今天接到了一个样本
测试了一下
又是一个可以通过 U盘等移动存储传播的病毒
下面是该病毒的分析报告:
File: server.exe
Size: 12141 bytes
MD5: 5B2F77177E28974CF00BFFCFC191F8CC
SHA1: C46171EAB875E86F5C1BF7D83DE6100CDA586C1A
CRC32: 9F8DFCB1
加壳方式 FSG2.0
1.生成如下文件:
C:\WINDOWS\system32\IME\svchost.exe
C:\WINDOWS\system32\progmon.exe
C:\WINDOWS\system32\internt.exe
2.创建服务
Alerter COM+
服务相关注册表项目
HKLM\SYSTEM\ControlSet001\Services\Alerter COM+\Security\Security: 01 00 14 80 90 00 00 00 9C 00 00 00 14 00 00 00 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00 00 00 00 02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 00 05 12 00 00 00 00 00 18 00 FF 01 0F 00 01 02 00 00 00 00 00 05 20 00 00 00 20 02 00 00 00 00 14 00 8D 01 02 00 01 01 00 00 00 00 00 05 0B 00 00 00 00 00 18 00 FD 01 02 00 01 02 00 00 00 00 00 05 20 00 00 00 23 02 00 00 01 01 00 00 00 00 00 05 12 00 00 00 01 01 00 00 00 00 00 05 12 00 00 00
HKLM\SYSTEM\ControlSet001\Services\Alerter COM+\Type: 0x00000110
HKLM\SYSTEM\ControlSet001\Services\Alerter COM+\Start: 0x00000002
HKLM\SYSTEM\ControlSet001\Services\Alerter COM+\ErrorControl: 0x00000000
HKLM\SYSTEM\ControlSet001\Services\Alerter COM+\ImagePath: "C:\WINDOWS\system32\IME\svchost.exe"
HKLM\SYSTEM\ControlSet001\Services\Alerter COM+\DisplayName: "Alerter COM+"
HKLM\SYSTEM\ControlSet001\Services\Alerter COM+\
ObjectName: "LocalSystem"
3.HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下创建启动项目
<Internt><C:\WINDOWS\system32\internt.exe>
<Program file><C:\WINDOWS\system32\progmon.exe>
4.HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue修改为0x00000000
屏蔽显示隐藏
5.隐藏system32文件夹
6.监控窗口
如果发现带有如下字样的窗口则将其关闭:
Windows 任务管理器
兔子
任务
优化
注册表
Process
进程
毒
木马
防火墙
7.C:\WINDOWS\system32\IME\svchost.exe连接网络222.170.127.59:80
下载1.exe和 2.exe到system32文件夹
1.exe不断试图访问局域网上的其他机器 试图将2.exe(就是前面的C:\WINDOWS\system32\IME\svchost.exe)复制到其他机器上
利用下列用户名和密码进行试探
用户名 密码
administrator 空 123456 login love
admin 空 123456 login love
Guest 空 123456 login love
home 空 123456 login love
8.在除系统分区外的其他分区的根目录生成autorun.inf和setup.exe
解决办法
还好 安全模式还可以用
重启
进入安全模式
打开sreng
启动项目 注册表 删除如下项目 (如果有哪项你认识或者确认不是病毒 请不要删除)
<Internt><C:\WINDOWS\system32\internt.exe>
<Program file><C:\WINDOWS\system32\progmon.exe>
“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”,
选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:
[Alerter COM+ / Alerter COM+][Stopped/Auto Start]
<C:\WINDOWS\system32\IME\svchost.exe><N/A>
把下面的 代码拷入记事本中然后另存为1.reg文件
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
双击1.reg把这个注册表项导入
去掉system32的隐藏属性
开始 运行 输入cmd 打开命令行窗口 输入attrib +s -h C:\windows\system32
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
然后删除C:\WINDOWS\system32\IME\svchost.exe
C:\WINDOWS\system32\progmon.exe
C:\WINDOWS\system32\internt.exe
C:\WINDOWS\system32\1.exe
C:\WINDOWS\system32\2.exe
右键点击菜单中的 “打开” 打开其他分区
删除 autorun.inf和setup.exe
分析完此病毒后 不得不提醒各位网友 最近通过病毒普遍都利用了移动存储这个传播途径进行传播
所以我们平时在插入U盘或者移动存储时候一定要注意以下几点:
1.千万不要双击打开U盘或者移动存储设备
2.插入U盘或者移动存储最好同时按住Shift键
3.安全的打开U盘或者移动存储的方法是在 地址栏里面 直接输入 如G: 然后回车后打开
4.建议关闭自动播放 方法:在“开始”菜单的“运行”框中运行“gpedit.msc”命令,在“组策略”找到“计算机配置”和“用户配置”下的“管理模板”功能,打开其中的“系统”菜单中的“关闭自动播放”的设置,在其属性里面选择“已启用”,接着选择“所有驱动器”,最后确定保存即可。
