运行病毒样本
释放:
以下是代码片段:
%Systemroot%\system32\DocProp1.dll 20992 字节
%Systemroot%\system32\msv1_1.dll 7680 字节
%Systemroot%\system32\servers.ini 138 字节 |
创建注册表:
以下是代码片段:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\msv1_1]
"Asynchronous"=dword:00000000
"DllName"=hex(2):6d,00,73,00,76,00,31,00,5f,00,31,00,2e,00,64,00,6c,00,6c,00,\
00,00
"Impersonate"=dword:00000000
"Logon"="fnopendll" |
其中msv1_1.dll插入Winlogon.exe(核心)进程。并隔一段时间利用IE调用dw15 -x -s 连接外部(实现反弹连接)
应该是下载一些乱七八糟的东东,不过测试时并未实现。
SSM的日志:
以下是代码片段:
Parent process:
Path: C:\program files\Internet Explorer\IEXPLORE.EXE
PID: 1524
Information: Internet Explorer (Microsoft Corporation)
Child process:
Path: C:\program files\Internet Explorer\DW15.EXE
Information: Microsoft Application Error Reporting (Microsoft Corporation)
Command line:dw15 -x -s 600 |
并每隔60秒调用regsvr32.exe注册serverhelp.dll(%Systemroot%\system32\下的),测试并未发现生成。
好像还遍历生成了Autorun.inf和icvas.exe(未验证)。
解决方法:
IceSword120_cn:http://www.motoyi.com/Down/Noted/200704/Down_10.shtml
PowerRmv:http://www.motoyi.com/Down/Specialized/200706/Down_69.shtml
SREng:http://www.motoyi.com/Down/Noted/200705/Down_28.shtml
下载后直接放桌面。关闭不必要的进程,断开网络。
方法一:
1、运行冰刃(即IceSword1),文件—设置—禁止进线程创建-确定。有看到IE进程的话全部结束掉。
2、打开冰刃文件功能,展开到C:\Windows\system32\下(如果是2K、ME系统的话是
C:\Winnt\system32\)删除:
DocProp1.dll msv1_1.dll servers.ini
3、用冰刃的注册表功能,展开到:
KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\下
把msv1_1这整个项删除,切记不要看错了。
4、如果在分区下有看到Autorun.inf和icvas.exe的话删除掉。(没有则忽略)
5、冰刃—重启并监视—确定。
6、重启完后打开SREng如果有看到msv1_1项不要删除,编辑置空(没有的话忽略)
方法二:
打开PowerRMV,填入:
以下是代码片段:
C:\windows\system32\DocProp1.dll
C:\windows\system32\msv1_1.dll
C:\windows\system32\servers.ini |
如果是是2K、ME系统的话是把C:\windows\路径改成:C:\Winnt\system32\
开始—运行—输入“regedit”,打开注册表。展开到:
KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\下
把msv1_1这整个项删除,切记不要看错了(不能删除的话,用冰刃的注册表功能)
打开SREng,有看到msv1_1项不要删除,编辑置空(没有的话忽略) |
您现在的位置: 