最近很多人中了这个病毒,今天刚拿到样本,分析了一下,其实这个病毒就是原先sysload3.exe的一个变种。
病毒行径:
1.感染exe
2.修改hosts
3.下载木马群
样本运行后
释放
C:\Program Files\Common Files\System\wab32res.exe
C:\Program Files\Common Files\System\directdb.exe
创建服务
Hello Download
涉及到该服务的相关注册表项目如下
HKLM\SYSTEM\CurrentControlSet\Services\Hello Download\Type: 0x00000010
HKLM\SYSTEM\CurrentControlSet\Services\Hello Download\Start: 0x00000002
HKLM\SYSTEM\CurrentControlSet\Services\Hello Download\ErrorControl: 0x00000001
HKLM\SYSTEM\CurrentControlSet\Services\Hello Download\ImagePath: "C:\Program Files\Common Files\System\wab32res
.exe"
HKLM\SYSTEM\CurrentControlSet\Services\Hello Download\DisplayName: "TCP/IP Check"
HKLM\SYSTEM\CurrentControlSet\Services\Hello Download\
ObjectName: "LocalSystem"
调用ie 和 notepad进程
ie 进程负责连接到59.34.197.169:80 下载木马群
notepad.exe负责感染文件,感染除系统分区外其它分区的exe文件。并负责启动那些被下载的木马
下载到的木马分别为C:\Program Files\Common Files\System\TempA.exe~C:\Program Files\Common Files\System\TempH.exe
TempA.exe释放文件iexpl0re.exe和LgSy0.dll到临时文件夹
在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
添加注册表项目<st8wq><C:\Documents and Settings\用户名\Local Settings\Temp\iexpl0re.exe>
TempB.exe释放文件crasos.exe和Msxo0.dll到临时文件夹
在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
添加注册表项目<iwssd497q><C:\Documents and Settings\用户名\Local Settings\Temp\crasos
.exe>
TempC.exe释放文件1explore.exe到临时文件夹
在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
添加注册表项目<j9mef8vhcj1dc><C:\Documents and Settings\用户名\Local Settings\Temp\1explore.exe>
TempD.exe释放文件Servera.exe和Kavs0.dll到临时文件夹
在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
添加注册表项目<jjj394srv69x><C:\Documents and Settings\用户名\Local Settings\Temp\Servera.exe>
TempF.exe释放文件winlog0n.exe和LgSy1.dll到临时文件夹
在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
添加注册表项目<uvu><C:\Documents and Settings\用户名\Local Settings\Temp\winlog0n.exe>
TempG.exe释放文件C:\WINDOWS\cmdbcs.exe和C:\WINDOWS\system32\cmdbcs.dll
在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
添加注册表项目<cmdbcs><C:\WINDOWS\cmdbcs.exe>
TempH.exe释放文件rundl132.exe和Rav20.dll到临时文件夹
在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
添加注册表项目<hygrl2><C:\Documents and Settings\用户名\Local Settings\Temp\rundl132.exe>
修改hosts文件
添加
127.0.0.1 mmm.caifu18.net
127.0.0.1 www.18dmm.com
127.0.0.1 d.qbbd.com
127.0.0.1 www.5117music.com
127.0.0.1 www.union123.com
127.0.0.1 www.wu7x.cn
127.0.0.1 www.54699.com
127.0.0.1 60.169.0.66
127.0.0.1 60.169.1.29
127.0.0.1 www.97725.com
127.0.0.1 down.97725.com
127.0.0.1 ip.315hack.com
127.0.0.1 ip.54liumang.com
127.0.0.1 www.41ip.com
127.0.0.1 xulao.com
127.0.0.1 www.heixiou.com
127.0.0.1 www.9cyy.com
127.0.0.1 www.hunll.com
127.0.0.1 www.down.hunll.com
127.0.0.1 do.77276.com
127.0.0.1 www.baidulink.com
127.0.0.1 adnx.yygou.cn
127.0.0.1 222.73.220.45
127.0.0.1 www.f5game.com
127.0.0.1 www.guazhan.cn
127.0.0.1 wm,103715.com
127.0.0.1 www.my6688.cn
127.0.0.1 i.96981.com
127.0.0.1 d.77276.com
127.0.0.1 www1.cw988.cn
127.0.0.1 cool.47555.com
127.0.0.1 www.asdwc.com
127.0.0.1 55880.cn
127.0.0.1 61.152.169.234
127.0.0.1 cc.wzxqy.com
127.0.0.1 www.54699.com
127.0.0.1 t.gcuj.com
127.0.0.1 www.puma163.com
127.0.0.1 ceoww.com
帮我们屏蔽了一些恶意网站 呵呵...
