瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 冒充Marketplace的病毒,附日志请高手分析

1   1  /  1  页   跳转

[求助] 冒充Marketplace的病毒,附日志请高手分析

冒充Marketplace的病毒,附日志请高手分析

上着上着网页,发现360安全卫士提示安装系统服务Windows_Marketplace
文件来自c:\windows\Windows_Marketplace
我立刻意识到好像是中毒了,打开了任务管理器,发现了calc.exe,iexplore.exe
是个计算器的图标,但是我没有启动计算器,又联想到某英文网站提供的漏洞信息
(微软尚未提供补丁),中毒了!!
我立刻打开了冰刃,重命名.com,好在程序还能运行,点了下系统检查,系统没有发现任何异常
(作者够牛B),然后点了下"监视进线程创建",发现问题了
据日志反映,应该是网页病毒通过iexplore后台下载了病毒,然后修改了calc.exe,通过此程序
漏洞,安装Windows_Marketplace服务,随后将normaliz.dll插入lsass.exe进程,保护后台下载
首先应该结束掉iexplore.exe!我通过冰刃结束了iexplore.exe,没想到自动又运行了!
对了,先通过冰刃禁止掉创建进线程,ok,calc.exe,iexplore.exe程序被顺利办掉
接下来,就是要替换掉calc.exe和其目录下的cacls.exe,这个病毒及其狡猾,如果直接删掉,
就会自动恢复,如果删掉后创建同名文件夹,则会更改为另外的文件名
只好使用批处理了
del normaliz.dll
mkdir normaliz.dll
恩,又被病毒改名了,趁病毒修改为OLD3A.tmp的时候,在禁止掉进线程创建,让它卡死
哈哈,成功搞定,用同样的方法整掉了cc1.txt(打开以后发现是些网址,估计是病毒配置代码)
calc.exe\cacls.exe
下面不知道该怎么做了
请高手指明分析,附病毒源文件\sreng日志和病毒源地址(怕病毒作者转移,部分病毒代码已经从网页缓存拷出)
现已经将带毒网址屏蔽
hxxp://v4.acode.ifocus.cn/v1/0.js
hxxp://v4.acode.ifocus.cn/v1/
hxxp://iiegf.com/10/yt11.html
hxxp://www.4fwm.com/dpmain/common.js
hxxp://iiegf.com/10/index.htm
hxxp://www.asp-htm.cn/cs.js

没用杀毒软件杀,可能是还有病毒,关闭与网页相关的程序的时候提示错误不能为read请高手分析

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; http://bsalsa.com) ; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022; GreenBrowser)

附件附件:

文件名:bingdu.zip
下载次数:549
文件类型:application/x-zip-compressed
文件大小:
上传时间:2009-1-4 20:54:34
描述:zip

最后编辑8897603 最后编辑于 2009-01-04 21:02:55
分享到:
gototop
 

回复:冒充Marketplace的病毒,附日志请高手分析

现在已经将带毒网址hosts
根据右下角图表显示,应该是还有病毒
但是下载不下来了,请高手分析残余信息
已经将病毒信息提交瑞星病毒处理中心,该死的病毒作者,快去死吧!
最后编辑8897603 最后编辑于 2009-01-04 21:19:52
gototop
 

回复:冒充Marketplace的病毒,附日志请高手分析

谢谢楼上的大哥!我用瑞星查下,Backdoor.Win32.ShangXing.tw好像是上兴远程控制
最后编辑8897603 最后编辑于 2009-01-04 21:22:37
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT