廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 5086 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x2
新版資料夾病毒 行為分析與 預防方法
新版資料夾病毒 行為分析與 預防方法
                                                                                                                                                        最近還挺流行這種資料夾病毒
話說這病毒是台灣製造的
它具有盜帳的功能
所以 應該算是個後門

現在就為大家說明 這病毒的行為吧...

病毒執行後
產生 MICRO.exe
並執行
產生 C:\WINDOWS\system32\microsoftshell.exe
執行後

下載
C:\Documents and Settings\"使用者名稱"\Local Settings\Temp\F.exe
C:\Documents and Settings\"使用者名稱"\Local Settings\Temp\FLS-1.exe
C:\Documents and Settings\"使用者名稱"\Local Settings\Temp\FLS-2.exe
C:\Documents and Settings\"使用者名稱"\Local Settings\Temp\FLS-3.exe
C:\Documents and Settings\"使用者名稱"\Local Settings\Temp\FLS-4.exe
C:\Documents and Settings\"使用者名稱"\Local Settings\Temp\FLS-5.exe


依序執行
F.exe 產生
C:\ProgramFiles\Common Files\Adobe\Updater5\Adobe_update.exe
C:\WINDOWS\system32\dllcache\MediaPlayer.dll\Desktop.ini
C:\WINDOWS\system32\dllcache\MediaPlayer.dll\flash8.wav
C:\WINDOWS\system32\dllcache\MediaPlayer.dll\k-lite.wav
C:\WINDOWS\system32\dllcache\MediaPlayer.dll\Media.wav
C:\WINDOWS\system32\dllcache\MediaPlayer.dll\MSCOB.exe\Desktop.ini
C:\WINDOWS\system32\dllcache\MediaPlayer.dll\MSCOB.exe\Media.bat
C:\WINDOWS\system32\dllcache\MediaPlayer.dll\MSCOB.exe\Media.vbs
C:\WINDOWS\system32\dllcache\MediaPlayer.dll\mscon.wav
C:\WINDOWS\system32\dllcache\MediaPlayer.dll\services.exe
C:\WINDOWS\system32\dllcache\MediaPlayer.dll\winlogon.exe
C:\WINDOWS\system32\dllcache\microsoftshell.exe
C:\WINDOWS\system32\MediaPlayer_update.exe
C:\WINDOWS\system32\wbem\AutoRecover\23BDE61F1F4FACE17E9B0C01F2A1FD9B.mof(可能是隨機)
C:\WINDOWS\system32\wbem\AutoRecover\C8463ECBE33BC240263A0B094E46D510.mof(可能是隨機)

建立程序
cmd.exe
microsoftshell.exe
Adobe_update.exe
GG.exe

執行 FLS-1.exe
產生檔案
C:\WINDOWS\system32\dllcache\MediaPlayer.dll\Desktop.ini
C:\WINDOWS\system32\dllcache\MediaPlayer.dll\flash8.wav
C:\WINDOWS\system32\dllcache\MediaPlayer.dll\k-lite.wav
C:\WINDOWS\system32\dllcache\MediaPlayer.dll\Media.wav
C:\WINDOWS\system32\dllcache\MediaPlayer.dll\MSCOB.exe\Desktop.ini
C:\WINDOWS\system32\dllcache\MediaPlayer.dll\MSCOB.exe\Media.bat
C:\WINDOWS\system32\dllcache\MediaPlayer.dll\MSCOB.exe\Media.vbs
C:\WINDOWS\system32\dllcache\MediaPlayer.dll\MSCOB.exe\wmp.vbs
C:\WINDOWS\system32\dllcache\MediaPlayer.dll\mscon.wav
C:\WINDOWS\system32\dllcache\MediaPlayer.dll\services.exe
C:\WINDOWS\system32\dllcache\MediaPlayer.dll\winlogon.exe
C:\WINDOWS\system32\MediaPlayer_update.exe

建立程序
GG.exe
MediaPlayer.exe

建立登陸檔值
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
MediaPlayer = "C:\WINDOWS\system32\MediaPlayer_update.exe

執行 FLS-2.exe
產生檔案
C:\program files\common files\microsoft shared\msinfo\(隨機).avi
C:\program files\common files\microsoft shared\msinfo\QrGbCQq7NF.del
C:\program files\common files\microsoft shared\msinfo\QrGbCQq7NF.doc

(隨機).avi 會 Hook 以下程序
explorer.exe
msmsgs.exe
dllhost.exe
sdnsmain.exe
svchost.exe

建立服務值
"Media_Service" "Running" "C:\WINDOWS\system32\svchost.exe -k netsvcs"

建立登陸檔
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MEDIA_SERVICE\0000\Control]
*NewlyCreated* = 0x00000000
ActiveService = "Media_Service"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MEDIA_SERVICE\0000]
Service = "Media_Service"
Legacy = 0x00000001
ConfigFlags = 0x00000000
Class = "LegacyDriver"
ClassGUID = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
DeviceDesc = "Media_Service"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MEDIA_SERVICE]
NextInstance = 0x00000001

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Media_Service\Enum]
0 = "Root\LEGACY_MEDIA_SERVICE\0000"
Count = 0x00000001
NextInstance = 0x00000001

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Media_Service\Parameters]
ServiceDLL = [pathname with a string SHARE]\bvMApVbh.avi"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MEDIA_SERVICE\0000\Control]
*NewlyCreated* = 0x00000000
ActiveService = "Media_Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MEDIA_SERVICE\0000]
Service = "Media_Service"
Legacy = 0x00000001
ConfigFlags = 0x00000000
Class = "LegacyDriver"
ClassGUID = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
DeviceDesc = "Media_Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MEDIA_SERVICE]
NextInstance = 0x00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Media_Service\Enum]
0 = "Root\LEGACY_MEDIA_SERVICE\0000"
Count = 0x00000001
NextInstance = 0x00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Media_Service\Parameters]
ServiceDLL = [pathname with a string SHARE]\bvMApVbh.avi"

