中毒啦,未知系統鏡像被劫持

本周壹款融合機器狗、auto木馬群、磁碟機特點的病毒大範圍爆發。其主文件名為：AtiSrv.exe

該病毒會迫使殺毒軟件失效，安全模式加載、下載大量盜號木馬、劫持瀏覽器、寫入rootkits驅動進行自保護....

該病毒簡單特征分析：

釋放自身到啟動文件夾隨機加載：

%ALLUSERSPROFILE%\「開始」菜單\程序\啟動\AtiSrv.exe 如圖所示：

啟動文件夾.PNG (20.47 KB)

2008-3-1 23:51

寫入執行掛鉤：

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks

ffHADHAD1042.dll

HKCR\CLSID\{1133c611-c3b1-4626-bd63-6605ea0d3486}

c:\windows\system32\ffhadhad1042.dll

Microsoft

HKCR\CLSID\{45AADFAA-DD36-42AB-83AD-0521BBF58C24}

c:\windows\system32\zjydcx.dll

Microsoft

HKCR\CLSID\{6E6CA8A1-81BC-4707-A54C-F4903DD70BAD}

c:\windows\system32\zgxfdx.dll

Microsoft

HKCR\CLSID\{1DB3C525-5271-46F7-887A-D4E1ADAA7632}

c:\windows\system32\hfrdzx.dll

fJACJAC1041.dll

HKCR\CLSID\{6b22d384-97ba-4c43-81ab-a6bb24e9d831}

c:\windows\system32\fjacjac1041.dll

fNNBNNB1032.dll

HKCR\CLSID\{a6f28a4f-afc8-430e-9093-25083eb3aa77}

c:\windows\system32\fnnbnnb1032.dll

fSACSAC1016.dll

HKCR\CLSID\{f93de3de-bc82-4f9a-a3fc-e49c4fe9c38d}

c:\windows\system32\fsacsac1016.dll

winsys8v.sys

HKCR\CLSID\{6167F471-EF2B-41DD-A5E5-C26ACDB5C096}

c:\program files\internet explorer\plugins\winsys8v.sys（該文件會同時寫入BHO加載）

執行掛鉤.PNG (30.75 KB)

2008-3-1 23:51

寫入Appinit_dlls由於寫入過多dll信息導致sreng無法檢測到該項目。數據如下：

bauhgnem.dll,eohsom.dll,fyom.dll,sauhad.dll,ijougiemnaw.dll,taijoad.dll,lnaixnauhqq.dll,idtj.dll,vhqq.dll,atgnehz.dll,rsqq.dll,tsqc.dll,vauyiqvlnaix.dll,wQ.dll,fmxh.dll,cty.dll,pahzij.dll,jz.dll,bz.dll,pyomielnux.dll,mhtd.dll,qnefnaib.dll,ej.dll,uixauh.dll,hjiq.dll,kiluw.dll,dsfg.dll,yqhs.dll,oaijihzeuyouhz.dll,jemnaw.dll,cuhad.dll,laixuhz.dll,rfhx.dll,mnauygniqaixnaij.dll,oqnauhc.dll,xjxr.dll,utiemnaw.dll,sve.dll,wininat.dll,gnolnait.dll,zadnew.dll,htwx.dll,knaixnauhuoyizqq.dll,duygnef.dll,gmx.dll,nadgnohiac.dll,agzg.dll,qlihzouhgnfe.dll,bchib.dll,tzm.dll,r2.dll,slcs.dll,xptyj.dll,xhtd.dll,QQ.dll,sfhx.dll,gnaixnauhqq.dll,3auhad.dll,oadnew.dll,iemnaw.dll,qcsct.dll,oadgnohiac.dll,iqnauhc.dll,aixauh.dll,ddtj.dll,nuygnef.dll,uohsom.dll,gnefnaib.dll,ijiq.dll,hjxr.dll,naijoad.dll,naixuhz.dll,nahzij.dll,fmxh.dll,zqhs.dll,jsfg.dll,utgnehz.dll,uyom.dll,wtiemnaw.dll,uyomielnux.dll,vlihzouhgnfe.dll,2ty.dll,nauhgnem.dll,auhad.dll,rj.dll,hz.dll,naijihzeuyouhz.dll,xhqq.dll,jmx.dll,dgzg.dll,gsqq.dll,fz.dll,gnaixnauhuoyizqq.dll,gnolnait.dll,jsqc.dll,dqncj.dll,eve.dll,2nauygniqaixnaij.dll,niluw.dll,ijougiemnaw.dll,wtwx.dll,jghf.dll,msd.dll,asj.dll,her.dll,awf.dll,

