瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 文件操作权限的更改 与 ohydy.exe的手工杀毒

1   1  /  1  页   跳转

[原创] 文件操作权限的更改 与 ohydy.exe的手工杀毒

文件操作权限的更改 与 ohydy.exe的手工杀毒

样本来自:http://bbs.janmeng.com/thread-942647-1-1.html

据说中此毒后较难杀净。剑盟那里还为此毒中招后的手工查杀摆下了擂台(http://bbs.janmeng.com/thread-942679-1-1.html)。

我下载此毒实机运行后看了一下。发现通过临时更改cmd.exe以及病毒程序的文件操作权限,并借助IceSword,即可搞掂此毒。

1、中毒后的典型症状为:系统程序explorer.exe、services.exe以及病毒程序访问网络(图1):


2、改变系统程序cmd.exe以及下列病毒文件的文件操作权限(拒绝任何人操作这些程序,例子见图2):
C:\Documents and Settings\Administrator\Application Data\ohydy.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\624.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\1128.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\3871.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\4463.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\9613.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\0363313.3x3
C:\Documents and Settings\Administrator\Local Settings\Temp\fc1d8cc7.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\hcnc.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\mcqiivok.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\roynhcm.exe


3、用IceSword强制删除C:\Recycler\目录下的病毒文件夹(图3,病毒文件夹已被删除)。



4、重启系统。逐一恢复病毒程序的文件操作权限,然后删除之(图4-图7)。










5、恢复cmd.exe的文件操作权限(图8-图9)。





搞掂。


灭掉病毒,重启后的网络访问状况恢复正常:






用户系统信息:Opera/9.80 (Windows NT 6.1; U; zh-cn) Presto/2.6.30 Version/10.61
最后编辑baohe 最后编辑于 2010-08-18 16:57:59
分享到:
gototop
 

回复 1F baohe 的帖子

猫叔有驱动加载嘛,据说是那个驱动难缠
gototop
 

回复: 文件操作权限的更改 与 ohydy.exe的手工杀毒



引用:
原帖由 networkedition 于 2010-8-18 17:21:00 发表
猫叔有驱动加载嘛,据说是那个驱动难缠  



那个ace.sys被改动是个假象。(对比过中毒前后以及清除病毒后的ace.sys的MD5————无变化)。


灭此毒的关键是封死cmd.exe和C:\Documents and Settings\Administrator\Application Data\ohydy.exe的权限。


因为我发现病毒得以死灰复燃的一个操作是系统启动时,病毒以 /c命令加载C:\Documents and Settings\Administrator\Application Data\ohydy.exe或 C:\Recycler\。。。。\ohydy.exe。
最后编辑baohe 最后编辑于 2010-08-18 17:26:43
gototop
 

回复:文件操作权限的更改 与 ohydy.exe的手工杀毒

病毒以 /c命令加载

是利用注册表项呢??

还是其他程序启动后执行此命令???
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 

回复:文件操作权限的更改 与 ohydy.exe的手工杀毒

nlweuqi.exe 写入文件 C:\WINDOWS\system32\drivers Offset: 4,096, 长度: 4,096, I/O 标识: 无缓冲, 分页 I/O, 同步页面IO
nlweuqi.exe 写入文件 C:\WINDOWS\system32\drivers\aec.sys Offset: 0, 长度: 785,920

(这个785,920 字节的就是病毒驱动,以下病毒的动作估计是恢复aec.sys)

nlweuqi.exe 写入文件 C:\WINDOWS\system32\drivers\aec.sys Offset: 0, 长度: 65,536, I/O 标识: 无缓冲, 分页 I/O, 同步页面IO
nlweuqi.exe 写入文件 C:\WINDOWS\system32\drivers\aec.sys Offset: 65,536, 长度: 65,536, I/O 标识: 无缓冲, 分页 I/O, 同步页面IO
nlweuqi.exe 写入文件 C:\WINDOWS\system32\drivers\aec.sys Offset: 131,072, 长度: 65,536, I/O 标识: 无缓冲, 分页 I/O, 同步页面IO
nlweuqi.exe 写入文件 C:\WINDOWS\system32\drivers\aec.sys Offset: 196,608, 长度: 65,536, I/O 标识: 无缓冲, 分页 I/O, 同步页面IO
nlweuqi.exe 写入文件 C:\WINDOWS\system32\drivers\aec.sys Offset: 262,144, 长度: 65,536, I/O 标识: 无缓冲, 分页 I/O, 同步页面IO
nlweuqi.exe 写入文件 C:\WINDOWS\system32\drivers\aec.sys Offset: 327,680, 长度: 65,536, I/O 标识: 无缓冲, 分页 I/O, 同步页面IO
nlweuqi.exe 写入文件 C:\WINDOWS\system32\drivers\aec.sys Offset: 393,216, 长度: 65,536, I/O 标识: 无缓冲, 分页 I/O, 同步页面IO
nlweuqi.exe 写入文件 C:\WINDOWS\system32\drivers\aec.sys Offset: 458,752, 长度: 65,536, I/O 标识: 无缓冲, 分页 I/O, 同步页面IO
最后编辑byxxdrls 最后编辑于 2010-08-19 08:53:38
gototop
 

回复 5F byxxdrls 的帖子

最初玩儿此毒,我也将ace.sys删除了。
后来,仔细看过Tiny的监控过程,发现此毒的软肋是病毒程序  ohydy.exe和 系统程序cmd.exe 。中毒后,如果能有效控制住这两个程序操作权限,重启系统后,这个毒就是个废物。
这时对比中毒前后ace.sys的 MD5值————相同。此外drivers目录下也无可执行程序.exe释放。


另:在WIN7系统中,中此毒后根本就没有ace.sys释放。
最后编辑baohe 最后编辑于 2010-08-19 09:10:15
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT