下面是最近截獲的這個比較可惡的病毒的簡要分析和查殺舉例
File: mm.exe
Size: 12340 bytes
Modified: 2008年2月1日, 22:57:01
MD5: 3F93A9CCB07B2341C7BED9CE807CA34D
SHA1: DB9E60225412DED91C3BD783BE5E76AA6AD77C4E
CRC32: 29257F02
1.主病毒(mm.exe)運行後,釋放如下文件:
C:\WINDOWS\system32\drivers\pcihdd2.sys
C:\WINDOWS\system32\lssass.exe
註冊服務DeepFree Update 指向C:\WINDOWS\system32\drivers\pcihdd2.sys 並加載這個驅動 這個驅動即為機器狗的驅動
之後會替換userinit.exe文件
2.之後mm.exe啟動C:\WINDOWS\system32\lssass.exe 至此mm.exe(即機器狗)退出 大權交給lssass.exe
3.lssass.exe運行後,釋放如下文件
C:\WINDOWS\system32\drivers\ati32srv.sys
註冊服務ATI2HDDSRV 指向ati32srv.sys 並加載這個驅動 該驅動可以恢復系統的SSDT表 使得殺毒軟件的API hook完全失效...很多殺毒軟件的“主動防禦”和“自我保護”功能也因此失效
4.調用cmd.exe把KvTrust.dll,UrlGuard.dll,antispy.dll,safemon.dll,ieprot.dll重命名為tmp%d.temp的格式
5.結束很多安全軟件進程
avp.com
avp.exe
runiep.exe
PFW.exe
FYFireWall.exe
rfwmain.exe
rfwsrv.exe
KAVPF.exe
KPFW32.exe
nod32kui.exe
nod32.exe
Navapsvc.exe
Navapw32.exe
avconsol.exe
webscanx.exe
NPFMntor.exe
vsstat.exe
KPfwSvc.exe
Ras.exe
RavMonD.exe
mmsk.exe
WoptiClean.exe
QQKav.exe
QQDoctor.exe
EGHOST.exe
360Safe.exe
iparmo.exe
adam.exe
IceSword.exe
360rpt.exe
360tray.exe
AgentSvr.exe
AppSvc32.exe
autoruns.exe
avgrssvc.exe
AvMonitor.exe
CCenter.exe
ccSvcHst.exe
FileDsty.exe
FTCleanerShell.exe
HijackThis.exe
Iparmor.exe
isPwdSvc.exe
kabaload.exe
KaScrScn.SCR
KASMain.exe
KASTask.exe
KAVDX.exe
KAVPFW.exe
KAVSetup.exe
KAVStart.exe
KISLnchr.exe
KMailMon.exe
KMFilter.exe
KPFW32.exe
KPFW32X.exe
KPFWSvc.exe
KRegEx.exe
KRepair.com
KsLoader.exe
KVCenter.kxp
KvDetect.exe
KvfwMcl.exe
KVMonXP.kxp
KVMonXP_1.kxp
kvol.exe
kvolself.exe
KvReport.kxp
KVScan.kxp
KVSrvXP.exe
KVStub.kxp
kvupload.exe
kvwsc.exe
KvXP.kxp
KvXP_1.kxp
KWatch.exe
KWatch9x.exe
KWatchX.exe
MagicSet.exe
mcconsol.exe
mmqczj.exe
KAV32.exe
nod32krn.exe
PFWLiveUpdate.exe
QHSET.exe
RavMonD.exe
RavStub.exe
RegClean.exe
rfwcfg.exe
RfwMain.exe
rfwsrv.exe
RsAgent.exe
Rsaupd.exe
safelive.exe
scan32.exe
shcfg32.exe
SmartUp.exe
SREng.EXE
symlcsvc.exe
SysSafe.exe
TrojanDetector.exe
Trojanwall.exe
TrojDie.kxp
UIHost.exe
UmxAgent.exe
UmxAttachment.exe
UmxCfg.exe
UmxFwHlp.exe
UmxPol.exe
UpLive.exe
procexp.exe
OllyDBG.EXE
OllyICE.EXE
rfwstub.exe
RegTool.exe
rfwProxy.exe
6.映像劫持幾乎上面所有安全軟件指向“ntsd -d”
7.啟動IE進行下載工作,首先會讀取yi><kfzmwcnyi.exe> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{2f32e793-9263-4aa5-862f-da2480554715}><C:\WINDOWS\system32\JAA-JAA-1032.dll> []
<{9a8234b5-a04c-4b0c-ad8c-f4fdb94c9543}><C:\WINDOWS\system32\RAA_RAA_1002.dll> []
<{4FA10261-B890-F432-A453-69F1023513F4}><C:\WINDOWS\Fonts\gjcsdyc.dll> []
<{94f833b0-726d-4d09-b715-6352f632ece7}><C:\WINDOWS\system32\QAB_QAB_1011.dll> []
<{0a1d93b9-0e5d-4239-94df-6e673bf85067}><C:\WINDOWS\system32\IIA-IIA-1030.dll> []
==================================