目的是為了安全模式也能加載，導致用戶修復安全模式無效。如圖所示：

appinit_dlls.PNG (26.99 KB)

2008-3-1 23:51

後臺聯網下載木馬程序：

1=/wm/1.exe

2=/wm/2.exe

3=/wm/3.exe

4=/wm/4.exe

5=/wm/5.exe

6=/wm/6.exe

7=/wm/7.exe

8=/wm/8.exe

9=/wm/9.exe

10=/wm/10.exe

11=/wm/11.exe

12=/wm/12.exe

13=/wm/13.exe

14=/wm/14.exe

15=/wm/15.exe

16=/wm/16.exe

17=/wm/17.exe

18=/wm/18.exe

19=/wm/19.exe

20=/wm/20.exe

21=/wm/21.exe

22=/wm/22.exe

23=/wm/23.exe

24=/wm/24.exe

25=/wm/25.exe

26=/wm/26.exe

27=/wm/27.exe

28=/wm/28.exe

與auto木馬群勾結，寫入盜號木馬：

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

<mhuslmqi><C:\WINDOWS\hsmijpow.exe>

<AVPSrv><C:\WINDOWS\AVPSrv.exE>

<upxdnd><C:\WINDOWS\upxdnd.exe>

<Kvsc3><C:\WINDOWS\Kvsc3.exE>

<DbgHlp32><C:\WINDOWS\DbgHlp32.exe>

<SHAProc><C:\WINDOWS\SHAProc.exe>等

加載rootkits驅動進行自我保護：

[iCafe Manager / iCafe Manager][Stopped/Manual Start]

<\?\C:\DOCUME~1\papa\LOCALS~1\Temp\usbhcid.sys>

[Sc Manager / Sc Manager][Running/Manual Start]

<\?\C:\DOCUME~1\papa\LOCALS~1\Temp\usbcams3.sys>

[dohs / dohs][Stopped/Auto Start]

<\?\C:\DOCUME~1\papa\LOCALS~1\Temp\tmp3.tmp>

[fpids32 / fpids32][Running/Auto Start]

<\?\C:\WINDOWS\system32\drivers\msosfpids32.sys>

[msertk / msertk][Running/Auto Start]

<system32\drivers\msyecp.sys>

[msert / msert][Running/Auto Start]

<system32\drivers\mselk.sys>

寫入ntsd劫持與破壞安全模式，導致殺軟失效，如圖所示：

ntsd劫持.PNG (24.35 KB)

2008-3-1 23:51

詳細劫持文件列表請見： 劫持文件列表.txt (1.83 KB) 劫持文件列表.txt (1.83 KB)

下載次數: 2007

2008-3-1 23:51

該病毒的處理方法：

該病毒融合了目前多種流行病毒木馬技術，破壞殺毒程序導致普通用戶很難進行清理操作。建議用戶對該病毒以註意日常防範為主，保持毒霸病毒庫更新以及良好健康的上網習慣。

對於已經中此病毒的用戶可以嘗試在正常模式運行使用附件中的腳本Del_AtiSrv.bat後重啟進入安全模式。

進入安全模式後運行附件中的Clean_IFEO.bat清除映像劫持，並運行金山清理專家清理惡意軟件即可。如圖所示：

惡意軟件.PNG (15.15 KB)

2008-3-1 23:51

機器狗最新動態與變化：

我們先來欣賞壹下新版機器狗的圖標：

機器狗.PNG (1.48 KB)

2008-3-4 14:18

該變種機器狗同樣修改userinit.exe 如圖使用sigverif檢測發現userinit.exe文件被修改：

usetinit.PNG (9.04 KB)

2008-3-4 14:18

釋放進程

%systemroot%\system\SMSS.exe

%systemroot%\system\zfss.exe

寫入隨機加載服務

HKLM\System\CurrentControlSet\Services

connect

C:\WINDOWS\system\SMSS.exe

服務.PNG (12.42 KB)

2008-3-4 14:18

修改系統時間到2000年1月1日

系統時間.PNG (10.18 KB)

2008-3-4 14:18

處理方案：

使用新版“機器狗/AV終結者”專殺（最新版為5.4）配合之前的機器狗映像劫持修復工具檢測與修復。如圖所示：

專殺5.0.PNG (46.77 KB)

2008-3-4 14:18

修復.PNG (9.24 KB)

2008-3-4 14:18

註意：由於該機器狗變種會聯網下載多款盜號木馬以及惡意軟件，清理後請升級毒霸進行全面殺毒。

給分吧