得到假的“windows自動更新”怎麽辦?
這個樣品來自孟建。命名為readme.chm,大小為27.9K: MD5值:f6beb 11123 cf 5f 51fc 31696 c 92762。這個readme.chm運行後,調用系統程序C:\windows\system32\mshta.exe(圖1),然後完成以下操作:1,釋放C:\ Windows \ Downloaded Program Files \目錄下的exe.exe和tmp.bat。Exe.exe和tmp.bat運行後會立即刪除自己。2.在c:\windows\system32\目錄下釋放wuauclt1.dll(正常情況下,system32目錄下沒有wuauclt1.dll這樣的文件)。3.wauclt 1 . dll被插入到svchost.exe進程中運行。插入的svchost.exe是具有最小PID號的壹個;插入的svchost.exe通過80端口訪問210.66.36.61(中國,臺灣省)。如果您查看目錄C:\ Windows \ Downloaded Program Files,您可以發現壹個異常(圖2)。查看windows目錄下的setupapi.log,可以看到以下內容:[2008/06/29 11:05:53 3220.1]#-198命令行:" C:\ Windows \ System32 \ ms " Docume ~ 1 \ baohelin \ locales ~ 1 \ temp \ rar $ di00.234internet臨時文件\ content . ie5 \ zabmzh 74 \ exe[1]。exe”復制到“c:\ Windows \ downloaded program files \ exe.exe”。#E361未簽名或簽名不正確的文件" c:\ documents and settings \ baohelin \ local settings \ temporary internet files \ content . ie5 \ zabmzh 74 \ exe[1]。將安裝“exe”(策略=忽略)。錯誤0x800b0100:主題中沒有簽名。wuauclt1.dll插入的Svchost.exe訪問網絡,常見的黃色盾牌出現在任務欄(windows update正在下載補丁)。下載這個“補丁”後,安裝界面和正常的補丁安裝界面沒什麽區別(圖3)。就因為是假補丁,根本無法安裝(圖4)。中了這種病毒的毒之後,在SRENG日誌中除了“正在運行的進程”部分看不到任何異常。對比壹下運行這個readme.chm前後SRENG日誌的“運行進程”部分,可以看出以下區別:運行readme.chm之前:[PID: 228/system] [C:\ Windows \ System32 \ svchost.exe][微軟公司,5.1.2600 . 2180(xpsp _ SP2 _ RTM . 040803-2158)]運行readme.chm之後:[PID:228/SYSTEM][C這種毒藥無法穿透陰影。我在陰影下運行完這個病毒,重啟後,上面的都看不到了。