from:
http://bbs.2dai.com/thread-663358-1-1.html
这是一个 *** 下载者病毒,通过替换 微软相关服务启动自身,同时具有 反病毒 软件和关闭指定窗口的作用,值得一提的是关闭的窗口的关键字中含有某些与×××有关的关键字,因此本文题目中的AV自然就有了两种含义...
File: OiZQdnX.com
Size: 68096 bytes
Modified: 2007年11月9日, 18:13:47
MD5: 7BBF143B15089D0ADA39A323429BC7C4
SHA1: 2B3BE95F577AF7D22FDBA12454E6CFF61F023693
CRC32: C534F3F1
技术细节:
1、释放病毒副本:
%systemroot%\system32\KK.dll
2.调用TerminateProcess函数关闭如下进程
360safe. exe
360tray.exe
Ras.exe
runiep.exe
3. 注册表变化
创建HKLM\SYSTEM\ControlSet001\Control\GetData在其写入与下载有关的一些配置信息
修改HKLM\SYSTEM\ControlSet001\Services\BITS(与 windows update有关的一个服务)的相关键值
使得其加载的dll改为%systemroot%\system32\KK.dll 达到开机启动自身的目的
并把该服务的启动类型改为“自动”
4.将KK.dll注入到IE中,通过IE实现下载行为
5.在 系统盘下面释放KKSoft.bat删除自身
6.关闭带有如下关键字的窗口(与后面的下载行为有关)
病毒
杀毒
×××
强奸
做爱
奇虎360
7.不定时弹出某个网站页面
8.下载行为分析:
病毒联网后会下载http://*.cn/data.txt的配置 文件
其中里面详细描述了病毒的其他一些行为
[Homepage]--描述了病毒锁定的主页 地址(目前为空)
[runie] close=... --描述了病毒关闭的指定窗口的名称
[DownloadFile]--描述了下载的 ***程序的路径
[showie]--描述了定期弹出的窗口或网站的地址
下载后的病毒(***)会释放到windows下的Temp目录下
并分别命名为*kf(*代表数字)
待所有***植入完毕以后,sreng 日志如下
启动项目
注册表
[H KEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{25799B4A-E35A-4A34-BFE5-07C0784C37C7}><%Program Files%\Internet Explorer\PLUGINS\WinSys8x.Sys> []
==================================
服务
[Background Intelligent Transfer Service / BITS][Running/Auto Start]
<%systemroot%\system32\svchost.exe -k netsvcs-->%systemroot%\system32\KK.dll><N/A>
[Windows Accounts Driver / WindowsRemote][Running/Auto Start]
<%systemroot%\system32\1kf.exe><N/A>
[Transaction Provisioning Service / 919mm][Running/Auto Start]
<%systemroot%\system32\3kf.exe><N/A>
解决办法:
下载sreng: [url]http://download.kztechs.com/files/sreng2.zip[/url]
启动 计算机进入安全 模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全 模式 进入系统)
1.打开sreng
启动项目 注册表 删除如下项目
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{25799B4A-E35A-4A34-BFE5-07C0784C37C7}><%Program Files%\Internet Explorer\PLUGINS\WinSys8x.Sys> []
在“启动项目”-“服务”-“驱动程序”中点“隐藏经认证的微软项目”,
选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:
[Windows Accounts Driver / WindowsRemote][Running/Auto Start]
<%systemroot%\system32\1kf.exe><N/A>
[Transaction Provisioning Service / 919mm][Running/Auto Start]
<%systemroot%\system32\3kf.exe><N/A>
2.双击我的 电脑, 工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的 操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
点击 菜单栏下方的 文件夹按钮(搜索右边的按钮)
在左边的 资源管理器中单击系统所在盘
删除如下文件
%systemroot%\system32\KK.dll
%systemroot%\system32\1kf.exe
%systemroot%\system32\3kf.exe
%Program Files%\Internet Explorer\PLUGINS\WinSys8x.Sys
在左边的资源管理器中单击E盘(如果有的话)
删除如下文件
E:\autorun.inf
E:\Autorun.exe
3.开始--运行 输入regedit打开注册表编辑器
展开HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BITS (X代表数字)
找到Parameters子键
把ServiceDll的键值改为%systemroot%\system32\qmgr.dll
这是一个 *** 下载者病毒,通过替换 微软相关服务启动自身,同时具有 反病毒 软件和关闭指定窗口的作用,值得一提的是关闭的窗口的关键字中含有某些与×××有关的关键字,因此本文题目中的AV自然就有了两种含义...