執行 FLS-3.exe
產生檔案
C:\ProgramFiles\Common Files\Adobe\Updater5\Adobe_Update.exe
C:\WINDOWS\system\Adobe.dll\data\Desktop.ini
C:\WINDOWS\system\Adobe.dll\data\dir.mp4
C:\WINDOWS\system\Adobe.dll\data\doc.mp4
C:\WINDOWS\system\Adobe.dll\data\pdf.mp4
C:\WINDOWS\system\Adobe.dll\data\ppt.mp4
C:\WINDOWS\system\Adobe.dll\data\rar.mp4
C:\WINDOWS\system\Adobe.dll\data\txt.mp4
C:\WINDOWS\system\Adobe.dll\data\xls.mp4
C:\WINDOWS\system\Adobe.dll\data\zip.mp4
C:\WINDOWS\system\Adobe.dll\Desktop.ini
C:\WINDOWS\system\Adobe.dll\OSPUM.exe\Adobe.bat
C:\WINDOWS\system\Adobe.dll\OSPUM.exe\Adobe.vbs
C:\WINDOWS\system\Adobe.dll\OSPUM.exe\Desktop.ini
C:\WINDOWS\system\Adobe.dll\svchost.exe

建立進程
svchost.exe

建立登陸檔值
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Adobe_update = "%ProgramFiles%\Common Files\Adobe\Updater5\Adobe_Update.exe"

修改登陸檔
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
HKeyRoot = 0x80000002

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
HKeyRoot = 0x80000002

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt]
HKeyRoot = 0x80000002

執行 FLS-4.exe
建立進程
FLS-4.exe

執行 FLS-5.exe
C:\ProgramFiles\Common Files\Internet Explorer 8\IExplorer8.exe

建立登陸檔值
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Iexplorer8 = C:\ProgramFiles\Common Files\Internet Explorer 8\IExplorer8.exe
===============================================================================
行為整理:
執行後下載東西 複製完畢後
接下來會利用 C:\WINDOWS\system\Adobe.dll\svchost.exe(複製的 CMD.EXE)
開啟
C:\WINDOWS\system\Adobe.dll\OSPUM.exe\Adobe.bat
尋找有"移除" 字樣的磁碟
做隱藏隨身碟裡檔案和資料夾
並複製C:\WINDOWS\system\Adobe.dll\data\
尋找附檔名 為 txt rar zip pdf doc xls ppt 的檔案下手
進行隱藏正常檔案
複製 dir.mp4
doc.mp4 等等檔案
取代正常檔案
引誘別人點擊

所以
並且每一個 .mp4 的檔案
都是 某一附檔名檔案圖示 的.EXE 執行檔...

並且
用 loop 的方式
不斷修改 登陸檔
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
Hidden = 2
HideFileExt = 1

實現 保持隱藏 及保持不顯示附檔名的狀態...

C:\WINDOWS\system32\dllcache\MediaPlayer.dll\services.exe
負責鍵盤測錄 程序監控等任務
並紀錄於
C:\WINDOWS\system32\dllcache\MediaPlayer.dll\Media\"電腦開啟日期"\mid00.mid (鍵盤紀錄資料)
C:\WINDOWS\system32\dllcache\MediaPlayer.dll\Media\"電腦開啟日期"\mid01.mid (程序紀錄資料)
並且利用 C:\WINDOWS\system32\dllcache\MediaPlayer.dll\winlogon.exe (複製的 CMD.EXE)
呼叫
C:\WINDOWS\system32\dllcache\MediaPlayer.dll\MSCOB.exe\Media.bat
利用 FTP.EXE
從事上傳 紀錄檔到 ftp://ftp.g...st/
用來盜帳...

並且隨開機自動啟動...
===============================================================================
那要如何預防呢

如果在正常情況下開啟

別以為這是正常的喔
事實上 這個已經被取代了

有兩種方法可以辨別
如果在別的電腦使用後

1.使用 WinRAR

這是就可以把 正常檔案和病毒檔案分辨出來了...

2.開啟檔案前 在每個檔案或資料夾按右鍵 > 內容
看他的格式...
如果是 應用程式
如果是 那就 100 % 是毒了...

從這裡看到 它不只取代資料夾唷
要注意喔

你可以把檔案給刪了
但是 之後你應該會說 那檔案要怎麼辦了...
開啟 Notepad 記事本
輸入以下指令 存成 fix.bat複製內容到剪貼板代碼:
@echo off
attrib -s -h -r "你要救的檔案 or 資料夾 1"
attrib -s -h -r "你要救的檔案 or 資料夾 2"
......以此類推
存好放到隨身碟執行即可...

By K.Richard 香菇小精靈



爸爸 你一路好走
獻花 x0 回到頂端 [樓 主] From:臺灣和信超媒體寬帶網 | Posted:2009-08-07 14:08 |
modai
數位造型
個人文章 個人相簿 個人日記 個人地圖
路人甲
級別: 路人甲 該用戶目前不上站
推文 x0 鮮花 x1
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

請問一下我的電腦也中了此毒,照上面方式確時有90%的敘述符合
我也把他給刪了或是登入檔回復原來的設定
但是還是無法顯示隱藏檔和某些類別的副檔名(很怪Office系列的副檔名都無法顯示還有txt)
請問還有啥解法呢?真的不想走上重灌一途 表情
謝謝!


獻花 x0 回到頂端 [1 樓] From:臺灣中華HiNet | Posted:2009-08-09 13:36 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.061757 second(s),query:16 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言