以上现象在sreng日志中 显示如下
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<st8wq><C:\Documents and Settings\用户名\Local Settings\Temp\iexpl0re.exe> []
<iwssd497q><C:\Documents and Settings\用户名\Local Settings\Temp\crasos.exe> []
<j9mef8vhcj1dc><C:\Documents and Settings\用户名\Local Settings\Temp\1explore.exe> []
<jjj394srv69x><C:\Documents and Settings\用户名\Local Settings\Temp\Servera.exe> []
<uvu><C:\Documents and Settings\用户名\Local Settings\Temp\winlog0n.exe> []
<hygrl2><C:\Documents and Settings\用户名\Local Settings\Temp\rundl132.exe> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<cmdbcs><C:\WINDOWS\cmdbcs.exe> []
服务
[TCP/IP Check / Hello Download][Stopped/Auto Start]
<C:\Program Files\Common Files\System\wab32res.exe><N/A>
进程中
[PID: 1396][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\cmdbcs.dll] [N/A, ]
[C:\Documents and Settings\用户名\Local Settings\Temp\LgSy0.dll] [N/A, ]
[C:\Documents and Settings\用户名\Local Settings\Temp\Rav20.dll] [N/A, ]
[C:\Documents and Settings\用户名\Local Settings\Temp\Kavs0.dll] [N/A, ]
[C:\Documents and Settings\用户名\Local Settings\Temp\Msxo0.dll] [N/A, ]
清除步骤如下:
1.清除木马群(此时不要打开其他磁盘分区点那些被感染的exe文件)
安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)
启动项目 注册表 删除如下项目
包括但不限于
<st8wq><C:\Documents and Settings\用户名\Local Settings\Temp\iexpl0re.exe> []
<iwssd497q><C:\Documents and Settings\用户名\Local Settings\Temp\crasos.exe> []
<j9mef8vhcj1dc><C:\Documents and Settings\用户名\Local Settings\Temp\1explore.exe> []
<jjj394srv69x><C:\Documents and Settings\用户名\Local Settings\Temp\Servera.exe> []
<uvu><C:\Documents and Settings\用户名\Local Settings\Temp\winlog0n.exe> []
<hygrl2><C:\Documents and Settings\用户名\Local Settings\Temp\rundl132.exe> []
(只要是在临时文件夹下的文件添加的启动都去掉)
<cmdbcs><C:\WINDOWS\cmdbcs.exe> []
(以及我所说那个木马群中所有涉及到的启动项目)
“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”,
选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:
TCP/IP Check / Hello Download
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
然后删除C:\Documents and Settings\用户名\Local Settings\Temp 下面所有文件(主要是扩展名为dll和exe的文件)
C:\WINDOWS\cmdbcs.exe
C:\WINDOWS\system32\cmdbcs.dll
C:\Program Files\Common Files\System\wab32res.exe
C:\Program Files\Common Files\System\directdb.exe
以及我所说那个木马群中所有涉及到的文件
2.修复hosts
还是使用sreng 系统修复 hosts文件 点击下面的重置 在弹出的窗口中点击是 然后点击保存
3.修复exe文件
安全模式下使用反病毒软件进行全盘扫描,清除被感染的exe
京公网安备 11010802021500号