test.exe,vista.exe,a.jpg,Flower.dll病毒分析解决

test.exe,vista.exe,a.jpg,Flower.dll病毒分析解决test.exe,vista.exe,a.jpg,Flower.dll病毒分析解决

此病毒为之前的梦中情人(暗号)病毒的最新变种

1.病毒运行后,释放如下文件或副本

%systemroot%\system32\config\systemprofile\vista.exe

%systemroot%\system32\a.jpg

%systemroot%\system32\Flower.dll

%systemroot%\system32\vista.exe

各个分区下面释放test.exe和autorun.inf

2.通过查找software\Microsoft\Windows\CurrentVersion\App Paths\IEXPLORE.EXE的键值获得IEXPLORE.EXE路径,之后调用IE连接http://www.3940*.cn/tj.asp进行感染统计

3.提升自身权限,关闭如下进程

360tray.exe

360safe.exe

关闭如下进程的句柄

avp.exe

4.启动一个spoolsv.exe进程,把Flower.dll注入进去,并调用urlmon.dll进行下载操作

下载http://www.*/muma935474/q.exe

http://www.*/muma935474/w.exe

http://www.*/muma935474/e.exe

http://www.*/muma935474/r.exe

http://www.*/muma935474/t.exe

http://www.*/muma935474/y.exe

http://www.*/muma935474/u.exe

http://www.*/muma935474/i.exe

http://www.*/muma935474/o.exe

http://www.*/muma935474/10.exe~http://www.*/muma935474/36.exe

http://www.*/muma.exe

http://www.*/muma1.exe

http://www.*/muma2.exe

http://www.*/muma3.exe

到C:\Documents and Settings\下面 分别命名为taga.exe~tagg.exe tagaa.exe~taggg.exe tagaaa.exe~tagggg.exe tagaaaa.exe~tagcccc.exe  md5a.exe~md5g.exe md5aa.exe~md5gg.exe md5aaa.exe~md5bbb.exe

下载间隔2000ms

但下载链接几乎都已失效,几个下载来的病毒也都是鸽子

5.关闭带有如下字样的窗口

防火墙 

杀毒

江民

金山

木马

超级巡警

NOD32

安全

主线程

微点

6.添加映像劫持项目劫持某些杀毒软件,安全工具和某些流行病毒指向%systemroot%\system32\vista.exe

360rpt.exe

360Safe.exe

360tray.exe

adam.exe

AgentSvr.exe

appdllman.exe

AppSvc32.exe

auto.exe

AutoRun.exe

autoruns.exe

avgrssvc.exe

AvMonitor.exe

avp.com

avp.exe

CCenter.exe

ccSvcHst.exe

FileDsty.exe

FTCleanerShell.exe

guangd.exe

HijackThis.exe

IceSword.exe

iparmo.exe

Iparmor.exe

isPwdSvc.exe

kabaload.exe

KaScrScn.SCR

KASMain.exe

KASTask.exe

KAV32.exe

KAVDX.exe

KAVPFW.exe

KAVSetup.exe

KAVStart.exe

kernelwind32.exe

KISLnchr.exe

KMailMon.exe

KMFilter.exe

KPFW32.exe

KPFW32X.exe

KPFWSvc.exe

KRegEx.exe

KRepair.COM

KsLoader.exe

KVCenter.kxp

KvDetect.exe

KvfwMcl.exe

KVMonXP.kxp

KVMonXP_1.kxp

kvol.exe

kvolself.exe

KvReport.kxp

KVSrvXP.exe

KVStub.kxp

kvupload.exe

kvwsc.exe

KvXP.kxp

KWatch.exe

KWatch9x.exe

KWatchX.exe

loaddll.exe

logogo.exe

MagicSet.exe

mcconsol.exe

mmqczj.exe

mmsk.exe

NAVSetup.exe

nod32krn.exe

nod32kui.exe

PFW.exe

PFWLiveUpdate.exe

QHSET.exe

Ras.exe

Rav.exe

RavMon.exe

RavMonD.exe

RavStub.exe

RavTask.exe

RegClean.exe

rfwcfg.exe

RfwMain.exe

rfwProxy.exe

rfwsrv.exe

RsAgent.exe

Rsaupd.exe

runiep.exe

safelive.exe

scan32.exe

shcfg32.exe

SmartUp.exe

sos.exe

SREng.exe

symlcsvc.exe

SysSafe.exe

taskmgr.exe

TrojanDetector.exe

Trojanwall.exe

TrojDie.kxp

UFO.exe

UIHost.exe

UmxAgent.exe

UmxAttachment.exe

UmxCfg.exe

UmxFwHlp.exe

UmxPol.exe

UpLive.EXE

WoptiClean.exe

XP.exe

zxsweep.exe

7.破坏显示隐藏文件

HKU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden的值修改为0x00000002

木马病毒植入完毕以后的sreng日志如下:

启动项目

注册表

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe]

    <IFEO[360rpt.exe]><C:\WINDOWS\system32\vista.exe>  [Microsoft Corporation]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe]

    <IFEO[360Safe.exe]><C:\WINDOWS\system32\vista.exe>  [Microsoft Corporation]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe]

    <IFEO[360tray.exe]><C:\WINDOWS\system32\vista.exe>  [Microsoft Corporation]…

==================================

服务

[windows / windows][Running/Disabled]

  <C:\WINDOWS\windows.exe><N/A>

解决方法:

下载srengIcesword:可到down.45it.com下载

1.解压Icesword,把Icesword改名1.com 运行

点击 左下角文件按钮 

删除如下文件%systemroot%\system32\config\systemprofile\vista.exe

%systemroot%\system32\a.jpg

%systemroot%\system32\Flower.dll

%systemroot%\system32\vista.exe

%systemroot%\windows.exe

以及各个分区下的test.exe和autorun.inf

2.打开sreng

启动项目 注册表

删除所有红色的IFEO项目

系统修复 - Windows Shell/IE 全选 修复

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
如需转载请保留出处:https://bianchenghao.cn/39968.html

(0)
编程小号编程小号
上一篇 2023-08-06
下一篇 2023-08-06

相关推荐

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注