幕：

样本来至木蚂蚁论坛之病毒样本区。。

======================================

行为：

此病毒相当恶劣，破坏EXE可执行文件，修改PE，导致文件无法运行

通过连接网络连接外部下载病毒文件，动态插入进程

同时删除可显示的隐藏文件的注册表，使显示隐藏文件选项失效。

======================================

首先看看这位“病毒”的尊容








病毒信息：


File size: 51840 bytes
MD5: 354861d7f587f1553fbbf6779426ede8
SHA1: cf49aca08d3c975b7f751790dce3281bc37d463a
CRC32    : BD8EB546
SHA160  : CF49ACA08D3C975B7F751790DCE3281BC37D463A

病毒名称：（瑞星）Worm.DLOnlineGames.p
（Dr。Web） WIN.WORM.Virus
（卡吧斯基） Worm.Win32.Delf.by
（McAfee ）New Malware.n
编写语言:Borland Delphi 6.0 - 7.0
加壳方式:Upack 0.3.9 beta2s

===============================

分析过程：

运行后连接外部，获得下载病毒列表，下载之。。







http://new.hackpp.com/down.txt


http://new.hackpp.com/htm.txt


这2个列表，其中第二个不能连接，失效？

http://new.hackpp.com/down.txt]列表如下：

http://new.hackpp.com/ma/1.exe
http://new.hackpp.com/ma/2.exe
http://new.hackpp.com/ma/3.exe
http://new.hackpp.com/ma/4.exe
http://new.hackpp.com/ma/5.exe
http://new.hackpp.com/ma/6.exe
http://new.hackpp.com/ma/7.exe
http://new.hackpp.com/ma/8.exe
http://new.hackpp.com/ma/Ie.Exe

利用远程执行漏洞（可见修复漏洞有多重要），下载在C盘根目录，运行后“自尽”。。

由%systemroot%\system32\deleteself.bat完成的

然后，下载下来的病毒狂插进程。。













呼（吸口凉气。。。可怜的Explorer..)

下载的病毒有：

<shualai><C:\winnt\shualai.exe /i>  []
    <upxdnd><C:\DOCUME~1\admin\LOCALS~1\Temp\upxdnd.exe>  []
    <winform><C:\winnt\winform.exe>  []
    <msppds><C:\winnt\msppds.exe>  []
    <msccrt><C:\winnt\msccrt.exe>  []
    <cmdbcs><C:\winnt\cmdbcs.exe>  []
    <Kvsc3><C:\winnt\Kvsc3.exe>  []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{42A612A4-4334-4424-4234-42261A31A236}><C:\winnt\system32\pdkpri.dll>  []
    <{DD7D4640-4464-48C0-82FD-21338366D2D2}><C:\Program Files\Internet Explorer\MoWang.tdm>  []

由SREng日志跟踪到的。。

插入的进程有：

C:\winnt\system32\MSVCR80.dll]  [Microsoft Corporation, 8.00.50727.163]
    [C:\winnt\system32\shualai.dll]  [N/A, ]
    [C:\DOCUME~1\admin\LOCALS~1\Temp\upxdnd.dll]  [N/A, ]
    [C:\winnt\system32\winform.dll]  [N/A, ]
    [C:\winnt\system32\msppds.dll]  [N/A, ]
    [C:\winnt\system32\msccrt.dll]  [N/A, ]
    [C:\winnt\system32\cmdbcs.dll]  [N/A, ]
    [C:\Program Files\Internet Explorer\MoWang.tdm]  [N/A, ]
    [C:\winnt\system32\Kvsc3.dll]  [N/A, ]
    [C:\winnt\system32\pdkpri.dll]  [N/A, ]

最后作者似乎还不放心，在%systemroot%\system32\生成：Explorer.exe

其实就是病毒猪头，由于系统加载Explorer是从%systemroot%\system32\优先搜索启动的

所以病毒。。。

然后尝试关闭的安全杀软如下：

"Ravmond.exe"
“CCenter.exe"
"RavTask.exe"
"Rav.exe"
"Ravmon.exe"
"KVXP.kxp"
"KvMonXP.kxp"
"KVCenter.kxp"
"KVSrvXP.exe"
"RavmonD.exe"

查找扩展名为：

htm"
".html"
".asp"
".aspx"
".php"
".jsp"

插入代码，代码？没看到哦

结尾为了保护自己不被消灭，还破坏了”显示隐藏文件“

删除：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN
CheckedValue = REG_DWORD, 2
DefaultValue = REG_DWORD, 2


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue = REG_DWORD, 1
DefaultValue = REG_DWORD, 2

