这是一个十足的以经济利益为最终目的的流氓软件下载器,病毒主要特征:1.下载流氓软件和恶意插件,2.进行浏览器劫持,3.具有自我更新功能,4.修改系统时间,5.随机文件名。
以下情况是本人测试所得,如需转帖,请注明作者(清新阳光)
和出处http://hi.baidu.com/newcenturysun/blog/item/99db1ed107b326d2572c84f8.html
谢谢!
这是一个十足的以经济利益为最终目的的流氓软件下载器 从病毒行为来看可以看出病毒的编写者完全是为了赚取黑心钱
病毒主要特征
1.下载流氓软件和恶意插件
2.进行浏览器劫持
3.具有自我更新功能
4.修改系统时间
5.随机文件名
病毒分析报告
File: ks8j3jsisd.exe
Size: 43353 bytes
Modified: 2004年6月1日, 19:31:52
MD5: 1D1D0F041027A1C0EEE2CD2A94612CC9
SHA1: EE61177BD9B1B559F12B26D0483359ED59A7F71F
CRC32: 34DE2378
运行后
创建服务
ks8j3jsisd
释放
C:\WINDOWS\system32\df33sdg.dll
C:\WINDOWS\system32\dgd4bs.exe
C:\WINDOWS\system32\kF11ug0J.dll
C:\WINDOWS\system32\ks8j3jsisd.exe
C:\WINDOWS\system32\df33sdg.dll插入winlogon进程
C:\WINDOWS\System32\ersvc.dll创建服务ERSvc
服务相关键值
HKLM\SYSTEM\ControlSet001\Services\ERSvc\Enum\0: "Root\LEGACY_ERSVC\0000"
HKLM\SYSTEM\ControlSet001\Services\ERSvc\Enum\Count: 0x00000001
HKLM\SYSTEM\ControlSet001\Services\ERSvc\Enum\NextInstance: 0x00000001
HKLM\SYSTEM\ControlSet001\Services\ERSvc\Security\Security: 01 00 14 80 90 00 00 00 9C 00 00 00 14 00
00 00 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00 00 00 00
02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 00 05 12 00 00 00 00 00 18 00 FF 01
0F 00 01 02 00 00 00 00 00 05 20 00 00 00 20 02 00 00 00 00 14 00 8D 01 02 00 01 01 00 00 00 00 00 05
0B 00 00 00 00 00 18 00 FD 01 02 00 01 02 00 00 00 00 00 05 20 00 00 00 23 02 00 00 01 01 00 00 00 00
00 05 12 00 00 00 01 01 00 00 00 00 00 05 12 00 00 00
HKLM\SYSTEM\ControlSet001\Services\ERSvc\Parameters\ServiceDll: "%SystemRoot%\System32\ersvc.dll"
HKLM\SYSTEM\ControlSet001\Services\ERSvc\DependOnService: 'RpcSs'
HKLM\SYSTEM\ControlSet001\Services\ERSvc\Description: "服务和应用程序在非标准环境下运行时允许错误报告
。"
HKLM\SYSTEM\ControlSet001\Services\ERSvc\DisplayName: "Error Reporting Service"
HKLM\SYSTEM\ControlSet001\Services\ERSvc\ErrorControl: 0x00000000
HKLM\SYSTEM\ControlSet001\Services\ERSvc\ImagePath: "%SystemRoot%\System32\svchost.exe -k netsvcs"
HKLM\SYSTEM\ControlSet001\Services\ERSvc\ObjectName: "LocalSystem"
HKLM\SYSTEM\ControlSet001\Services\ERSvc\Start: 0x00000002
HKLM\SYSTEM\ControlSet001\Services\ERSvc\Type: 0x00000020
监控IE
当用IE打开以下网址时
http://www.163.com
http://www.sina.com.cn
http://www.sohu.com
http://www.qq.com
http://www.yahoo.com
http://www.taobao.com
http://www.xunlei.com
http://www.tom.com
http://www.soso.com
http://www.mop.com
http://www.vnet.cn
http://www.cmfu.com
http://www.msn.com
http://www.sogou.com
http://www.17173.com
http://www.yahoo.com.cn
http://www.zhongsou.com
http://www.5show.com
http://www.google.com
http://caiyi8.com
http://magazine.zcom.com
自动弹出窗口显示h**p://u.x-push.net/dg/full3/index_mosa_vip_4156_uid__bid_.html
当用IE打开以下网址时
http://www.phoenixtv.com
http://www.126.com
http://www.chinaren.com
http://www.eastmoney.com
http://www.pconline.com.cn
http://www.263.com
http://www.51.com
http://www.paipai.com
http://www.chinamobile.com
http://www.hexun.com
http://www.265.com
http://www.4399.com
http://www.soufun.com
http://www.chinahr.com
http://www.bokee.com
自动弹出窗口显示h**p://www.cneqiso.com
在使用IE打开任意网页时 添加窗口广告
指向h**p://yahoo.mmtietu.net/index.htm
和h**p://www.kuailao.com/images/jgl.gif
改变系统日期 把年份往前调 月 日 不变
由winlogon控制explorer连接网络60.12.164.91:80 首先下载h**p://www.xxxxlao.com/ala//jdupdate.txt读取配
置文件
