关于WIN32.EXE变态木马下载器的解决办法

一、WIN32.EXE的来源:http://fdghewrtewrtyrew.biz/adv/130/win32.exe
二、运行后的表现:此WIN32.EXE通过80和8080端口访问若干个IP,若防火墙不能监测到或令防火墙允许该访问,WIN32.EXE会自动下载木马Kernels8.exe到system32目录下;Kernels8.exe自网络下载1.dlb、2.dlb.....等一堆木马到当前用户文件夹中,并自动运行。下载的木马加载运行后,又从网络上下载其它木马/蠕虫。

木马/蠕虫完全下载并植入系统后,SREng日志可见:

启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<Windows update loader><C:\Windows\xpupdate.exe> [N/A]
<UpdateService><C:\windows\system32\wservice.exe> [N/A]
<taskdir><C:\windows\system32\taskdir.exe> [N/A]
<_mzu_stonedrv3><C:\windows\system32\_mzu_stonedrv3.exe> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<System><C:\windows\system32\testtestt.exe> [N/A]
<UpdateService><C:\windows\system32\wservice.exe> [N/A]
<spoolsvv><C:\windows\system32\spoolsvv.exe> [N/A]
<adir><C:\windows\system32\adirss.exe> [N/A]
<_mzu_stonedrv3><C:\windows\system32\_mzu_stonedrv3.exe> [N/A]
<30><C:\windows\system32\30.tmp> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
<SystemTools><C:\windows\system32\testtestt.exe> [N/A]
<_mzu_stonedrv3><C:\windows\system32\_mzu_stonedrv3.exe> [N/A]
<30><C:\windows\system32\30.tmp> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
<sqPIftjYG><C:\windows\system32\rflbg.dll> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rpcc]
<WinlogonNotify: rpcc><C:\windows\system32\rpcc.dll> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winsys2freg]
<WinlogonNotify: winsys2freg><C:\Documents and Settings\All Users\Documents\Settings\winsys2f.dll> [N/A]
==================================
正在运行的进程
[PID: 584][\??\C:\windows\system32\winlogon.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\Documents and Settings\All Users\Documents\Settings\winsys2f.dll] [N/A, N/A] 
[PID: 1584][C:\windows\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\windows\system32\rflbg.dll] [N/A, N/A]
==================================
HOSTS 文件
127.0.0.1 avp.com
127.0.0.1 ca.com
127.0.0.1 f-secure.com
127.0.0.1 housecall.trendmicro.com
127.0.0.1 kaspersky.com
127.0.0.1 mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 nai.com
127.0.0.1 networkassociates.com
127.0.0.1 secure.nai.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 sophos.com
127.0.0.1 symantec.com
127.0.0.1 trendmicro.com
127.0.0.1 us.mcafee.com
127.0.0.1 v4.windowsupdate.microsoft.com
127.0.0.1 v5.windowsupdate.microsoft.com
127.0.0.1 v5windowsupdate.microsoft.nsatc.net
127.0.0.1 viruslist.com
127.0.0.1 windowsupdate.com
127.0.0.1 windowsupdate.microsoft.com
127.0.0.1 www.avp.com
127.0.0.1 www.bitdefender.com
127.0.0.1 www.ca.com
127.0.0.1 www.f-secure.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.mcafee.com
127.0.0.1 www.my-etrust.com
127.0.0.1 www.nai.com
127.0.0.1 www.networkassociates.com
127.0.0.1 www.pandasoftware.com
127.0.0.1 www.ravantivirus.com
127.0.0.1 www.sophos.com
127.0.0.1 www.symantec.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.viruslist.com
127.0.0.1 www.windowsupdate.com
127.0.0.1 www3.ca.com
127.0.0.1 downloads1.kaspersky-labs.com
127.0.0.1 downloads2.kaspersky-labs.com
127.0.0.1 downloads3.kaspersky-labs.com
127.0.0.1 downloads4.kaspersky-labs.com
127.0.0.1 downloads-us1.kaspersky-labs.com
127.0.0.1 downloads-eu1.kaspersky-labs.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 mast.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 update.symantec.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 download.mcafee.com
127.0.0.1 updates.symantec.com

==================================

HijackThis v1.99.1日志可见:

