。
重启后,杀软、辅助工具已经解放。按中毒日期全盘搜索一下硬盘文件,漏网的----杀掉。U盘中的病毒文件---杀掉。
注意:此毒有如下特点:
1、C:\Documents and Settings\当前用户名\「开始」菜单\程序\启动\dfjje.exe貌似是个“幽灵”。用IceSword删除该文件后,进程中仍可见dfjje.exe进程,但路径已改为:c:\System Volume Information\。因此,应删除系统还原文件夹中的所有文件。
2、病毒在IE临时文件夹中留下大量病毒文件。抓到系统控制权后,用IceSword删除病毒文件时,不要忘记删除IE临时文件夹中的所有文件。
用户系统信息:Opera/9.52 (Windows NT 5.1; U; zh-cn)