然后检验主程序ks8j3jsisd.exe(随机字母数字组合的)是否为最新版本 如果不是则下载
h**p://union.xxxxlao.com/download/alading.exe更新自身
设置h**p://ant.sina.union123.com/indax.html为IE主页
在IE收藏夹中添加:
最新图铃下载
h**p://u.7town.com/Pub/mms/1855/index.html?uid=19612&a=&b=&c=&d=&e=&f=
实用网址之家
h**p://www.guge999.com
手机图铃下载
h**p://img.zhangxiu.com/2/394.html?f=11804
在桌面上建立一个名为的Internet Explorer的快捷方式指向
h**p://ant.sina.union123.com/indax.html
下载h**p://union.xxxxlao.com/download/soft229.exe
h**p://union.xxxxlao.com/download/cnnic.exe
h**p://ala.xxxxso.com/tttt.exe
到系统文件夹
分别命名为ccctvv1.exe~ccctvv3.exe
ccctvv2.exe为中文上网插件
ccctvv3.exe释放setup.exe和ie020.exe这两个实质上是ie222公司出的流氓软件
木马和流氓软件都植入完毕后的sreng日志如下
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<IdnSvr><C:\Program Files\OCINS\idnsvr.exe> [(Verified)China Internet Network Information
Center]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><Explorer.exe netexe.exe> []
服务
[ks8j3jsisd / ks8j3jsisd][Stopped/Auto Start]
<C:\WINDOWS\system32\ks8j3jsisd.exe -j><Microsoft Corporation>
[Error Reporting Service / ERSvc][Running/Auto Start]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\ersvc.dll><N/A>
驱动
[cnprov / cnprov][Running/Boot Start]
<\SystemRoot\system32\drivers\cnprov.sys><中国互联网络信息中心(CNNIC)>
[idnaux / idnaux][Running/Auto Start]
<system32\drivers\idnaux.sys><中国互联网络信息中心(CNNIC)>
浏览器加载项
[IEAux Class]
{7605CC7C-00FD-4A5F-BAFD-828342DE6279} <C:\PROGRA~1\OCINS\ieaux.dll, 中国互联网络信息中心(CNNIC)>
[TBSB04805 Class]
{FA91DE7A-D85F-4F35-8204-4D7C957A154B} <C:\Program Files\工具栏(T)\UUPlayer.dll, >
[工具栏(T)]
{42A2F05F-E171-4CEF-852F-02475F698C24} <C:\Program Files\工具栏(T)\UUPlayer.dll, >
[中文上网]
{B012491E-8FA4-4851-AA9B-22E33784FBAD} <C:\Program Files\OCINS\config.exe, 中国互联网络信息中心
(CNNIC)>
[工具栏(T)]
{42A2F05F-E171-4CEF-852F-02475F698C24} <C:\Program Files\工具栏(T)\UUPlayer.dll, >
[工具栏(T)]
{42A2F05F-E171-4CEF-852F-02475F698C24} <C:\Program Files\工具栏(T)\UUPlayer.dll, >
[IEAux Class]
{7605CC7C-00FD-4A5F-BAFD-828342DE6279} <C:\PROGRA~1\OCINS\ieaux.dll, 中国互联网络信息中心(CNNIC)>
[TBSB04805 Class]
{FA91DE7A-D85F-4F35-8204-4D7C957A154B} <C:\Program Files\工具栏(T)\UUPlayer.dll, >
[&访问通用网址]
<C:\Program Files\OCINS\cnrbtn.html, N/A>
被安装了中文上网插件和搜索栏工具条
解决方法:
由于安装了中文上网插件和搜索栏工具条
我们需要使用一些流氓软件清理的工具进行清理
因为对一些流氓软件来讲释放的文件多 添加的注册表项也多 很难像病毒那样手动清理干净
1.清理木马
安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)
首先把系统日期调回来
然后打开sreng
“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”,
选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:
ks8j3jsisd / ks8j3jsisd
Error Reporting Service / ERSvc
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件
(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
打开任务管理器 (Ctrl+alt+del)
结束Explorer进程
单击 任务管理器 菜单栏 文件 浏览 找到
C:\WINDOWS\system32\df33sdg.dll
C:\WINDOWS\system32\dgd4bs.exe
C:\WINDOWS\system32\idnreg.dll
C:\WINDOWS\system32\kF11ug0J.dll
C:\WINDOWS\system32\ks8j3jsisd.exe
C:\WINDOWS\system32\netexe.exe
C:\WINDOWS\system32\netjsp.dll
C:\WINDOWS\system32\sddftj.dat
C:\WINDOWS\system32\YQGWOFVMDTKAQHX.DLL
C:\WINDOWS\System32\ersvc.dll
C:\WINDOWS\system32\ccctvv1.exe~ccctvv3.exe
右键删除他们
再次打开打开sreng
启动项目 注册表
双击shell 把其键值改为Explorer.exe
清理IE收藏夹 以及桌面上被添加的Internet Explorer的快捷方式
2.清理流氓软件
经过测试 金山新出的
金山毒霸清理专家2.0 可以完全清理被安装的流氓软件和恶意插件(非广告,而是测试而得)
360安全卫士 由于安装了中文上网的原因 无法运行
卡卡上网安全助手不能完全清除中文上网的驱动
点击金山毒霸清理专家2.0的恶意软件查杀 全选 清除选定项 重启即可
京公网安备 11010802021500号