科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道断电法搞掂一群病毒update.exe

断电法搞掂一群病毒update.exe

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

运行update.exe后,一堆病毒(包括“威金”)进入系统。然而,这堆病毒中最难缠的还不是威金,而是C:\windows\system32\RAVWM624.dll和C:\windows\system32\SvTime.dll。

作者:zdnet安全频道 来源:论坛整理 2008年6月3日

关键字: 病毒 update.exe

  • 评论
  • 分享微博
  • 分享邮件
运行update.exe后,一堆病毒(包括“威金”)进入系统。
然而,这堆病毒中最难缠的还不是威金,而是C:\windows\system32\RAVWM624.dll和C:\windows\system32\SvTime.dll。
前者插入lsass.exe进程;后者具有不易察觉的注册表回写功能。

中毒后,SRENG日志可见下列异常启动项、服务项:
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <TIMHost><C:\windows\TIMHost.exe>  [N/A]
    <cmdbcs><C:\windows\cmdbcs.exe>  [N/A]
    <load><C:\windows\uninstall\rundl132.exe>  []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <MSDEG32><LYLoader.exe>  [N/A]
    <MSDWG32><LYLoadbr.exe>  [N/A]
    <MSDCG32    ><LYLeador.exe>  [N/A]
    <MSDOG32><LYLoador.exe>  [N/A]
    <MSDSG32><LYLoadar.exe>  [N/A]
    <MSDMG32><LYLoadmr.exe>  [N/A]
    <MSDHG32><LYLoadhr.exe>  [N/A]
    <MSDQG32><LYLoadqr.exe>  [N/A]
    <RavMonWm><C:\DOCUME~1\baohelin\LOCALS~1\Temp\RAVWM.EXE>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{88A46432-969E-4F5E-913D-3AAF4B6A3051}><C:\windows\system32\SvTime.dll>  [N/A]
    <{754FB7D8-B8FE-4810-B363-A788CD060F1F}><C:\Program Files\Internet Explorer\PLUGINS\System64.Sys>  [N/A]
服务
[Telephonyl / WindowsDown][Stopped/Auto Start]
  <C:\windows\system32\sservet.exe><N/A>
[Windows DHCP Service / WinDHCPsvc][Stopped/Auto Start]
  <C:\windows\system32\rundll32.exe windhcp.ocx,input><Microsoft Corporation>

依往常手工杀毒的经验:删除上述启动项、服务项。重启系统后,删除病毒文件即可搞掂。
然而,这次不行!
按上述思路,重启后,多数病毒文件都能顺利删除,但是图1、图2红框中的那几个病毒dll文件不能删除。
用autoruns再次查看启动项,发现:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{88A46432-969E-4F5E-913D-3AAF4B6A3051}><C:\windows\system32\SvTime.dll>  [N/A]
这个启动项依然存在!
再查看explorer.exe以及杀软的进程模块,下列病毒模块依然存在其中:
C:\windows\system32\zerwx.dll
C:\windows\system32\wkufd.dll
C:\windows\system32\wkjbj.dll
C:\windows\system32\hjtdx.dll
C:\windows\system32\whgdm.dll
C:\windows\system32\wgfdl.dll

