auto.exe病毒分析

SHA-160        : 79462300E3B85583FC87CBB56936719B6CC0616E
MD5               : C8C1710C47B42258023F620D0C047F36
RIPEMD-160     : 12F704DDE477151503ED35290AF1DA05C53E3593
HAVAL-3-128 : ECD9D1037E743CBCD2796996A25F14FF
CRC-32             : 0F6AC47C

2.病毒类型: 木马程序 Backdoor.Win32.Agent.ahj (卡巴斯基)

3.分析工具: SSM (附部分日志)

进程：
       路径： C:\Documents and Settings\Administrator\桌面\auto.exe
       PID: 1060
       信息：      (Microsoft Corporation)
注册表群组： Services
对象：
       注册表键： HKLM\SYSTEM\CurrentControlSet\Services\5A36FBC1
       注册表值： Description
          类型: REG_SZ
          值： 6394B135

-------------------------------------------------------------------------------------------------

父级进程：
       路径： C:\WINDOWS\system32\services.exe
       PID: 644
       信息： Services and Controller app (Microsoft Corporation)
子级进程：
       路径： C:\WINDOWS\system32\8D159B5D.EXE
       信息：      (Microsoft Corporation)
       命令行：C:\windows\system32\8D159B5D.EXE -k
-------------------------------------------------------------------------------------------------

进程：
       路径： C:\WINDOWS\system32\8D159B5D.EXE
       PID: 4048
       信息：      (Microsoft Corporation)
对象：
       路径： C:\WINDOWS\system32\winlogon.exe
       信息： Windows NT Logon Application (Microsoft Corporation)
此项允许程序执行其代码于另一程序上（DLL注入）。

4.病毒行为:

4.1 注册表

添加服务: 5A36FBC1 (随机8位字母和数字组合)
文件:            %systemroot%\system32\8d159b5d.exe (随机8位字母和数字组合)

4.2 病毒相关文件

%systemroot%\system32\6394B135.DLL      (随机8位字母和数字组合)
DLL注入系统和用户所有进程.
%systemroot%\system32\8d159b5d.exe      (随机8位字母和数字组合) (作为服务调用)
x:\auto.exe
x:\autorun.inf

附录:
c8c1710c47b42258023f620d0c047f36      8d159b5d.exe
c8c1710c47b42258023f620d0c047f36      auto.exe

4.3 下载木马:读取 http://count.fuckunion.com/cnzz//update.txt下载木马

5.病毒清除方法:

首先要断开Internet网络

1.使用 SREng / autoruns删除病毒添加的服务,手动删除服务所指向的随机8位字母和数字组合病毒文件

2.删除各分区下auto.exe和autorun.inf

3.使用xdelbox或者Wsyscheck DOS级别删除病毒DLL文件

(或者删除病毒添加的服务后进安全模式删除)      killbox未测试

清除下载的木马:(推荐使用工具)

下载windows清理助手清理恶意软件
http://www.arswp.com

使用SREng分析和处理。