IO.pif新变种分析及查杀方案

　　Size: 19456 bytes

　　MD5: 90C509FA6A6C2FA798DBE1CFD7F0E4F1

　　SHA1: DBF721F48369CFBB2B88D0F5D707924A7FE185EC

　　CRC32: 9822E714

　　生成如下文件：

　　在每个分区下面生成一个autorun.inf和IO.pif

　　达到通过U盘等移动存储传播的目的

　　调用Cmd利用net stop命令停止以下服务

　　结束如下进程

　　顺序查找以下注册表键值

　　以分别获得网际快车，迅雷，MSN，IE，QQ的安装路径

　　如果查找到了那么即启动相应的文件

　　(查找方式为顺序查找，如果查找到安装了网际快车，则启动网际快车，不再往下查找)

　　启动相应的文件以后把自身注入到该进程空间之中，连接网络，下载木马。

　　http://*.cn/hz/1.exe~http://*.cn/hz/20.exe

　　到%Program Files%\Internet Explorer\PLUGINS下面

　　命名为随机8位字母和数字组合。

　　木马植入完毕以后主要生成如下文件(包括但不限于)

　　以及以下这些随机7位字母组合文件名的一些盗号木马

　　下载的木马有禁止自动更新和微软的防火墙的作用

　　并且会把时间修改成2099年1月1日

　　sreng日志反映如下：

　　启动项目

　　注册表

　　[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]

        <w><%SystemRoot%\WinRaR.exe>      [N/A]
        <wm><%SystemRoot%\winlogor.exe>      []
        <wl><%SystemRoot%\intent.exe>      [N/A]
        <mm><%SystemRoot%\sourro.exe>      []
        <zx><%SystemRoot%\winadr.exe>      [N/A]
      [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
        <ravztmon><C:\Program Files\NetMeeting\ravztmon.exe>      []
        <avpms><C:\Program Files\NetMeeting\avpms.exe>      []
        <ravwdmon><C:\Program Files\NetMeeting\ravwdmon.exe>      []
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
        <{1E32FA58-3453-FA2D-BC49-F340348ACCE1}><C:\WINDOWS\system32\rsmyapm.dll>      []
        <{2C87A354-ABC3-DEDE-FF33-3213FD7447C2}><C:\WINDOWS\system32\kvdxbma.dll>      []
        <{3D47B341-43DF-4563-753F-345FFA3157D3}><C:\WINDOWS\system32\kvmxcma.dll>      []
        <{1960356A-458E-DE24-BD50-268F589A56A1}><C:\WINDOWS\system32\avwlamn.dll>      []
        <{12FAACDE-34DA-CCD4-AB4D-DA34485A3421}><C:\WINDOWS\system32\rsjzapm.dll>      []
        <{1859245F-345D-BC13-AC4F-145D47DA34F1}><C:\WINDOWS\system32\avzxamn.dll>      []
        <{37D81718-1314-5200-2597-587901018073}><C:\WINDOWS\system32\kaqhczy.dll>      []

      ==================================
      正在运行的进程
      [PID: *][C:\WINDOWS\Explorer.EXE]  
        [C:\WINDOWS\system32\avwlamn.dll]      [N/A, ]
        [C:\WINDOWS\system32\rsmyapm.dll]      [N/A, ]
        [C:\WINDOWS\system32\kvdxbma.dll]      [N/A, ]
        [C:\WINDOWS\system32\kvmxcma.dll]      [N/A, ]
        [C:\WINDOWS\system32\rsjzapm.dll]      [N/A, ]
        [C:\WINDOWS\system32\avzxamn.dll]      [N/A, ]

 [C:\WINDOWS\system32\kaqhczy.dll]      [N/A, ]
        [C:\Program Files\NetMeeting\ravztmon.dat]      [N/A, ]
        [C:\Program Files\NetMeeting\avpms.dat]      [N/A, ]
        [C:\Program Files\NetMeeting\ravwdmon.dat]      [N/A, ]
        [C:\WINDOWS\ifc222.dll]      [N/A, ]
        [C:\WINDOWS\qiji.dll]      [N/A, ]

