Rootkit.Win32.KernelBot,RootKit.Win32.Mnless,Trojan.Win32.Patched,Backdoor.Win32.RWX等2

最新推荐文章于 2024-05-11 22:53:12 发布

iteye_6637

最新推荐文章于 2024-05-11 22:53:12 发布

阅读量83

点赞数

文章标签：操作系统 shell

Rootkit.Win32.KernelBot,RootKit.Win32.Mnless,Trojan.Win32.Patched,Backdoor.Win32.RWX等2

endurer 原创
2008-07-16 第1版

（续1）

log中的一些项目与

sichost.exe,winxphelp.exe,360up.exe,RavNT.exe,Counter.exe,login.jpg.exe等

一文中的相似。

而且C:/WINDOWS/System32/lsass.exe 同样未能通过微软文件数字签名验证……

文件说明符 : C:/WINDOWS/system32/lsass.exe
属性 : A---
数字签名:否
PE文件:是
语言 : 英语(美国)
文件版本 : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
说明 : LSA Shell (Export Version)
版权 : ? Microsoft Corporation. All rights reserved.
产品版本 : 5.1.2600.2180
产品名称 : Microsoft? Windows? Operating System
公司名称 : Microsoft Corporation
内部名称 : lsass.exe
源文件名 : lsass.exe
创建时间 : 2004-8-17 20:0:0
修改时间 : 2004-8-17 20:0:0
大小 : 13312 字节 13.0 KB
MD5 : 55b6f249431ed02a1c6a8e045115079c
SHA1: 7855A7E3B19E45828F4A0D7D52BCD1609FC90CDD
CRC32: ff93c242

瑞星报为 Trojan.Win32.Patched.bj

文件说明符 : C:/WINDOWS/system32/dllcache/lsass.exe
属性 : A---
数字签名:Microsoft Corporation
PE文件:是
语言 : 英语(美国)
文件版本 : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
说明 : LSA Shell (Export Version)
版权 : ? Microsoft Corporation. All rights reserved.
产品版本 : 5.1.2600.2180
产品名称 : Microsoft? Windows? Operating System
公司名称 : Microsoft Corporation
内部名称 : lsass.exe
源文件名 : lsass.exe
创建时间 : 2004-8-17 20:0:0
修改时间 : 2004-8-17 20:0:0
大小 : 13312 字节 13.0 KB
MD5 : 891600e79c38249028f1bacc1c6cc5d2
SHA1: 29551E418D78D529289F03F3C538E5FDBC8DC9EE
CRC32: b6352032

用FileInfo 提取 pe_xscan 的 log 中红色标记的文件的信息；用 bat_do 打包备份，延时删除，改所选文件名，再延时删除。

打开注册表编辑器 regedit，删除用来阻止瑞星卡卡安全助手启动的映像劫持项：

O26 - IFEO: Ras.exe -> C:/WINDOWS/system32/svchost.exe

对应的注册表项。

下载安装并启动瑞星卡卡安全助手，自动检测出10个恶意软件，清理。

然后切换到[高级功能]

选择[IE及系统修复]，修复O29

切换到[插件管理及卸载]，把 O2、O9、O24 项卸载掉

切换到[系统启动项管理]

在左边点击[应用程序初始化动态连接库]，在右边找到 O20 项红色标记的文件名对应的项目，右击，从弹出的菜单里选择删除。

在左边分别点击[服务项]和[驱动]，找到 O23组的对应项，右击，从弹出的菜单中选择删除。

在左边点击[应用程序劫持项]，在右边找到 O26 项对应的项目，右击，从弹出的菜单里选择删除。

用WinRAR删除Windows临时文件夹，IE临时文件夹，c:/windows/prefetch 中可以删除的文件。

重启电脑到安全模式下，再用卡卡安全助手检查并清理一次~

打开命令提示符，输入命令：
ren c:/windows/system32/lsass.exe lsass.exe.x
copy c:/windows/system32/dllcache/lsass.exe c:/windows/system32

重启电脑，正常启动~

附部分恶意程序文件信息：

文件说明符 : C:/WINDOWS/system32/drivers/xbn3u0q.sys
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2004-8-17 20:0:0
修改时间 : 2004-8-17 20:0:0
访问时间 : 2008-7-11 18:15:28
大小 : 49344 字节 48.192 KB
MD5 : f0f781f818f3d2e366a22fc24c8db6fa
SHA1: 569B0EC841D76CBBAECBD359A9D70EB5198488B0
CRC32: cef3cea4

卡巴斯基报为 Trojan-Downloader.Win32.Hmir.dmm，瑞星报为 RootKit.Win32.Mnless.uh

文件说明符 : C:/WINDOWS/system32/Spcvls.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2004-8-17 20:0:0
修改时间 : 2004-8-17 20:0:0
访问时间 : 2008-7-11 18:15:28
大小 : 343552 字节 335.512 KB
MD5 : 265b983ae825aa173200b9f36b31059b
SHA1: 8B5E65A36A1147DFEC13CB3AB1DDDE67AFE079C6
CRC32: 304abb95