回头复习SRENG日志的进程部分,发现下列规律:
[PID: 1012][C:\windows\system32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\windows\system32\zerwx.dll]  [N/A, N/A]
    [C:\windows\system32\wkufd.dll]  [N/A, N/A]
    [C:\windows\system32\wkjbj.dll]  [N/A, N/A]
    [C:\windows\system32\hjtdx.dll]  [N/A, N/A]
    [C:\windows\system32\whgdm.dll]  [N/A, N/A]
    [C:\windows\system32\wgfdl.dll]  [N/A, N/A]
[PID: 612][C:\windows\Explorer.EXE]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]   
    [C:\windows\system32\GetsFiles.dll]  [N/A, N/A]
    [C:\windows\system32\wgfdl.dll]  [N/A, N/A]
    [C:\windows\system32\whgdm.dll]  [N/A, N/A]
    [C:\windows\system32\hjtdx.dll]  [N/A, N/A]
    [C:\windows\system32\wkjbj.dll]  [N/A, N/A]
    [C:\windows\system32\wkufd.dll]  [N/A, N/A]
    [C:\windows\system32\zerwx.dll]  [N/A, N/A]  
[PID: 1404][C:\Program Files\Rising\Rav\RavTask.exe]  [Beijing Rising Technology Co., Ltd., 19, 0, 0, 7]
    [C:\windows\system32\zerwx.dll]  [N/A, N/A]
    [C:\windows\system32\wkufd.dll]  [N/A, N/A]
    [C:\windows\system32\wkjbj.dll]  [N/A, N/A]
    [C:\windows\system32\hjtdx.dll]  [N/A, N/A]
    [C:\windows\system32\whgdm.dll]  [N/A, N/A]
    [C:\windows\system32\wgfdl.dll]  [N/A, N/A]
[PID: 1388][C:\windows\system32\ctfmon.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\windows\system32\zerwx.dll]  [N/A, N/A]
    [C:\windows\system32\wkufd.dll]  [N/A, N/A]
    [C:\windows\system32\wkjbj.dll]  [N/A, N/A]
    [C:\windows\system32\hjtdx.dll]  [N/A, N/A]
    [C:\windows\system32\whgdm.dll]  [N/A, N/A]
    [C:\windows\system32\wgfdl.dll]  [N/A, N/A]
[PID: 2024][C:\Program Files\Tiny Firewall Pro\amon.exe]  [Computer Associates International, Inc., 6.5.3.2]
    [C:\windows\system32\wgfdl.dll]  [N/A, N/A]
    [C:\windows\system32\whgdm.dll]  [N/A, N/A]
    [C:\windows\system32\hjtdx.dll]  [N/A, N/A]
    [C:\windows\system32\wkjbj.dll]  [N/A, N/A]
    [C:\windows\system32\wkufd.dll]  [N/A, N/A]
    [C:\windows\system32\zerwx.dll]  [N/A, N/A]
[PID: 2236][C:\Program Files\Rising\Rav\Ravmon.exe]  [Beijing Rising Technology Co., Ltd., 19, 0, 0, 45]
    [C:\windows\system32\whgdm.dll]  [N/A, N/A]
    [C:\windows\system32\wgfdl.dll]  [N/A, N/A]
    [C:\windows\system32\wkufd.dll]  [N/A, N/A]
    [C:\windows\system32\wkjbj.dll]  [N/A, N/A]
    [C:\windows\system32\hjtdx.dll]  [N/A, N/A]
    [C:\windows\system32\zerwx.dll]  [N/A, N/A]
[PID: 2660][C:\Program Files\Tiny Firewall Pro\cfgtool.exe]  [Computer Associates International, Inc., 6.0.0.52]   
    [C:\windows\system32\whgdm.dll]  [N/A, N/A]
    [C:\windows\system32\wgfdl.dll]  [N/A, N/A]
    [C:\windows\system32\hjtdx.dll]  [N/A, N/A]
    [C:\windows\system32\wkjbj.dll]  [N/A, N/A]
    [C:\windows\system32\wkufd.dll]  [N/A, N/A]
    [C:\windows\system32\zerwx.dll]  [N/A, N/A]
[PID: 2620][C:\Program Files\SREng2\SREng.exe]  [Smallfrogs Studio, 2.3.13.690]   
    [C:\windows\system32\zerwx.dll]  [N/A, N/A]
    [C:\windows\system32\wkufd.dll]  [N/A, N/A]
    [C:\windows\system32\wkjbj.dll]  [N/A, N/A]
    [C:\windows\system32\hjtdx.dll]  [N/A, N/A]
    [C:\windows\system32\whgdm.dll]  [N/A, N/A]
    [C:\windows\system32\wgfdl.dll]  [N/A, N/A]
[PID: 3968][C:\windows\system32\conime.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]   
    [C:\windows\system32\zerwx.dll]  [N/A, N/A]
    [C:\windows\system32\wkufd.dll]  [N/A, N/A]
    [C:\windows\system32\wkjbj.dll]  [N/A, N/A]
    [C:\windows\system32\hjtdx.dll]  [N/A, N/A]
    [C:\windows\system32\whgdm.dll]  [N/A, N/A]
    [C:\windows\system32\wgfdl.dll]  [N/A, N/A]
[PID: 2188][C:\Program Files\Tiny Firewall Pro\UmxTray.exe]  [Computer Associates International, Inc., 6.5.1.59]
    [C:\windows\system32\zerwx.dll]  [N/A, N/A]
    [C:\windows\system32\wkufd.dll]  [N/A, N/A]
    [C:\windows\system32\wkjbj.dll]  [N/A, N/A]
    [C:\windows\system32\hjtdx.dll]  [N/A, N/A]
    [C:\windows\system32\whgdm.dll]  [N/A, N/A]
    [C:\windows\system32\wgfdl.dll]  [N/A, N/A]
   

由上述进程日志猜想,C:\windows\system32\SvTime.dll的启动项的恢复很可能是下述病毒模块之一在关机前重新写入的:
C:\windows\system32\GetsFiles.dll
C:\windows\system32\zerwx.dll
C:\windows\system32\wkufd.dll
C:\windows\system32\wkjbj.dll
C:\windows\system32\hjtdx.dll
C:\windows\system32\whgdm.dll
C:\windows\system32\wgfdl.dll
于是,再次用autoruns删除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{88A46432-969E-4F5E-913D-3AAF4B6A3051}><C:\windows\system32\SvTime.dll>  [N/A]
然后,立即切断计算机电源。
再次开机。
一一删除剩余的dll,搞掂!

当然,那些被“威金”感染的应用程序(.exe)还需用杀软清除其中的病毒成分。瑞星最新病毒库可以完成这个任务。
    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章