        清除办法：
        一、清除病毒主程序：

        首先把系统时间改正确
        下载Sreng（http://download.kztechs.com/files/sreng2.zip）
        重启计算机进入安全模式

        双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定。右键点击C盘（系统盘） 点击右键菜单中的“打开” 打开磁盘删除C:\Io.pif

      C:\autorun.inf
      %Program Files%\Common Files\Services\svchost.exe
      %system32%\DirectX10.dll
      同样右键点击其他盘 点击右键菜单中的“打开” 打开磁盘
      删除Io.pif和autorun.inf

      二、清除下载的木马
      1.还是在安全模式下
      开sreng
      启动项目      注册表 删除如下项目
      [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
        <w><%SystemRoot%\WinRaR.exe>      [N/A]
        <wm><%SystemRoot%\winlogor.exe>      []
        <wl><%SystemRoot%\intent.exe>      [N/A]
        <mm><%SystemRoot%\sourro.exe>      []
        <zx><%SystemRoot%\winadr.exe>      [N/A]
      [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
        <ravztmon><C:\Program Files\NetMeeting\ravztmon.exe>      []
        <avpms><C:\Program Files\NetMeeting\avpms.exe>      []
        <ravwdmon><C:\Program Files\NetMeeting\ravwdmon.exe>      []
      双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示

      确定更改时，单击“是” 然后确定
      删除如下文件

      %Program Files%\Internet Explorer\PLUGINS\SysWin64.Jmp
      %Program Files%\Internet Explorer\PLUGINS\WinSys64.Sys
      %Program Files%\NetMeeting\avpms.dat
      %Program Files%\NetMeeting\avpms.exe
      %Program Files%\NetMeeting\rav*mon.dat（*为随机两位字母）
      %Program Files%\NetMeeting\rav*mon.exe（*为随机两位字母）
      %systemroot%\ifc222.dll
      %systemroot%\qiji.dll
      %systemroot%\rx.dll
      %systemroot%\sourro.exe
      %systemroot%\winlogor.exe
      %systemroot%\Winnt.exe
      %SystemRoot%\intent.exe

      2.清除随机7位的dll盗号木马（其实这些就是*pri.dll的变种，仍可以采用重命名方法清除）
      仍然是在安全模式下
      打开sreng 启动项目 注册表
      查看[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer \ShellExecuteHooks]下面的随机7位字母的dll文件，记住他们的名字，然后双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐 藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定。打开C:\windows\system32文件夹 单击上面的搜索按钮，更多高级选项中 要钩选 搜索隐藏的文件和文件夹，分别搜索你记下来的那些随机7位的dll。

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
        <{1E32FA58-3453-FA2D-BC49-F340348ACCE1}><C:\WINDOWS\system32\rsmyapm.dll>     
        <{2C87A354-ABC3-DEDE-FF33-3213FD7447C2}><C:\WINDOWS\system32\kvdxbma.dll>    
        <{3D47B341-43DF-4563-753F-345FFA3157D3}><C:\WINDOWS\system32\kvmxcma.dll>    
        <{1960356A-458E-DE24-BD50-268F589A56A1}><C:\WINDOWS\system32\avwlamn.dll>   
        <{12FAACDE-34DA-CCD4-AB4D-DA34485A3421}><C:\WINDOWS\system32\rsjzapm.dll>    
        <{1859245F-345D-BC13-AC4F-145D47DA34F1}><C:\WINDOWS\system32\avzxamn.dll>    
        <{37D81718-1314-5200-2597-587901018073}><C:\WINDOWS\system32\kaqhczy.dll>    
       双击AppInit_DLLs把器键值改为空

       并删除刚才重命名的那些dll文件

       注：%System32%是一个可变路径。
       Windows2000/NT中默认的安装路径是C:\Winnt\System32，windows95/98/me中默认的安装路径是C:\ Windows\System，windowsXP中默认的安装路径是 C:\Windows\System32。

       %SystemRoot%/          WINDODWS所在目录

       %ProgramFiles%\         系统程序默认安装目录