一个下载者木马SVCH0ST.exe norton.sys usbme.sys mppds.exe msccrt.exe shuailai.exe

最新推荐文章于 2024-09-29 19:35:07 发布
最新推荐文章于 2024-09-29 19:35:07 发布
阅读量2.1k 收藏
点赞数
分类专栏: 电脑病毒 文章标签: microsoft c 杀毒软件 防火墙 qq ie

这又是一个下载者木马
文件名 SVCH0ST.exe
文件大小 53,097 字节
加壳方式 UPX

运行后
释放C:/WINDOWS/system32/SVCH0ST.exe
并释放C:/WINDOWS/system32/norton.sys
C:/WINDOWS/system32/drivers/usbme.sys加载驱动

然后开启IE进程连接219.153.15.80:80下载木马

下载的木马有
C:/WINDOWS/cmdbcs.exe
C:/WINDOWS/mppds.exe
C:/WINDOWS/msccrt.exe
C:/WINDOWS/system32/twunk32.exe
C:/WINDOWS/shualai.exe
C:/WINDOWS/system32/nwizqqhx.exe
下载ladad.exe mconfig.exe Timplatform.exe ieconfig.exe等文件到临时文件夹

最近流行的东西应该差不多下载全了 呵呵!
sreng日志表现如下
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run]
<ravshell><C:/WINDOWS/system32/SVCH0ST.exe> []
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run]
<mppds><C:/WINDOWS/mppds.exe> []
<cmdbcs><C:/WINDOWS/cmdbcs.exe> []
<msccrt><C:/WINDOWS/msccrt.exe> []
<upxdnd><C:/Documents and Settings/用户名/Local Settings/Temp/TIMPLATF0RM.exe> []
<nwizqqhx><C:/WINDOWS/system32/nwizqqhx.exe> []
<shualai><C:/WINDOWS/shualai.exe /i> []
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/Run]
<twin><C:/WINDOWS/system32/twunk32.exe> []
进程中
[PID: 1404][C:/WINDOWS/Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:/WINDOWS/system32/mppds.dll] [N/A, ]
[C:/WINDOWS/system32/cmdbcs.dll] [N/A, ]
[C:/WINDOWS/system32/msccrt.dll] [N/A, ]
[C:/Documents and Settings/用户名/Local Settings/Temp/upxdnd.dll] [N/A, ]
[C:/WINDOWS/system32/nwizqqhx.dll] [N/A, ]
[C:/WINDOWS/system32/shualai.dll] [N/A, ]
开启许多IE进程 连接外部 我逮到的IP有如下几个
207.46.73.31
61.163.241.88
61.152.242.242
61.163.241.93
221.215.59.11
60.190.218.104
60.190.218.104
207.46.19.190

解决方法:

安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)

打开sreng
启动项目 注册表 删除如下项目
<ravshell><C:/WINDOWS/system32/SVCH0ST.exe> []
<mppds><C:/WINDOWS/mppds.exe> []
<cmdbcs><C:/WINDOWS/cmdbcs.exe> []
<msccrt><C:/WINDOWS/msccrt.exe> []
<upxdnd><C:/Documents and Settings/用户名/Local Settings/Temp/TIMPLATF0RM.exe> []
<nwizqqhx><C:/WINDOWS/system32/nwizqqhx.exe> []
<shualai><C:/WINDOWS/shualai.exe /i> []
<twin><C:/WINDOWS/system32/twunk32.exe> []

双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
然后删除
C:/WINDOWS/system32/SVCH0ST.exe
C:/WINDOWS/mppds.exe
C:/WINDOWS/cmdbcs.exe
C:/WINDOWS/msccrt.exe
C:/WINDOWS/system32/nwizqqhx.exe
C:/WINDOWS/shualai.exe
C:/WINDOWS/system32/twunk32.exe
C:/WINDOWS/system32/drivers/usbme.sys
C:/WINDOWS/system32/cmdbcs.dll
C:/WINDOWS/system32/mppds.dll
C:/WINDOWS/system32/msccrt.dll
C:/WINDOWS/system32/nwizqqhx.dll
清空C:/Documents and Settings/用户名/Local Settings/Temp
如果装有QQ请把QQ 安装文件夹中的Timplatform.exe删除 把Timplatfrom.exe重命名为Timplatform.exe

这个下载者只是最近流行的很多下载者中的一个 最近很流行这类的木马下载者 通过网页挂马等形式传播 所以请一定打全系统补丁(尤其是那个ani鼠标漏洞补丁) 及时升级杀毒软件和防火墙 防止此类木马群的入侵