。。。。。。。。。。

下载来的病毒还释放了个注册表，关闭自动系统更新，试图降低系统安全

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"NoAutoUpdate"=dword:00000001
"AUOptions"=dword:00000001

解决方法：

由于时间关系。。不写复杂了。。

工具：

http://gudugengkekao.ys168.com

下载强制删除工具 PowerRMV 和显示隐藏的注册表导入

在”其他工具“项里

先全面清理临时文件，我的电脑-系统盘(C盘?)-属性-磁盘清理-全部勾选上-点确定即可

打开PowerRMV

填入：（一次一个,选上抑止杀灭对象再次生成）

    C:\winnt\shualai.exe
    C:\DOCUME~1\admin\LOCALS~1\Temp\upxdnd.exe>  []
    C:\winnt\winform.exe
    C:\winnt\msppds.exe
    C:\winnt\msccrt.exe
    C:\winnt\cmdbcs.exe
    C:\winnt\Kvsc3.exe

    C:\winnt\system32\pdkpri.dll
    C:\Program Files\Internet Explorer\MoWang.tdm

    C:\winnt\system32\shualai.dll
    C:\DOCUME~1\admin\LOCALS~1\Temp\upxdnd.dll
    C:\winnt\system32\winform.dll
    C:\winnt\system32\msppds.dll
    C:\winnt\system32\msccrt.dll
    C:\winnt\system32\cmdbcs.dll
    C:\Program Files\Internet Explorer\MoWang.tdm
    C:\winnt\system32\Kvsc3.dll
    C:\winnt\system32\pdkpri.dll

用SREng删除注册表项：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{42A612A4-4334-4424-4234-42261A31A236}><C:\winnt\system32\pdkpri.dll>  []
    <{DD7D4640-4464-48C0-82FD-21338366D2D2}><C:\Program Files\Internet Explorer\MoWang.tdm>  []

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
的整个项

打开注册表查找pdkpri.dll、Kvsc3.dll、MoWang.tdm等上面提到的，有找的话删除咯，怕删错的话备份哈。


然后下载下来的注册表项导入，显示隐藏文件

然后删除每个分区的Autorun.inf和Autorun.inf指向的启动EXE，这个我测试时候无法验证。。

然后用杀软检查被破坏的EXE文件。。估计不能恢复多少。。。。我试图恢复时，差不多20多个，没一个恢复。。

默哀ing......



收工。。。



其他图片：

其他信息:

常识恢复的时候文件大小和MD5等值:

正常的:

File size: 702777 bytes
MD5: 2bd783e94a09a60f0583c1d835d1364d
SHA1: 0490bc35b3fe227acfb1beca1537fd7cbe264570

正常的:

File size: 1419264 bytes
MD5: f128951e779d567587dc63e602b951f4
SHA1: 6553934bdc4ea0526aeb182380feebd9bb53acdb
packers: EXECryptor

感染后的:

File size: 944461 bytes
MD5: 783c472de0875e7f9bb29bfc9fa5ef22
SHA1: bd56495a5073bf7fbd61c18b2e3ee1020cc43b9f

感染后的:

File size: 1660948 bytes
MD5: 5d4438692d17e288cc522795a3e9ed63
SHA1: 8ae13c8ca1224be381bd0c4221f82b923a865923

用瑞星"清楚"后的..:

File size: 892621 bytes
MD5: c2a79d8f26766586411e437299dbea33
SHA1: 078fe97fb98e4bfea59b329d562368b0c38d0ce7

File size: 1609108 bytes
MD5: 430c565ed695ab562d6013b1f4de8577
SHA1: d576e734bc3f7151476230440431aa60284eda2d

呼..结果还是运行不了..

喷血 先顶了
  昨天刚中的 .. \shualai.exe  360 还好对付
upxdnd><C:\DOCUME~1\admin\LOCALS~1\Temp\upxdnd.exe> []
<winform><C:\winnt\winform.exe> []
<msppds><C:\winnt\msppds.exe> []
<msccrt><C:\winnt\msccrt.exe> []
<cmdbcs><C:\winnt\cmdbcs.exe> []
360 好象不行了
靠 ..怎么老子电脑什么都往我这旁啊 ，昨天刚搞定艾尼 还有这些 郁闷

Worm.DLOnlineGames.u ... 呀的 瑞星昨天刚发现 ..的
  干不掉 . 昨天杀了 今天杀还有

不错， 感谢lz分享。

谢谢 LZ  虽然 有些地方看不大 懂 还是顶了

我了感觉瑞星在处理这几个病毒时不怎么样。

貌似和番茄的一样的。。。