O4 - HKLM\..\Run: [System] C:\windows\system32\testtestt.exe
O4 - HKLM\..\Run: [UpdateService] C:\windows\system32\wservice.exe
O4 - HKLM\..\Run: [spoolsvv] C:\windows\system32\spoolsvv.exe
O4 - HKLM\..\Run: [adir] C:\windows\system32\adirss.exe
O4 - HKLM\..\Run: [_mzu_stonedrv3] C:\windows\system32\_mzu_stonedrv3.exe
O4 - HKLM\..\Run: [30] C:\windows\system32\30.tmp
O4 - HKLM\..\RunServices: [SystemTools] C:\windows\system32\testtestt.exe
O4 - HKLM\..\RunServices: [_mzu_stonedrv3] C:\windows\system32\_mzu_stonedrv3.exe
O4 - HKLM\..\RunServices: [30] C:\windows\system32\30.tmp
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O4 - HKCU\..\Run: [UpdateService] C:\windows\system32\wservice.exe
O4 - HKCU\..\Run: [taskdir] C:\windows\system32\taskdir.exe
O4 - HKCU\..\Run: [_mzu_stonedrv3] C:\windows\system32\_mzu_stonedrv3.exe
O4 - HKCU\..\Run: [WinMedia] C:\windows\loader622535.exe
O4 - HKCU\..\Run: [Winstx] C:\windows\loader628714.exe

O20 - Winlogon Notify: rpcc - C:\windows\system32\rpcc.dll
O20 - Winlogon Notify: winsys2freg - C:\Documents and Settings\All Users\Documents\Settings\winsys2f.dll
O21 - SSODL: sqPIftjYG - {F4233280-5E89-982A-A244-6D00C3A79C12} - C:\windows\system32\rflbg.dll

其中,C:\Documents and Settings\All Users\Documents\Settings\winsys2f.dll插入winlogon.exe进程。这个.dll处理起来较难。原因在于:
1、这个dll位于隐藏文件夹中,须用IceSword或WINRAR等工具才能看到。
2、因为它插入了winlogon.exe进程,这个dll不能直接删除。
3、不知这堆木马/蠕虫中的哪几个开启了IE进程若干(并无IE窗口打开)。WINDOWS的“任务管理器”被禁;用其它工具,表面上虽可进行结束IE进程的操作,但无论用什么工具结束IE进程后,病毒又试图通过winlogon.exe启动IE进程(SSM可监控到此过程);此时,如果用较低版本的SSM禁止winlogon.exe启动IE进程,则系统崩溃,重启。用最新版本的SSM 2.2.0.595可以禁止winlogon.exe启动IE进程而无副作用。

这堆病毒的处理难点还有:
1、病毒感染系统时,已经在系统相关目录(有.exe文件的目录)以及系统分区以外的其它分区目录(有.exe文件的目录)下释放了大量.t文件。以后,凡运行相关的.exe时,须先执行这个.t文件;此过程可被SSM监控到,也可被SSM禁止。然而,若用SSM禁止这个.t运行,则你要运行的那个.exe也同样被SSM禁止了。中招后用杀毒软件杀毒就是一个例子(卡巴斯基最新病毒库只能检出其中部分病毒)。一旦允许卡巴斯基目录下的.t运行,kav.exe即被感染(MD5值改变)。收拾干净系统后,我只好卸载卡巴斯基,重新安装。我的Tiny防火墙也是同样下场。为了看全这“西洋景”,我关闭了Tiny。染毒/系统重启后,Tiny自动加载时amon.exe被感染。
2、如果没有完全禁止所有的病毒程序运行,就在普通WINDOWS模式下删除木马/蠕虫文件,删除操作时会在同一位置生成数目不等的、文件名后缀为.t的文件,文件名为随机排列的8个小写英文字母。

三、我的处理办法:
1、用最新版SSM2.2结束上述病毒进程,并将其归入blocked组。将SSM设置为“自动运行”。
2、重启系统。
3、重启系统后,SSM还报病毒程序试图加载(木马通过SSM安装文件夹中的.t实现启动加载),可用SSM禁止它,并归入blocked组。
4、删除病毒的加载项(见前面的SREng以及HijackThis日志)。
5、显示隐藏文件。删除病毒文件(图1-图6)。要删除的病毒文件太多,做为例子,图中显示的只是这堆病毒中的主要文件以及删除病毒文件时生成的部分.t文件(如果将删除到回收站的病毒文件全部显示出来,则需要18张图)。
染毒后生成的.t文件的多寡目及分布范围取决于(1)系统启动时加载运行的程序数目;(2)染毒后未处理干净前在WINDOWS下操作步骤的多寡;(3)系统分区以外的其它分区各目录下的文件夹中是否包含.exe文件(文件夹中若不包含.exe文件,则无病毒.t文件生成)。
6、修复HOSTS文件。
7、卸载、重新安装被感染的应用程序(MD5值改变的那些)。