作者:newcenturymoon  来源于:http://forum.ikaka.com/topic.asp?board=28&artid=8301076
 

飘的梦
关注
专栏目录
勒索病毒与大家分享tpmagentservice.dll和TrustedHostServeces.exe
爱干点啥干点儿啥
01-27 1万+
有大约56个DLL文件。通过svchost.exe和spoolsv.exe,注入到系统进程。 会在 C:\windows\SecureBootThemes\Microsoft C:\windows\System32\SecureBootThemes 俩文件夹下面。 通常有两个配置文件。svchost.xml和spoolsv.xml,日志文件为stage2.txt 这是第一个svch
HTML文件中病毒,文件最下面附有<SCRIPT Language=VBScript><!-- DropFileName = “svchost.exe
qq_44371321的博客
01-18 2452
HTML文件最后带有: <SCRIPT Language=VBScript><!-- DropFileName = "svchost.exe" WriteData = "4D5A90000300000004000000FFFF0000B8000000000000004000000000000000000000000000000000000000000000000000000000000000000000008800000009DAF5C5C824EA25F0055C7EB55610FA4A
104种清除木马方法
10-26
104种清除木马方法,全部都是手动,让你知道杀软是怎么杀的!
一个网页下载者木马
weixin_34007906的博客
08-12 312
文件: http://xxxx.xxx.xxx/web.htm &lt;SCRIPT LANGUAGE="JavaScript"&gt;eval("\146\165\156\143\164\151\157\156\40\147\156\50\156\51\40\173\40\166\141\162\40\156\165\155\142\145\162\40\75\40\115\141\164\1...
简单的下载者木马分析
abcd8080的博客
07-29 387
算是第一次自己分析一个完整的木马,时间花费很长释放的dll还没来及分析后面会跟上。好多api都是刚刚查过才知道。很简单大家不要吐槽啊。附件里面有idb和原文件 还有脱壳后的文件。欢迎大家批评指教 附件:http://bbs.pediy.com/showthread.php?p=1090998#post1090998 基本信息 报告名称:ye.exe下载者木马分析...
牛X下载者木马清除方法。
woodbig的专栏
12-18 1771
 讨厌的牛X下载者,在我所有的网页文件末尾添加了代码,大约上万个. 清除办法:  1.进入安全模式,删除c:/program files/internet explorer/plugin文件夹里所有东西. 2.启动IE,删除历史文件,脱机文档,cookie         3.  下载一个工具 search & replace ,搜索          或者类似的语句,删除即可. 需要说明
病毒木马查杀实战第025篇:JS下载者脚本木马的分析与防御
热门推荐
Gleam的专栏
03-26 1万+
前言 这次我与大家分享的是我所总结的关于JS下载者脚本木马的分析与防御技术。之所以要选择这样的一个题目,是因为在日常的病毒分析工作中,每天都会遇到这类病毒样本,少则几个,多则几十个(当然了,更多的样本已经被自动分析系统拦截下来了)。而且这类的样本甚至还有愈演愈烈之势,很可能会长盛不衰。JS脚本木马之所以会如此泛滥,与它的编写简单、易于免杀以及难以封堵等特点息息相关。而我们本次的课程也会
Reach-SVCH 219 - 1907-2006 - 20210101 - 最新完整英文电子版(540页).zip
10-01
"Reach"可能是某种项目、协议、软件或系统的缩写,而"SVCH"可能是指该主题的一个特定版本或类别。由于没有更多的标签信息,我们只能推测这可能与软件开发、网络通信、系统架构或者硬件设计等相关。 540页的篇幅意味...
服务器日常维护.doc
06-08
通常的后门如果有进程的话,一般会取一个与系统进程类似的名称,如svch0st.exe,此 时要仔细辨别[通常迷惑手段是变字母o为数字0,变字母l为数字1] 3、检查系统 打开计算机管理,展开本地用户和组选项,查看组选项,...
如何查杀运行状态下的EXE、DLL病毒
11-15
在进程中可发现的单进程或双进程EXE病毒或木马程序,例如`svch0st.exe`这类可疑进程,通常需要采取特定策略进行处理。 1. **单进程EXE病毒或木马程序**: - 部分杀毒软件可以直接发现并终止此类进程。 - 如果杀毒...
木马清除的100种小方法(有备无患)
03-11
木马清除的100种小方法,下载收藏有备无患……
机器狗病毒(又称下载者木马病毒)的手工毒杀
Bob的专栏
05-12 4460
    最近一同事中了机器狗病毒,最开始并不知道是什么病毒,发现启动项里有很多XXX.exe列表,先用REGEDIT,将其清楚,并将windows下的新建病毒清除,因为病毒中的比较早,当时用瑞星还无法查杀(今天升级完瑞星以后,可以查杀了。),手动删除以后重启,发现“网络邻居”属性里,无法找到“本地连接”图标,导致无法上网。可能是病毒将系统服务破坏了。网络邻居是使用“Network Connec
下载者木马里提取的下载模块
独孤龙城的专栏
12-05 1166
//从下载者木马里面提取的下载模块,下载后运行基本不报毒,不知道是不是当前的一个漏洞。 #include "windows.h" #include "iostream" #include "tchar.h" #pragma comment(lib,"Urlmon") using namespace std; int main() { HRESULT urldown; urldown=URL
清除木马程序步骤
lck_csdn的博客
05-07 2057
一、清除木马程序步骤 1.1 执行命令,每1秒刷新一次,显示整个命令路径,而不是命令的名称。 [root@linux-node1 ~]# top -d 1 -c 1.2 查找可疑进程(比较奇怪的进程名称)如:sshz、crond.conf、.sshd等 1.3 发现可疑进程后,记录PID,然后执行如下命令 [root@linux-node1 ~]# kill -STOP PID #停止进程,先不要杀掉进程(有可能杀掉之后,木马守护程序会重新打开一个新的木马进程) [root@linux-nod
防御保护-第一天
qq_51502737的博客
01-22 1021
网络安全:计算机网络环境下的信息安全。2003年美国提出网络空间的概念--- 一个由信息基础设施组成的互相依赖的网络。我国官方文件定义:网络空间为继海,陆,空,天以外的第五大人类活动领域企业面临的网络风险或者网络威胁主要有以下几种形式:1、网站入侵、网页内容篡改2、数据泄露3、网络勒索4、分布式拒绝服务攻击。
常见的网络安全专业术语合集整理
m8330466的博客
04-13 526
常见的网络安全专业术语合集整理
C语言-进程控制编程
最新发布
qq_55869380的博客
09-29 1109
一篇学懂多进程编程
病毒木马隐藏策略:进程鉴别技巧与专业工具应用
首先,"以假乱真"是指病毒通过修改正常进程的名称,如将svchost.exe变为svch0st.exe或iexplorer.exe,这种微妙的变化可能导致用户难以察觉,混淆视听。用户必须仔细检查进程名称,留意细微差别。 其次,"偷梁换柱...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值