广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 3587 个阅读者
 
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
upside 手机 葫芦墩家族
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 优秀管理员勋章
头衔:反病毒 反诈骗 反虐犬   反病毒 反诈骗 反虐犬  
版主
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x0
[资讯教学] 网络蠕虫Net-Worm.Win32.AutoRun.b的处理方法
网络蠕虫Net-Worm.Win32.AutoRun.b的处理方法
1、手动恢复以下文件:

拷贝相同版本文件到: %SystemRoot%\system32\qmgr.dll
拷贝相同版本文件到: %SystemRoot%\system32\drivers\etc\hosts
手动或用工具清除所有压缩包中的病毒
手动或用工具恢复所有网页文件。

2、手动删除以下文件:
  
%TEMP%\syshost.exe
%TEMP%\TempLocal.txt
%SystemRoot%\system32\1l1.dll
%SystemRoot%\system32\qmgr.dll
%SystemRoot%\System32\dllcache\lsasvc.dll
X:\autorun.inf (X为所有盘符)
X:\recycle.{645FF040-5081-101B-9F08-00AA002F954E} (X为所有盘符)
X:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\Ghost.exe (X为所有盘符)

3、手动删除以下注册表值:
键: HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\[所有劫持]

4、手动恢复以下注册表值:

    键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS
    值: Start
    数据: 0x00000003

  修复安全模式:

键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network

变量声明:

 %SystemDriver%       系统所在分区,通常为“C:\”
 %SystemRoot%        WINDODWS所在目录,通常为“C:\Windows”
 %Documents and Settings%  用户文档目录,通常为“C:\Documents and Settings”
 %Temp%           临时文件夹,通常为“C:\Documents and Settings\当前用户名称\Local Settings\Temp”
 %ProgramFiles%       系统程序默认安装目录,通常为:“C:\ProgramFiles”
病毒分析

(1)停止名为"BITS"的服务,去掉%SystemRoot%\system32\qmgr.dll文件保护属性,并释放动态链接
库%SystemRoot%\system32\qmgr.dll,替换掉正常的qmgr.dll,启动"BITS"服务,通过该服务加载病毒程序。
(2)检查%SystemRoot%\system32\qmgr.dll是否被360tray.exe检测,如果是,则创建一个名为"360SpShadow0"的设备,通过发送IO控
制码的方式控制该设备从而绕过360tray.exe的检测。
(3) 创建线程,获取当前进程快照,查找进程"avp.exe"、"bdagent.exe"、"360tray.exe"是否存在,如果找到,则
将%SystemRoot%\system32\qmgr.dll复制为%SystemRoot%\system32\1l1.dll,将%SystemRoot%\system32\1l1.dll注入到目标进
程空间,并将杀软进程主线程终止,使其进程退出,完成之后,删除%SystemRoot%\system32\1l1.dll。
(4)创建线程,删除注册表相关键值,使用户无法进入安全模式,创建名为"SvcMain"的服务,释放驱动%TEMP%\SvcMain.sys并加载,
通过该驱动程序恢复SSDT,完成之后,删除%TEMP%\SvcMain.sys,并删除服务对应的注册表键值。之后,删除大部分杀软的服务,
并作镜像劫持。
(5)创建线程,查找所有文件后缀名为htm、html、asp、aspx的网页文件,如果找到,往目标文件中插入代码<iframe
src=http://mm.uu8***7.cn/index/mm.htm width=100 height=0></iframe>,并开启一个新进程执行%ProgramFiles%\Internet
Explorer\iexplore.exe,通过iexplore.exe访问嵌入的恶意网址。
(6)创建线程,新建文件%TEMP%\TempLocal.txt,访问目标网址读取内容,将读取的内容写入TempLocal.txt,并访问TempLocal.txt文
件中保存的网址,下载新病毒到本地运行。
(7)查找并修改文件%SystemRoot%\System32\drivers\etc\hosts。
(8)释放文件%SystemRoot%\System32\dllcache\lsasvc.dll,并运行。
(9)创建线程,遍历所有盘符,查找所有rar压缩包文件,如果找到,通过调用%ProgramFiles%\WinRAR\Rar.exe程序将其解压,将 病毒程序复制到解压出的文件夹中,然后再压缩回去,完成将病毒添加到压缩包中的功能。
(10)创建线程,扫描局域网其它主机,并通过自带的弱口令列表尝试枚举其它主机的管理密码,如果枚举成功,从指定网址下载病毒程
序到本地执行,并复制到其它主机的所有共享文件夹中运行。
(11)创建线程,遍历当前所有盘符,在每个盘符下创建文件autorun.inf,并在每个盘符下创建文件夹recycle.{645FF040-5081-101B-9F08-00AA002F954E},并将%SystemRoot%\System32\dllcache\lsasvc.dll重命名为Ghost.exe复制到
recycle.{645FF040-5081-101B-9F08-00AA002F954E}\Ghost.exe,使用户一但双击磁盘或打开资源管理器自动运行病毒Ghost.exe
(12)创建线程,不断读取%TEMP%\TempLocal.txt文件中的网址,下载新病毒。
(13)创建线程,释放病毒程序%TEMP%\syshost.exe,并开启新进程执行该程序。
(14) 释放批处理文件%TEMP%\TempDel.bat,并运行,将病毒自身重命名复制到%SystemRoot%\system32\dllcache\lsasvc.dll,之后删除自身和TempDel.bat。

病毒创建文件:

%TEMP%\SvcMain.sys
%TEMP%\syshost.exe
%TEMP%\TempLocal.txt
%TEMP%\TempDel.bat
%SystemRoot%\system32\1l1.dll
%SystemRoot%\system32\qmgr.dll
%SystemRoot%\System32\dllcache\lsasvc.dll
X:\autorun.inf (X为各个盘符)
X:\recycle.{645FF040-5081-101B-9F08-00AA002F954E} (X为各个盘符)
X:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\Ghost.exe (X为各个盘符)

病毒修改文件:

%SystemRoot%\system32\qmgr.dll
%SystemRoot%\system32\drivers\etc\hosts

病毒删除文件:

%TEMP%\SvcMain.sys
%TEMP%\TempDel.bat

病毒创建进程:

iexplore.exe

病毒创建注册表:
 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[映像劫持]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcMain

病毒修改注册表:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ BITS\Start

病毒删除注册表:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcMain
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network

病毒访问网络:
 
http://m...uu***67.cn/index/mm.htm
http://w....d***04.com/msn/mm.txt
http://w....d***567.cn/down/qqmm.exe
http://w....d***567.cn/down/qqma.exe



爸爸 你一路好走
献花 x0 回到顶端 [楼 主] From:台湾和信超媒体宽带网 | Posted:2009-10-02 17:59 |

首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.053239 second(s),query:15 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言