| 此病毒属于德夫(Worm.Delf)下载器的一个变种,之前有分析过他的另一个变种
具体分析:
生成如下文件:
C:\WINDOWS\system\logogo.exe
在每个分区下面生成setup.exe和autorun.inf
遍历非系统分区下面的*.exe文件 把文件名写入%systemroot%\win.log中
然后根据里面的记录感染exe文件 同时跳过感染如下名称的文件
CA.exe
NMCOSrv.exe
CONFIG.exe
Updater.exe
WE8.exe
settings.exe
PES5.exe
PES6.exe
zhengtu.exe
nettools.exe
laizi.exe
proxy.exe
Launcher.exe
WoW.exe
Repair.exe
BackgroundDownloader.exe
o2_unins_web.exe
O2Jam.exe
O2JamPatchClient.exe
O2ManiaDriverSelect.exe
OTwo.exe
sTwo.exe
GAME2.EXE
GAME3.EXE
Game4.exe
game.exe
hypwise.exe
Roadrash.exe
O2Mania.exe
Lobby_Setup.exe
CoralQQ.exe
QQ.exe
QQexternal.exe
BugReport.exe
tm.exe
ra2.exe
ra3.exe
ra4.exe
ra21006ch.exe
dzh.exe
Findbug.EXE
fb3.exe
Meteor.exe
mir.exe
KartRider.exe
NMService.exe
AdBalloonExt.exe
ztconfig.exe
patchupdate.exe |
被感染的文件被加入27034字节的内容 图表不变
被感染的文件运行后释放1_.ii文件 此文件即病毒体 运行病毒体后 删除0_.ii自身
注册表变化:
在HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run添加名为logogo的启动项,指向C:\WINDOWS\system\logogo.exe
在HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\下面添加NoAutoUpdate子键 并把其键值设置为0x00000001
禁止了微软的自动更新
病毒体内有字样:我恨卡巴
连接网络下载以下木马
http://qb.*.com/8888.exe
http://qb.*.com/9999.exe
http://qb.*.com/2222.exe
http://qb.*.com/10000.exe
http://qb.*.com/3333.exe
http://qb.*.com/4444.exe
http://qb.*.com/11000.exe
http://qb.*.com/5555.exe
http://qb.*.com/6666.exe
http://qb.*.com/7777.exe
http://qb.*.com/12000.exe
http://qb.*.com/13000.exe
http://qb.*.com/14000.exe
http://qb.*.com/15000.exe
http://qb.*.com/16000.exe
http://qb.*.com/17000.exe
http://qb.*.com/18000.exe
http://qb.*.com/19000.exe
http://qb.*.com/20000.exe
http://qb.*.com/21.exe
等到C:\WINDOWS\system文件夹下
木马运行完毕后
植入了如下文件
C:\Program Files\NetMeeting\ravmsmon.dat
C:\Program Files\NetMeeting\ravmsmon.exe
C:\WINDOWS\system32\*ins.exe(*代表随机3位字母)
C:\WINDOWS\system32\*pri.dll(*代表随机3位字母)
C:\WINDOWS\system32\*ini.dll(*代表随机3位字母)
C:\WINDOWS\system32\kvmxacf.dll
C:\WINDOWS\system32\kvmxbis.exe
C:\WINDOWS\system32\kvmxbma.dll
C:\WINDOWS\system32\mxbcfg.dll
C:\WINDOWS\system32\*man.dll(*代表随机3位字母)
C:\WINDOWS\system32\ntaskldr.exe
C:\WINDOWS\system32\WinForm.dll
C:\WINDOWS\WinForm.exe
...
sreng日志表现如下:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<logogo><C:\WINDOWS\system\logogo.exe> []
<WinForm><C:\WINDOWS\WinForm.exe> []
<ravmsmon><C:\Program Files\NetMeeting\ravmsmon.exe> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><jhbpri.dll> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{E1351752-5628-1547-FFAB-BADC13512AFE}><C:\WINDOWS\system32\ztaman.dll> []
<{352D2432-37A2-324F-2A54-21BF5CF2F1A3}><C:\WINDOWS\system32\jhbpri.dll> []
<{2231A43A-1642-641A-64FD-146ADAB223B2}><C:\WINDOWS\system32\mxbman.dll> []
手动清除办法:
一、清除病毒主程序
1.安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)
打开SREng2:下载http://www.motoyi.com/Down/Noted/200705/Down_28.shtml
启动项目 注册表 删除如下项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<logogo><C:\WINDOWS\system\logogo.exe> []
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定,右键点击C盘(系统盘) 点击右键菜单中的第二个“打开” 打开磁盘
删除C:\WINDOWS\system\logogo.exe,以及该文件夹下的2222.exe~9999.exe 10000.exe~20000.exe。删除系统盘根目录下的setup.exe autorun.inf。
右键右键点击其他盘 点击右键菜单中的第二个“打开” 打开磁盘,删除其他盘根目录下面的 setup.exe autorun.inf。
2.清除其下载的木马和病毒
参考之前的分析/AntiVirus/200709/AntiVirus_2907.shtml即可
3.修复受感染的exe文件
使用杀毒软件全盘杀毒,修复受感染的exe文件 |
您现在的位置: 