作者:清新阳光 ( [url]http://hi.[/url]baidu.com/newcenturysun)
日期:2007/10/13 (转载请保留此申明)
此病毒利用了替换服务等方式启动自身,利用SoundMan.exe这样比较熟悉的程序迷惑人。并具有结束杀毒软件和下载病毒的功能。
File: fpt.exe
Size: 128484 bytes
File Version: 1.00
MD5: 722D74DA3A6907907A5F4CCD136EFA7A
SHA1: 4508EE745E46207090BD131DC336330FD9D55FE2
CRC32: 1D05427E
释放如下文件
%SystemRoot%\system32\ineters.exe
%SystemRoot%\system32\SoundMan.exe(伪SoundMan.exe,且图标与真实的SoundMan.exe相同)
%SystemRoot%\system32\tthh3.ini
所有文件的数字签名均为番茄花园
如果有新的可移动存储接入 则写入auto.exe和autorun.inf 文件
调用cmd 通过net stop命令关闭多个服务
shared access
KPfwSvc
KWatchsvc
McShield
Notron AntiVirus Server
结束如下进程
shstat.exe
runiep.exe
ras.exe
MPG4C32.exe
imsins.exe
Iparmor.exe
360safe.exe
360tray.exe
kmailmon.exe
kavstart.exe
avp.exe
ccenter.exe
修改
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder
\Hidden\SHOWALL\CheckedValue值为0x00000006 屏蔽显示隐藏文件
删除如下文件(为了删除旧版本的病毒文件)
%SystemRoot%\system32\updeta.exe
%SystemRoot%\system32\ineters.exe
%SystemRoot%\system32\SoundMan.exe
%SystemRoot%\system32\ttzhh.ini
%SystemRoot%\system32\hz3.ini
%SystemRoot%\system32\hz2.ini
%SystemRoot%\system32\1035.ini
%SystemRoot%\system32\tthh.ini
%SystemRoot%\system32\tthh1.ini
%SystemRoot%\system32\tthh2.ini
%SystemRoot%\system32\alcwzrd.exe
%SystemRoot%\system32\notepd.exe
激活电脑中的guest账户
并且添加一个名为microsoft的账户
将如下信息写入%SystemRoot%\1.inf中
[Version]
Signature="$WINDOWS NT$"
[DefaultInstall.Services]
AddService=helpsvc,,My_AddService_Name
[My_AddService_Name]
DisplayName=Help and Support
Description=启用在此计算机上运行帮助和支持中心。如果停止服务,帮助和支
持中心将不可用。如果禁用服务,任何直接依赖于此服务的服务将无法启动。
ServiceType=0x10
StartType=2
ServiceBinary=%11%\ineters.exe
ErrorControl=0
并且安装该服务
使得原先的helpsvc(帮助中心)服务的映像文件被替换为病毒%SystemRoot%\system32\ineters.exe
删除如下安全软件的启动项目
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\360Safetray
HKEY_LOCALMACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KavStart
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KavPFW
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\vptray
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\runeip
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavTask
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RfwMain
在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\下面添加映像劫持项目
RavStub.exe
RavMON.exe
RfwMain.exe
rfwsrv.exe
McAgent.exe
mctskshd.exe
mcupdmgr.exe
rtvscan.exe
DefWatch.exe
ccSetMgr.exe
ccEvtMgr.exe
ccSetApp.exe
nod32kui.exe
nod32krn.exe
KWatch.exe
KPfwSvc.exe
KMaiMon.exe
KAVStart.exe
KVWSC.exe
kvsrvxp.exe
PFW.exe
连接网络下载其他病毒
下载地址如下
[url]http://www.[/url]*.cn/tthh3/gx.jpg
[url]http://www.[/url]*.cn/tthh3/qq.jpg
[url]http://www.[/url]*.cn/tthh3/omin.jpg
[url]http://www.[/url]*.cn/tthh3/crt.jpg
[url]http://www.[/url]*.cn/tthh3/f1.jpg
[url]http://www.[/url]*.cn/tthh3/f2.jpg
[url]http://www.[/url]*.cn/tthh3/f3.jpg
(实质上均为exe文件,但部分链接已失效)
连接[url]http://www.webye163.cn/ip/ip.asp[/url]获得被感染机器的ip地址
并且通过route.exe print命令获得默认网关地址
将其一并写入c:\ip.txt中
之后可能利用这些信息进行arp欺骗等操作...
下载的几个病毒里面有蠕虫病毒,该蠕虫病毒可以扫描附近网段内的135端口..(具体该病毒的行为没怎么看)
下载完毕后 扫描的sreng日志如下
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<SoundMan><SoundMan.exe> [1]
==================================
服务
[Help and Support / helpsvc][Stopped/Auto Start]
<C:\WINDOWS\system32\ineters.exe-->%WINDIR%
\PCHealth\HelpCtr\Binaries\pchsvc.dll><Microsoft Corporation>
增加的文件可能有
%SystemRoot%\system32\Alcmtr.exe
%SystemRoot%\system32\alcwzrd.exe
%SystemRoot%\system32\qoq.exe
解决方法:
一、清除病毒文件和其创建的注册表项目
1.打开sreng
启动项目 注册表 删除如下项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<SoundMan><SoundMan.exe> [1]
2.打开Icesword
点击左下角的文件按钮
删除如下文件
%SystemRoot%\system32\ineters.exe
%SystemRoot%\system32\SoundMan.exe
%SystemRoot%\system32\tthh3.ini
%SystemRoot%\system32\Alcmtr.exe
%SystemRoot%\system32\alcwzrd.exe
%SystemRoot%\system32\qoq.exe
二、修复系统
1.请把下面的代码拷入记事本中然后另存为1.reg文件
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Adva
nced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
双击1.reg把这个注册表项导入
2.开始-运行 输入regedit
展开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\helpsvc
双击Image path 编辑数值数据为
%systemroot%\system32\svchost.exe -k netsvcs
确定
注意:SoundMan.exe只有在%SystemRoot%(亦即Windows/WinNT目录下)才为正常的程序,如果在system32文件夹下,那么多半为病毒,请大家注意甄别。
真SoundMan.exe:
伪SoundMan.exe:
一、清除病毒文件和其创建的注册表项目
1.打开sreng
启动项目 注册表 删除如下项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<SoundMan><SoundMan.exe> [1]
2.打开Icesword
点击左下角的文件按钮
删除如下文件
%SystemRoot%\system32\ineters.exe
%SystemRoot%\system32\SoundMan.exe
%SystemRoot%\system32\tthh3.ini
%SystemRoot%\system32\Alcmtr.exe
%SystemRoot%\system32\alcwzrd.exe
%SystemRoot%\system32\qoq.exe
二、修复系统
1.请把下面的代码拷入记事本中然后另存为1.reg文件
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Adva
nced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
双击1.reg把这个注册表项导入
2.开始-运行 输入regedit
展开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\helpsvc
双击Image path 编辑数值数据为
%systemroot%\system32\svchost.exe -k netsvcs
确定
注意:SoundMan.exe只有在%SystemRoot%(亦即Windows/WinNT目录下)才为正常的程序,如果在system32文件夹下,那么多半为病毒,请大家注意甄别。
真SoundMan.exe:
伪SoundMan.exe:
转载于:https://blog.51cto.com/yuncx/46103
1216
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
