| 今天接到群里用户求助说 瑞星防火墙打不开 注册表打不开 难道是AV又出新变种了? 拿到他的日志看了半天 只找到一个类似鸽子的服务 [Logical System Managet / llsservet][Stopped/Auto Start] <C:\Program Files\Common Files\svchost.cnc><N/A> 还有插入其他进程的一个tmp文件 [C:\DOCUME~1\xxxx\LOCALS~1\Temp\rsv1.tmp] [Beijing Rising Tech. Co., Ltd., 1, 2, 0, 5] 不会那个服务搞的吧 要来了样本 赶紧测试了一下 发现这个病毒实在是高深 有些东西我也不太明白,所以写出来给大家看看。 病毒分析报告: 虽然扩展名是cnc但实际上就是个exe文件 生成文件: C:\Program Files\Common Files\svchost.cnc 注册服务llsservet 服务相关键值:
服务启动后: 不断修改svchost.exe的虚拟内存 将自身完全注入到一个svchost.exe的内存中(原理不太懂,后面说明是如何看出的这个) 使得一个svchost.exe的进程完全变成病毒的傀儡 之后那个傀儡svchost.exe尝试关闭如下窗口 KPFW32.EXE yassistse.exe rfwcfg.exe rfwmain.exe rfwsrv.exe Ras.exe nod32kui.exe nod32.exe RavMon.exe RavTask.exe RavMonD.exe RavStub.exe Ccenter.exe regedit.exe 360tray.exe icesword.exe mctray.exe 修改C:\windows为隐藏属性 下面就说说为什么 我觉得病毒完全将自身注入到svchost.exe的内存中的 1.在中毒机器中装了个process explorer以后发现有个svchost.exe是由explorer.exe启动的 而一般svchost.exe都应该是由services.exe启动的 2.用winhex查看中毒机器的内存 发现其中一个svchost.exe的所占的内存明显比其他的大 而这个svchost.exe的PID和刚才那个由explorer.exe启动的svchost.exe是一样的 3.用冰刃等工具 结束这个svchost.exe后 防火墙可以开启 注册表也可以打开 不过以上都是我的猜测 具体原理不太懂 希望有明白原理的网友帮忙解答一下 虽然说得这么邪乎 但似乎他还是靠服务启动的 所以我们把那个服务禁用了 他重启也就不会嚣张了 解决方法如下: 打开sreng “启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”, 选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”: Logical System Managet / llsservet 重启计算机 双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定 删除C:\Program Files\Common Files\svchost.cnc (如遇提示无法删除文件,下载费尔木马强制删除器工具进行强制删除) |
| 欢迎光临 IT家园 (http://bbs.it998.com/) | Powered by Discuz! 7.2 |