Board logo

标题: [分享] 不断更新的下载者123.exe病毒手动解决 [打印本页]
作者: 西布伦    时间: 2007-7-21 14:49     标题: 不断更新的下载者123.exe病毒手动解决

病毒名称:Trojan-Downloader.Win32.small.ext,Trojan.BAT.KillAV.ec
病毒大小:83968 bytes
加壳方式:NsPack
样本MD5:5fb6ee2a1044c0e3c601fde18cf8180f
样本SHA1: c3597026c8003e49383794bcf43bb78ee04ac996

行为分析:

病毒运行后,首先创建C:\Documents and Settings\当前用户名\Local Settings\Temp\IXP000.TMP文件夹
复制自身到创建的文件夹并运行,调用命令行:
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"wextract_cleanup0"="rundll32.exe C:\WINDOWS\SYSTEM32\advpack.dll,DelNodeRunDLL32,C:\Documents and Settings\当前用户名\Local Settings\Temp\IXP000.TMP"
释放:
C:\Documents and Settings\当前用户名\Local Settings\Temp\b-PEavp.exe
注:实质上就是把BAT文件变成EXE文件,内容:
Set date=%date%  
date 2004-10-09
@Echo Off & setloc l enableextensions
Ec o Ws cript.Sleep 1000 >
Set /a i = 5
:Timeout
If %i% == 0 Goto Next
setlo al
Set /a i = %i% - 1
cs cript //nologo fyzero.vbs  
Goto Timeout
Goto End
:Next  
dcte %date
把时间改成2004-10-09对付卡巴
创建批处理删除自身

释放C:\Documents and Settings\当前用户名\Local Settings\Temp\b-mie.exe并运行,复制自身到:
C:\WINDOWS\winllogon.exe

创建服务:
[HKLM\System\CurrentControlSet\Services\IE_WinServerName]
显示名:IE_WinServerName
描述:Windows CreaterIE
可执行文件的路径:C:\WINDOWS\winllogon.exe

创建批处理C:\WINDOWS\Deleteme.bat删除自身。
Deleteme.bat内容:
:try
del "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\IXP000.TMP\b-mie.exe"
if exist "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\IXP000.TMP\b-mie.exe" goto try
del %0

调用IE,连接网络下载其它病毒:
先连接hxxp://www.ysjjj.com/yz/2007R2.txt读取里面的内容,根据txt文件里的地址下载新的病毒。
2007R2.txt内容:
100|http://www.cntvz.com/Users/Editer/image/88.exe|1|www.yyybt.com/g/index.html|1|300|www.mmaab.com/ad/index.html|1|300|www.y

yybt.com/soft/2541.htm|1|300|www.en3721.com/shu/soft/8085.htm|0|300|www.***.com|0|300|www.***.com|0|300|www.***.com|0|300|www

.***.com|0|300|www.***.com|0|300|www.***.com|0|300|www.***.com
还会判断是否为Tencent_Traveler的主窗口,记录在CompareText.txt(未证实)

下载88.exe,命名为Dz并运行,是盗号的,行为如下:
复制自身到:
C:\WINDOWS\Dz.exe
C:\Program Files\Internet Explorer\InfoMs.sys
释放:
C:\Program Files\Internet Explorer\InfoMs.tdm(监控消息队列的消息)
C:\Program Files\Internet Explorer\InfoMs.tp3

创建ShellExecuteHooks:

[HKEY_CLASSES_ROOT\CLSID\{DD7D4640-4464-48C0-82FD-21338366D2D2}\InProcServer32]
@="C:\Program Files\Internet Explorer\InfoMs.tdm"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
{DD7D4640-4464-48C0-82FD-21338366D2D2}"=" "

创建批处理_Ms.bat删除自身

手动清除方法:
1,断网
2,删除文件(如遇提示无法删除文件,下载费尔木马强制删除器工具进行强制删除):
C:\WINDOWS\winllogon.exe
C:\WINDOWS\Deleteme.bat
删除文件夹(如遇提示无法删除文件,到down.45it.com下载费尔木马强制删除器工具进行强制删除):
C:\Documents and Settings\当前用户名\Local Settings\Temp\IXP000.TMP
3,删除注册表(开始菜单-运行-输入“regedit”):
[HKLM\System\CurrentControlSet\Services\IE_WinServerName]

[HKEY_CLASSES_ROOT\CLSID\{DD7D4640-4464-48C0-82FD-21338366D2D2}\InProcServer32]
@="C:\Program Files\Internet Explorer\InfoMs.tdm"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{DD7D4640-4464-48C0-82FD-21338366D2D2}"=
4,重启
5,删除文件(如遇提示无法删除文件,下载费尔木马强制删除器工具进行强制删除):C:\WINDOWS\Dz.exe
C:\Program Files\Internet Explorer\InfoMs.sys
C:\Program Files\Internet Explorer\InfoMs.tdm
C:\Program Files\Internet Explorer\InfoMs.tp3
6,清空IE临时文件夹和系统临时文件夹
7,修改回系统正常时间

附病毒内留下的信息:
"heihei"
"Huai_Huai"
作者: runsisi    时间: 2007-7-21 18:27

谢谢楼主分享



欢迎光临 IT家园 (http://bbs.it998.com/) Powered by Discuz! 7.2