图1

(0)

相关推荐

  • Python制作CSDN免积分下载器

    CSDN免积分下载 你懂的. 1.输入资源地址如:http://download.csdn.net/download/gengqkun/4127808 2.输入验证码 3.点击下载,会弹出浏览器下载. 注:成功率在70-80% ,界面很丑,请将就着用. 复制代码 代码如下: #-*-coding:utf-8-*- #python3.3.5 import urllib.parse,urllib.request,http.cookiejar,io,webbrowser import tkinter

  • 命令行使用支持断点续传的java多线程下载器

    复制代码 代码如下: package org.load.download; import java.io.File;import java.io.IOException;import java.io.InputStream;import java.io.RandomAccessFile;import java.text.DecimalFormat; import org.apache.http.HttpEntity;import org.apache.http.HttpResponse;impo

  • 替换ctfmon.exe的下载器window.exe的方法

    病毒描述: 此病毒利用替换输入法输入程序的方法伪装自身,从而可以利用原先已有的ctfmon启动项目启动自身,并进行下载木马和感染htm文件等操作 File: window.exe Size: 19380 bytes Modified: 2007年10月19日, 17:42:28 MD5: BDAA1AB926518C7D3C05B730C8B5872C SHA1: BF4C82AA7F169FF37F436B78BBE9AA7FD652118A CRC32: BEC77526 1.病毒运行后,生

  • php实现的css文件背景图片下载器代码

    本文实例讲述了php实现的css文件背景图片下载器代码.分享给大家供大家参考.具体实现方法如下: 下载css文件里面的背景图片是我们这些盗版份子长期搞的事情,下载个css图片下载器常出现各种广告弹窗,实在扛不住.这里就提供了一个php版的css文件背景图片下载器给大家. 把文件放到php程序目录 dos下面 php.exe cssImages.php 0 http://www.xxxx.com/css/style.css \images\ 先在php程序目录建个images文件夹,呵呵,贴代码:

  • python使用urllib模块开发的多线程豆瓣小站mp3下载器

    复制代码 代码如下: #! /usr/bin/python2.7# -- coding:utf-8 -- import os, urllib,urllib2, thread,threadingimport re #匹配音乐urlreg=re.compile('{"name":"(.+?)".+?"rawUrl":"(.+?)",.+?}', re.I) class downloader(threading.Thread):  

  • 利用stream实现一个简单的http下载器

    其实这个http下载器的功能已经相当完善了,支持:限速.post投递和上传.自定义http header.设置user agent.设置range和超时 而且它还不单纯只能下载http,由于使用了stream,所以也支持其他协议,你也可以用它来进行文件之间的copy.纯tcp下载等等.. 完整demo请参考:https://github.com/waruqi/tbox/wiki stream.c /* ///////////////////////////////////////////////

  • login.exe HGFS木马下载器的手动查杀方法

    样本信息:File: login.exe Size: 25428 bytes Modified: 2008年4月25日, 16:30:08 MD5: 9777E8C79312F2E3D175AA1F64B07C11 SHA1: 4236D76C4FAEFE1CDF22414A25E946E493E0D52E CRC32: 5A562203 1.病毒初始化:创建互斥量HGFSMUTEX,保证系统内只有一个实例在运行 2.释放如下文件或者副本 %systemroot%\system32\Autoru

  • Android编程开发实现多线程断点续传下载器实例

    本文实例讲述了Android编程开发实现多线程断点续传下载器.分享给大家供大家参考,具体如下: 使用多线程断点续传下载器在下载的时候多个线程并发可以占用服务器端更多资源,从而加快下载速度,在下载过程中记录每个线程已拷贝数据的数量,如果下载中断,比如无信号断线.电量不足等情况下,这就需要使用到断点续传功能,下次启动时从记录位置继续下载,可避免重复部分的下载.这里采用数据库来记录下载的进度. 效果图:   断点续传 1.断点续传需要在下载过程中记录每条线程的下载进度 2.每次下载开始之前先读取数据库

  • iOS开发实现下载器的基本功能(1)

