瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 致“fzzfzz”和“ 迷你超音速”——关于inetsrv文件夹中的csrss.exe

12   1  /  2  页   跳转

致“fzzfzz”和“ 迷你超音速”——关于inetsrv文件夹中的csrss.exe

收藏
本主题由 大版主 networkedition 于 2012-2-24 13:25:57 执行 移动主题 操作
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-09-05 18:42 | 显示全部 短消息 资料
字号: 1楼

致“fzzfzz”和“ 迷你超音速”——关于inetsrv文件夹中的csrss.exe

【说明】收到你发的样本。
这个样本比较怪。解压运行后,csrss.exe只能进入当前用户文件夹中运行。另外一怪是:未见其添加常见的启动项。结果是:重启后csrss.exe不能运行(我的WINDOWS防火墙是关闭的,不知是否与此有关)!直接删除病毒文件,清理注册表了事。
本查杀流程可能与被动中招者有出入,仅供参考。
查杀流程:
一、结束病毒进程csrss.exe(DLL文件图标)
二、清理注册表:

1、HKEY_CLASSES_ROOT\CLSID\
删除:{881F6F06-4620-4070-AD05-BD77D4C56661}

2、HKEY_CLASSES_ROOT\Interface\
删除:{468262B9-8400-4A49-B2E5-CE8550EB1347}

3、HKEY_CLASSES_ROOT\
删除:SimFlyyu.SysBackHelper

4、HKEY_CLASSES_ROOT\TypeLib\
删除:{F63B08CD-3645-474F-8872-BA4293251FF9}

5、HKEY_CURRENT_USER\Software\Microsoft\MediaPlayer\Player\Extensions\
删除:.fy
6、HKEY_CURRENT_USER\Software\Microsoft\MediaPlayer\Player\Extensions\
删除:.rm
7、HKEY_CURRENT_USER\Software\Microsoft\MediaPlayer\Player\Extensions\
删除:.rmvb

8、HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
删除:"C:\\Documents and Settings\\baohelin\\Local Settings\\Temp\\Rar$EX00.554\\csrss.exe"="C:\\Documents and Settings\\baohelin\\Local Settings\\Temp\\Rar$EX00.554\\csrss.exe:*:Enabled:Generic Hosts for WinService"

三、删除下列文件(图):

附件附件:

下载次数:579
文件类型:image/pjpeg
文件大小:
上传时间:2006-9-5 18:42:47
描述:
预览信息:EXIF信息



最后编辑2006-10-12 09:23:54
分享到:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-09-06 11:13 | 显示全部 短消息 资料
字号: 2楼

引用:
【fzzfzz的贴子】4.发现csrss动了我机器中的端口

用CurrPorts检查结果:
==================================================
进程名称          : csrss.exe
ID                : 1052
类型              : UDP
本机端口          : 6100
本机端口类型      :
本机地址          : 0.0.0.0
远程端口          :
远程端口类型      :
远程地址          :
连接状态          :
进程路径          : C:\WINDOWS\system32\inetsrv\csrss.exe
产品名称          :
文件描述          : Generic Hosts for WinService
文件版本          : 1.0.0.0
公司              : Microsoft
进程创建时间      : 2006-9-6 7:54:36
用户名称          : NT AUTHORITY\SYSTEM
进程服务          :
==================================================
………………

这个csrss.exe用的还不止6100一个端口。
而且,还有一个特点:一旦允许它访问网络后(哪怕只是一次),即使你结束了这个csrss.exe进程,它依然不停的访问网络。访问的IP地址多个,开的端口也有变换。
这个木马通过将自身加入到WINDOWS防火墙的“例外”中达到偷偷访问网络的目的(图)。即使这样,我的Tiny依然可以发现并拦截它。
今天再次试验了另一位网友发来的样本,结果与这个帖子叙述的现象一样。

附件附件:

下载次数:518
文件类型:image/pjpeg
文件大小:
上传时间:2006-9-6 11:13:43
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-09-06 11:19 | 显示全部 短消息 资料
字号: 3楼

引用:
【fzzfzz的贴子】谢谢baohe斑竹.
注册表还没有清理完,清理过的各个项又恢复了。进程也恢复了。是不是还另有病毒文件?
inetsrv中的其他两个文件会有关系吗?
………………

建议你用SSM禁止其.exe和dll运行,关闭WINDOWS的防火墙。重启后再清理注册表。
试试看。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-09-06 15:38 | 显示全部 短消息 资料
字号: 4楼

【回复“fzzfzz”的帖子】
找到的有关类标(即:{F63B08CD-3645-474F-8872-BA4293251FF9}一类的)——统统删除!
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-09-06 17:40 | 显示全部 短消息 资料
字号: 5楼

引用:
【fzzfzz的贴子】用SSM阻止了csrss后,csrss 在  SSM的拦截下,不能运行,不再出现csrss进程.
清理注册表,删除csrss.exe后,虽然系统还在SSM的监控下,但是,inetsrv 文件夹中还是会自动产生csrss.exe文件.

看来,病毒的主体可能不是csess.exe本身,也许另有源头.
………………

问题复杂了。
请用SREng扫日志贴上来看看。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-09-06 18:17 | 显示全部 短消息 资料
字号: 6楼

引用:
【fzzfzz的贴子】做sreng扫描前,需要把SSM的监控关闭吗?还是带着SSM做扫描?

………………

不需要关闭SSM。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-09-06 20:03 | 显示全部 短消息 资料
字号: 7楼

【回复“fzzfzz”的帖子】
果然有鬼!

注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<CheckFaultKernel><C:\WINDOWS\System32\mswdm.exe> []——查杀参考:http://forum.ikaka.com/topic.asp?board=28&artid=8154055

服务
[Update Service For Windows / winupdate]
<C:\WINDOWS\winupdate.exe><N/A>——查杀参考:http://forum.ikaka.com/topic.asp?board=28&artid=7713905
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-09-06 21:35 | 显示全部 短消息 资料
字号: 8楼

【回复“fzzfzz”的帖子】
既然你已经熟悉SSM,就把C:\WINDOWS\winupdate.exe和C:\WINDOWS\System32\mswdm.exe都禁了。它们的注册表项——统统删除。这没什么可犹豫的。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-09-06 22:29 | 显示全部 短消息 资料
字号: 9楼

引用:
【fzzfzz的贴子】很遗憾地向baohe 斑竹报告,做了上面的各项后,发现inetsrv 里的情况依旧,删了csrss.exe 还会恢复.

晕死了!
………………

高度怀疑你的系统有问题
再扫日志吧。
估计是“春风吹又生”。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-09-07 09:22 | 显示全部 短消息 资料
字号: 10楼

【回复“fzzfzz”的帖子】
[Update Service For Windows / winupdate]
<C:\WINDOWS\winupdate.exe><N/A>
木马,可能是灰鸽子。
记得前面的日志中就有这个。
你一直也没搞掉它。
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT