科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道行为恶劣的U盘病毒Dago的分析

行为恶劣的U盘病毒Dago的分析

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

这是一个用VB编写的病毒,行为有点类似落雪,处理起来比较麻烦,没有下载行为,作者的目的似乎只是为了炫耀自己的技术

来源:论坛整理 2008年8月22日

关键字: 安全防范 病毒查杀 U盘病毒

  • 评论
  • 分享微博
  • 分享邮件
这是一个用VB编写的病毒,行为有点类似落雪,处理起来比较麻烦,没有下载行为,作者的目的似乎只是为了炫耀自己的技术

具体分析:

File: Nitip.exe
Size: 47616 bytes
File Version: 1.00
Modified: 2008年2月28日, 12:04:14
MD5: A1E036A64AFDD8F89B434CC03F418867
SHA1: 553DDACA9B5CEEF95EA4D265D35069C3459BA4EC
CRC32: 386A5FAD

1.病毒伪装成文件夹图案诱使用户点击
运行后,衍生如下文件或者副本:
C:\Documents and Settings\用户名\Local Settings\Application Data\WINDOWS\CSRSS.EXE
C:\Documents and Settings\用户名\Local Settings\Application Data\WINDOWS\LSASS.EXE
C:\Documents and Settings\用户名\Local Settings\Application Data\WINDOWS\SERVICES.EXE
C:\Documents and Settings\用户名\Local Settings\Application Data\WINDOWS\SMSS.EXE
C:\Documents and Settings\用户名\Local Settings\Application Data\WINDOWS\WINLOGON.EXE
C:\Documents and Settings\用户名*****.exe(*****代表随机字符)
C:\dago\****.exe(****代表随机字符)
C:\***** 用户名.exe(*****代表随机字符)
C:\WINDOWS.exe
C:\WINDOWS\system32\\Media\Windows.cmd
C:\WINDOWS\User\.exe
C:\WINDOWS\system\server.exe
C:\WINDOWS\Dago\Dago.exe
各个分区下面生成一个Dago的文件夹和一个***** 用户名.exe(*****代表随机字符)生成的病毒体

2.试图删除下面目录中的文件
C:\Progra~1\AntiViralToolkitPro\*.*
C:\Norman\*.*
C:\Progra~1\Norman\*.*
C:\Progra~1\Mcafee\McafeeVirusScan\*.*
C:\Progra~1\NortonAntiVirus\*.*
C:\Progra~1\NetworkAssociates\Virusscan\*.*
C:\Progra~1\NetworkAssociates\Virusscan\*.*
C:\windows\system32\gpedit.msc
C:\Program Files\Kaspersky Lab\KasperskyAnti-VirusPersonal Pro\*.*
C:\Program Files\Kaspersky Lab\KasperskyAnti-VirusPersonal\*.*

3.添加映像劫持项目
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe
劫持到

4.操作注册表,禁用注册表编辑器,任务管理器,cmd等常用工具,并隐藏“文件夹选项”,隐藏文件扩展名
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\DisableTaskMgr: 0x00000001
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\DisableRegistryTools: 0x00000001
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoFolderOptions: 0x00000001
HKU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableCMD: 0x00000001
HKU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt: 0x00000001
之前释放了C:\WINDOWS.exe,而且把真正的C:\WINDOWS目录隐藏了,用户则很容易会点击伪装的Windows文件夹(病毒文件)

5.修改C:\windows\system32\Oeminfo.ini修改电脑的OEM信息
并写入如下字样:
Your computer has been infected with Dago
www.geocities.com/evanta44/
buat ta tau!!!


6.修改IE主页为www.geocities.com/evanta44/,以及IE浏览器的标题为Dago Dago Dago
HKU\Software\Microsoft\Internet Explorer\Main\Start Page: "www.geocities.com/evanta44/"
HKU\Software\Microsoft\Internet Explorer\Main\Window Title: "Dago Dago Dago Dago"

7.更改C:\WINDOWS的目录属性为隐藏

8.查找类名为#32770的窗口并通过查找窗口名称关闭某些软件,例如
HijackThis-v1.99.1
Windows Task Manager(任务管理器)

9.利用多种方式实现开机启动
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <SQL><C:\WINDOWS\system\server.exe> []
    <User><C:\WINDOWS\User\.exe> []
    <Winlogon><C:\Documents and Settings\用户名\Local Settings\Application Data\WINDOWS\WINLOGON.EXE> []
    <Services用户名><C:\Documents and Settings\用户名\Local Settings\Application Data\WINDOWS\SERVICES.EXE> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <用户名 di Dago><C:\WINDOWS\Dago\Dago.exe> []
    <CueX44><C:\WINDOWS\Dago\Dago.exe> []
    <Csrss><C:\Documents and Settings\用户名\Local Settings\Application Data\WINDOWS\CSRSS.EXE> []
    <Lsass><C:\Documents and Settings\用户名\Local Settings\Application Data\WINDOWS\LSASS.EXE> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><Explorer.exe "C:\WINDOWS\system32\\config\systemprofile\Local Settings\Application Data\tic.exe"> [N/A]
    <Userinit><C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\\Media\Windows.cmd> [N/A]

10.修改默认的屏幕保护程序为C:\WINDOWS\system32\evanta44.SCR(病毒文件)
[HKEY_CURRENT_USER\Control Panel\Desktop]
<SCRNSAVE.EXE><C:\WINDOWS\system32\evanta44.SCR> [N/A](随机文件名)

解决方法
下载sreng:http://www.skycn.com/soft/23312.html#download
Icesword:http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip

1.在桌面上单击鼠标右键-属性-屏幕保护程序,记住默认的屏幕保护程序的名字,本例中为evanta44


解压Icesword到一个文件夹,运行Icesword.exe
结束如下进程
C:\WINDOWS\system32\evanta44.SCR(由刚才记住的屏保程序名称为准)
C:\WINDOWS\system\server.exe
C:\WINDOWS\User\.exe
C:\Documents and Settings\用户名\Local Settings\Application Data\WINDOWS\WINLOGON.EXE
C:\Documents and Settings\用户名\Local Settings\Application Data\WINDOWS\SERVICES.EXE
C:\WINDOWS\Dago\Dago.exe
C:\Documents and Settings\用户名\Local Settings\Application Data\WINDOWS\CSRSS.EXE
C:\Documents and Settings\用户名\Local Settings\Application Data\WINDOWS\LSASS.EXE
C:\WINDOWS\system32\\config\systemprofile\Local Settings\Application Data\tic.exe
C:\WINDOWS\system32\\Media\Windows.cmd
或者查找所有图标为文件夹样子的进程,依次结束即可


打开我的电脑,点击菜单栏下方的“搜索”按钮
并设定如下限制条件:
1.指定大小 至多48KB
2.文件类型 应用程序
3.勾选 搜索隐藏的文件和文件夹



把搜索到的文件按照大小排列 找到所有图标为文件夹的文件 依次删除
最后注意删除各个分区下面的Dago文件夹和***** 用户名.exe(*****代表随机字符)


2.打开sreng
启动项目 注册表 删除如下项目(假设系统盘在C盘)
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <SQL><C:\WINDOWS\system\server.exe> []
    <User><C:\WINDOWS\User\.exe> []
    <Winlogon><C:\Documents and Settings\用户名\Local Settings\Application Data\WINDOWS\WINLOGON.EXE> []
    <Services用户名><C:\Documents and Settings\用户名\Local Settings\Application Data\WINDOWS\SERVICES.EXE> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <用户名 di Dago><C:\WINDOWS\Dago\Dago.exe> []
    <CueX44><C:\WINDOWS\Dago\Dago.exe> []
    <Csrss><C:\Documents and Settings\用户名\Local Settings\Application Data\WINDOWS\CSRSS.EXE> []
    <Lsass><C:\Documents and Settings\用户名\Local Settings\Application Data\WINDOWS\LSASS.EXE> []
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon下的
shell值改为Explorer.exe
Userinit值改为C:\WINDOWS\system32\userinit.exe,
删除所有IFEO项目
系统修复-Windows Shell/IE 全选 点击修复按钮
    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章