    今天,做了一个下载器的Demo,即从本地配置的Apache服务器上,下载指定的文件.这次,我们下载服务器根目录下的html.mp4文件. 按照惯例,我们先创建一个URL对象和请求.  NSURL *url = [NSURL URLWithString:@"http://127.0.0.1/html.mp4"]; NSURLRequest *request = [NSURLRequest requestWithURL:url]; 这里有两点需要注意,第一,这个url的字符串是全英文的,如

  • 关于WIN32.EXE变态木马下载器的解决办法

    一.WIN32.EXE的来源:http://fdghewrtewrtyrew.biz/adv/130/win32.exe 二.运行后的表现:此WIN32.EXE通过80和8080端口访问若干个IP,若防火墙不能监测到或令防火墙允许该访问,WIN32.EXE会自动下载木马Kernels8.exe到system32目录下:Kernels8.exe自网络下载1.dlb.2.dlb.....等一堆木马到当前用户文件夹中,并自动运行.下载的木马加载运行后,又从网络上下载其它木马/蠕虫. 木马/蠕虫完全下载

  • 木马下载器Win32.TrojDownloader.Delf.114688

    木马下载器Win32.TrojDownloader.Delf.114688病毒行为: 该病毒是一个木马下载者,会从网上下载其他病毒至客户的机器上并运行.病毒运行后生衍生一个DLL文件至系统目录中. 1.生成文件 %WinDir%\System32\Downdll.dll 2.修改注册表 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections SavedLegacySetti

  • 木马下载器前仆后继,AOTU病毒群卷土重来(专杀4月15日升级到1.4版)

    以下是这两天极度猖獗的AUTO病毒最新变种的分析报告: 一.行为概述 该EXE是病毒下载器,它会: 1) 参考系统C盘卷序列号来算出服务名,EXE 和DLL 的文件名. 2) 在每一个驱动器下放置AUTO病毒autorun.inf 和自身副本auto.exe 并加系统和隐藏属性. 3) 在系统system32 下放置自身副本"随机名.exe "和释放出来的"随机名.dll" 并将它们伪装成具有隐藏属性的系统文件. 4) 修改系统键值,将系统隐藏文件选项删除,造成用户

  • 伪AVP恶意木马下载器专杀工具下载

    "伪AVP恶意木马"是一个恶性下载器,通过网页挂马.第三方软件漏洞等手段进入用户电脑,在电脑中疯狂占用系统资源,导致运行速度异常缓慢,并下载Winsys ARP攻击工具来实施ARP攻击,当局域网机器浏览网络时就会造成中毒. 中了"伪AVP恶意木马"的用户能在C盘下看到一个ver.txt的木马下载器,该下载器会创建服务名为WinCom的服务,并大量下载网游盗号木马,严重威胁用户网络虚拟财产的安全. 在360安全中心的百科(http://baike.360.cn)和论坛

  • python用pyinstaller封装exe双击后疯狂闪退解决办法

    这里我们需要分析问题报错闪退问题,如何查看问题: 利用 截图工具或者 QQ截图快捷键 去抓取cmd窗口的闪退里面的内容,去查看问题. 大部分都是因为 缺少模块包 导致的.在这里我想说的是网上那种 加 input 和 os.system("pause") 还有在cmd命令模式下加 .\***.exe 都是没有用的,如果你的代码真的没有input 那的确是要添加.就算不添加其实也能在CMD命令窗口中执行代码的缓慢过程,但 是 不会闪退的. 闪退解决办法: 1.利用QQ快捷键截图到exe在c

  • md9.exe scvhost.exe 只木马下载者查杀方法

    从http://www.ittool.cn/d123.exe 下载病毒文件 它使用rar自解压文件,广告,病毒 等很多垃圾软件,很恶心 查杀方法:www.360safe.com 下载即可删除

  • 使用FreeHost SQL2000网页管理器出错解决办法

    at System.Web.UI.Page.HandleError(Exception e) at System.Web.UI.Page.ProcessRequestMain() at System.Web.UI.Page.ProcessRequest() at System.Web.UI.Page.ProcessRequest(HttpContext context) at System.Web.CallHandlerExecutionStep.System.Web.HttpApplicati

  • 最新病毒结合auto.exe,游戏盗号木马下载者手工查杀microsofts.vbs

    最新病毒结合auto.exe,游戏盗号木马下载者手工查杀下面是启用病毒的代码microsofts.vbs 复制代码 代码如下: Set Lovecuteqq = CreateObject("Wscript.Shell") Lovecuteqq.run ("C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\microsofts.pif") 木马名称:Trojan-PSW/Win32.OnLineGames.lxt 路径:C:\WINDOWS\sys

随机推荐