File: OiZQdnX.com
Size: 68096 bytes
Modified: 2007年11月9日, 18:13:47
MD5: 7BBF143B15089D0ADA39A323429BC7C4
SHA1: 2B3BE95F577AF7D22FDBA12454E6CFF61F023693
CRC32: C534F3F1
技术细节:
1、释放病毒副本:
%systemroot%\system32\KK.dll
2.调用TerminateProcess函数关闭如下进程
360safe. exe
360tray.exe
Ras.exe
runiep.exe
3. 注册表变化
创建HKLM\SYSTEM\ControlSet001\Control\GetData在其写入与下载有关的一些配置信息
修改HKLM\SYSTEM\ControlSet001\Services\BITS(与 windows update有关的一个服务)的相关键值
使得其加载的dll改为%systemroot%\system32\KK.dll 达到开机启动自身的目的
并把该服务的启动类型改为“自动”
4.将KK.dll注入到IE中,通过IE实现下载行为
5.在 系统盘下面释放KKSoft.bat删除自身
6.关闭带有如下关键字的窗口(与后面的下载行为有关)
病毒
杀毒
×××
强奸
做爱
奇虎360
7.不定时弹出某个网站页面
8.下载行为分析:
病毒联网后会下载http://*.cn/data.txt的配置 文件
其中里面详细描述了病毒的其他一些行为
[Homepage]--描述了病毒锁定的主页 地址(目前为空)
[runie] close=... --描述了病毒关闭的指定窗口的名称
[DownloadFile]--描述了下载的 ***程序的路径
[showie]--描述了定期弹出的窗口或网站的地址
下载后的病毒(***)会释放到windows下的Temp目录下
并分别命名为*kf(*代表数字)
待所有***植入完毕以后,sreng 日志如下
启动项目
注册表
[H KEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{25799B4A-E35A-4A34-BFE5-07C0784C37C7}><%Program Files%\Internet Explorer\PLUGINS\WinSys8x.Sys> []
==================================
服务
[Background Intelligent Transfer Service / BITS][Running/Auto Start]
<%systemroot%\system32\svchost.exe -k netsvcs-->%systemroot%\system32\KK.dll><N/A>
[Windows Accounts Driver / WindowsRemote][Running/Auto Start]
<%systemroot%\system32\1kf.exe><N/A>
[Transaction Provisioning Service / 919mm][Running/Auto Start]
<%systemroot%\system32\3kf.exe><N/A>
解决办法:
下载sreng: [url]http://download.kztechs.com/files/sreng2.zip[/url]
启动 计算机进入安全 模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全 模式 进入系统)
1.打开sreng
启动项目 注册表 删除如下项目
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{25799B4A-E35A-4A34-BFE5-07C0784C37C7}><%Program Files%\Internet Explorer\PLUGINS\WinSys8x.Sys> []
在“启动项目”-“服务”-“驱动程序”中点“隐藏经认证的微软项目”,
选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:
[Windows Accounts Driver / WindowsRemote][Running/Auto Start]
<%systemroot%\system32\1kf.exe><N/A>
[Transaction Provisioning Service / 919mm][Running/Auto Start]
<%systemroot%\system32\3kf.exe><N/A>
2.双击我的 电脑, 工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的 操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
点击 菜单栏下方的 文件夹按钮(搜索右边的按钮)
在左边的 资源管理器中单击系统所在盘
删除如下文件
%systemroot%\system32\KK.dll
%systemroot%\system32\1kf.exe
%systemroot%\system32\3kf.exe
%Program Files%\Internet Explorer\PLUGINS\WinSys8x.Sys
在左边的资源管理器中单击E盘(如果有的话)
删除如下文件
E:\autorun.inf
E:\Autorun.exe
3.开始--运行 输入regedit打开注册表编辑器
展开HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BITS (X代表数字)
找到Parameters子键
把ServiceDll的键值改为%systemroot%\system32\qmgr.dll
转载于:https://blog.51cto.com/yuncx/49972
6万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