驅動程序
[ATI2HDDSRV / ATI2HDDSRV][Running/Manual Start]
<\?\C:\WINDOWS\system32\drivers\ati32srv.sys><N/A>
[DeepFree Update / DeepFree Update][Stopped/Manual Start]
<\?\C:\WINDOWS\system32\drivers\pcihdd2.sys><N/A>
[msskye / msskye][Running/Auto Start]
<system32\drivers\msaclue.sys><N/A>
==================================
正在運行的進程
[PID: 1452][C:\WINDOWS\system32\userinit.exe] [N/A, ]
[C:\WINDOWS\system32\HDDGuard.dll] [N/A, ]
[PID: 1472][C:\windows\explorer.exe] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\JAA-JAA-1032.dll] [N/A, ]
[C:\WINDOWS\system32\RAA_RAA_1002.dll] [N/A, ]
[C:\WINDOWS\Fonts\gjcsdyc.dll] [N/A, ]
[C:\WINDOWS\system32\QAB_QAB_1011.dll] [N/A, ]
[C:\WINDOWS\system32\IIA-IIA-1030.dll] [N/A, ]
[C:\WINDOWS\wlqirtuk.dll] [N/A, ]
[C:\WINDOWS\dcadmqws.dll] [N/A, ]
[C:\WINDOWS\system32\upxdnd.dll] [N/A, ]
[C:\WINDOWS\system32\WSockDrv32.dll] [N/A, ]
[C:\WINDOWS\system32\LotusHlp.dll] [N/A, ]
[C:\WINDOWS\system32\PTSShell.dll] [N/A, ]
[C:\WINDOWS\system32\SHAProc.dll] [N/A, ]
[C:\WINDOWS\system32\HDDGuard.dll] [N/A, ]
...
查殺方法舉例:
1.手動查殺:
下載sreng:32.dll
C:\WINDOWS\system32\mswmkkk32.dll
C:\WINDOWS\system32\mswwwdj32.dll
C:\WINDOWS\system32\niluw.dll
C:\WINDOWS\system32\otpiexpqj.dll
C:\WINDOWS\system32\PTSShell.dll
C:\WINDOWS\system32\QAB_QAB_1011.dll
C:\WINDOWS\system32\RAA_RAA_1002.dll
C:\WINDOWS\system32\SHAProc.dll
C:\WINDOWS\system32\upxdnd.dll
C:\WINDOWS\system32\Wingin.exe
C:\WINDOWS\system32\WSockDrv32.dll
C:\WINDOWS\system32\xbwqogywm.dll
C:\WINDOWS\dcadmqws.dll
C:\WINDOWS\kfzmwcnyi.exe
C:\WINDOWS\litknpar.exe
C:\WINDOWS\LotusHlp.exe
C:\WINDOWS\PTSShell.exe
C:\WINDOWS\SHAProc.exe
C:\WINDOWS\upxdnd.exe
C:\WINDOWS\wlqirtuk.dll
C:\WINDOWS\WSockDrv32.exe
解壓下載的Xdelbox壓縮包內所有文件到壹個文件夾下
之後打開Xdelbox.exe
在下面的大框中 單擊右鍵 點擊 “剪貼板導入不檢查路徑”
之後剛才復制的那個文件列表將出現在下面的大框中
然後再在下面的大框中單擊右鍵 點擊 “立即重啟執行刪除”
軟件會自動重啟計算機
重啟計算機以後 會有兩個系統進入的選擇的倒計時界面
第壹個是妳原來的windows系統
第二個是這個軟件給妳設定的dos系統
不用妳管,它會自動選擇進入第二個系統
類似dos的界面滾動完畢以後 病毒就被刪除了
之後他會自動重啟進入正常模式
重啟後 千萬不要聯網
打開sreng 刪除上面涉及到的啟動項目 和IFEO項目
然後雙擊我的電腦,工具,文件夾選項,查看,單擊選取"顯示隱藏文件或文件夾" 並清除"隱藏受保護的操作系統文件(推薦)"前面的鉤。在提示確定更改時,單擊“是” 然後確定
復制C:\Windows\system32\dllcache\userinit.exe 到C:\Windows\system32覆蓋已有文件 如果提示覆蓋錯誤 在任務管理器裏面結束userinit.exe即可
2.使用專殺處理(以瑞星近期出的機器狗專殺為例)
經測試該專殺可以殺滅目前大部分機器狗下載的木馬 並可自動修復userinit.exe等系統文件
瑞星機器狗專殺:/zsgj/RavEdog.exe
江民機器狗免疫程序下載:/download/machinedogpatch.exe
360機器狗專殺:/4002404/2595242.html
金山機器狗專殺:/attachment.php?aid=16100608
超級巡警機器狗專殺:/utility/antivirus/trojan/detail-81071.html
綜上所述,復合型機器狗病毒具有機器狗的完全特征並加入了壹些“新的功能”比如映像劫持殺毒軟件,破壞殺毒軟件的API hook等 今後可能會加入更多的破壞功能
目前此類病毒的主要傳播途徑是網頁掛馬
所以希望大家註意以下幾點:
1.及時升級殺毒軟件和防火墻(老生常談)
2.壹定要打全Windows系統補丁(非常重要)
3.各種軟件也盡量使用最新版本,尤其迅雷,PPstream,realplayer,暴風影音,百度toolbar等等,現在大多以利用這些軟件的漏洞掛馬為主