卡巴斯基报为 Rootkit.Win32.KernelBot.ag

文件说明符 : C:/WINDOWS/system32/drivers/acpidisk.sys
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-6-16 9:27:25
修改时间 : 2008-6-26 16:46:32
访问时间 : 2008-7-11 18:15:28
大小 : 153476 字节 149.900 KB
MD5 : 68e28bbc1352c89134c99652920837bb
SHA1: 4591EC31180D52749F677AB4D3DDB55F62C709CF
CRC32: 67f43f63

文件说明符 : C:/WINDOWS/System32/CLBCATQ.DLL
属性 : A---
数字签名:Microsoft Corporation
PE文件:是
语言 : 英语(美国)
文件版本 : 2001.12.4414.308
版权 : Copyright (C) Microsoft Corp. 1995-1999
产品版本 : 03.00.00.4414
产品名称 : COM Services
公司名称 : Microsoft Corporation
合法商标 : Microsoft(R) is a registered trademark of Microsoft Corporation. Windows(TM) is a trademark of Microsoft Corporation
内部名称 : CLBCATQ.DLL
创建时间 : 2007-10-5 21:2:36
修改时间 : 2005-7-26 12:39:45
大小 : 498688 字节 487.0 KB
MD5 : f8a5bec4372d46295c9e2ba0b87033ff
SHA1: 305D0C5E560D91ECE68CBE0D38F8FC186B4D1C25
CRC32: f0e6b632

文件说明符 : C:/WINDOWS/System32/Proxy.Dll
属性 : ASH-
数字签名:否
PE文件:是
语言 : 英语(美国)
文件版本 : 2001.12.4414.308
版权 : Copyright (C) Microsoft Corp. 1995-1999
产品版本 : 03.00.00.4414
产品名称 : COM Services
公司名称 : Microsoft Corporation
合法商标 : Microsoft(R) is a registered trademark of Microsoft Corporation. Windows(TM) is a trademark of Microsoft Corporation
内部名称 : COLBACT.DLL
创建时间 : 2004-8-17 20:0:0
修改时间 : 2004-8-17 20:0:0
大小 : 10752 字节 10.512 KB
MD5 : 8f92e7f24010f6d2d9fd556782e6ce16
SHA1: 8BF86E0E88254D96B417AC45081C360C93FD949B
CRC32: 6d9c944d

文件说明符 : C:/WINDOWS/System32/wbem/wmideprv.dll
属性 : A---
数字签名:否
PE文件:是
语言 : 中文(中国)
文件版本 : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
说明 : WMI
版权 : (C) Microsoft Corporation. All rights reserved.
产品版本 : 5.1.2600.2180
产品名称 : Microsoft(R) Windows(R) Operating System
公司名称 : Microsoft Corporation
内部名称 : wmisvc.dll
源文件名 : wmisvc.dll
创建时间 : 2008-4-15 19:56:11
修改时间 : 2008-4-17 11:24:34
大小 : 59904 字节 58.512 KB
MD5 : 629698f008f3fa622c6bb7126b298ced
SHA1: EFFC5561F726CCC573128AB2D3463C36C0099014
CRC32: 483c2218

瑞星报为 Backdoor.Win32.RWX.jr

文件说明符 : C:/WINDOWS/system32/pjjxedwd.dll
属性 : -SH-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2004-8-8 14:40:39
修改时间 : 2004-8-8 14:40:39
大小 : 535560 字节 523.8 KB
MD5 : 796b1e8e4dbfcea4e3f6694bff197f98
SHA1: 9C42F0D8A3EF13581FB04FC4E534B31ADE6E9C92
CRC32: 18d5e233

文件说明符 : C:/WINDOWS/system32/fgfsbkuy.dll
属性 : -SH-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2004-8-8 21:0:8
修改时间 : 2004-8-8 21:0:8
大小 : 541192 字节 528.520 KB
MD5 : 3dd62889846c2093c495036e91dfd52a
SHA1: 99FCABE742C9DFDBA283DFF50FE1DEA41F44D79A
CRC32: 6564a478

iteye_6637

关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
Rootkit.Win32.KernelBot,RootKit.Win32.Mnless,Trojan.Win32.Patched,Backdoor.Win32.RWX等2

Rootkit.Win32.KernelBot,RootKit.Win32.Mnless,Trojan.Win32.Patched,Backdoor.Win32.RWX等2endurer 原创2008-07-16 第1版（续1）log中的一些项目与 sichost.exe,winxphelp.exe,360up.exe,RavNT.exe,Counter.exe,login.jpg.e...
复制链接

扫一扫