“文件夹病毒 VB版”分析与其解决方案 by smallyou93[LSG]
本帖最后由 是昔流芳 于 2011-2-11 14:51 编辑样本:http://bbs.52pojie.cn/thread-20649-1-1.html
MD5:4F8B1D574CE34351858CCB2CA707CDE9
创建文件
%SystemRoot%\system32\dllcache\tskmgr.exe(正常文件,MD5与taskmgr.exe无异)
创建目录(可能是随机名)
%SystemRoot%\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}
复制自身
%SystemRoot%\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\svchost.exe
%SystemRoot%\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\Global.exe
%SystemRoot%\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\system.exe
%SystemRoot%\system32\dllcache\Global.exe
%SystemRoot%\system32\dllcache\Default.exe
%SystemRoot%\system32\dllcache\autorun.inf
%SystemRoot%\system32\drivers\drivers.cab.exe
%SystemRoot%\system32\regedit.exe
%SystemRoot%\Fonts\Fonts.exe
%SystemRoot%\Fonts\tskmgr.exe
%SystemRoot%\pchealth\Global.exe
%SystemRoot%\system\KEYBOARD.exe
%SystemRoot%\Help\microsoft.hlp
%SystemRoot%\Media\rndll32.pif
%SystemRoot%\pchealth\helpctr\binaries\HelpHost.com
?:\MS-DOS.com
覆盖正常文件,MD5与源程序相同
%SystemRoot%\system32\dllcache\svchost.exe
创建文件,内容一样
%SystemRoot%\Cursors\Boom.vbs
%SystemRoot%\Boom.vbs
创建autorun
?:\MS-DOS.com
?:\autorun.inf
Open=MS-DOS.com
Shellexecute=MS-DOS.com
Shell\Open\command=MS-DOS.com
Shell\Explore\command=MS-DOS.com
创建注册表键值
HKEY_CURRENT_USER\Software\VB and VBA Program Settings
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\Scripts
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System\Scripts
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\\DisableStatusMessages
替换当前桌面屏幕保护程序,指向病毒
"SCRNSAVE.EXE"="C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com"
修改屏幕保护程序的时间
"ScreenSaveTimeOut"="30"
隐藏文件和文件夹
"ShowSuperHidden"=dword:00000000
修改文件关联,指向病毒
@="C:\WINDOWS\pchealth\Global.exe"
@="C:\WINDOWS\Fonts\Fonts.exe"
不显示.exe和.com的后缀
"NeverShowExt"="1"
"NeverShowExt"="1"
添加启动项,指向病毒
@="C:\WINDOWS\system32\dllcache\Default.exe"
@="C:\WINDOWS\system32\dllcache\Default.exe"
@="C:\WINDOWS\system\KEYBOARD.exe"
"sys"="C:\WINDOWS\Fonts\Fonts.exe"
禁止Autoruns Process Explorer运行
"36"="\"Autostart program.exe\""
"37"="\"Process Explorer.exe\""
添加IFEO,劫持文件
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\boot.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autorun.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autoruns.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\auto.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe
解决方案(此方案不能完美修复!)
本帖最后由 smallyou93 于 2009-6-20 17:14 编辑下载工具:
XueTr,本论坛下载
SREng,本论坛下载
Registry Workshop。本论坛下载
修复注册表 by smallyou93,见附件一
SmtScan,见附件二
打开XueTr,到”本工具配置“,勾选"禁止创建进程",然后根据路径结束进程(看上文)
去掉XueTr的"禁止创建进程",然后启动SmtScan,再把XueTr的"禁止创建进程"勾上。
点击SmtScan的“开始扫描”,等到扫描完成后,重启
重启后,打开SREng→“系统修复”→“文件关联”→“全选”→“修复”。修复后,导入"修复注册表.reg"。
最后打开Registry Workshop,把病毒添加的注册表都删一删
HKEY_CLASSES_ROOT\exefile\\NeverShowExt
HKEY_CLASSES_ROOT\comfile\\NeverShowExt
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\\36
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\\37
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\\sys
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\\DisableStatusMessages
HKEY_CURRENT_USER\Software\VB and VBA Program Settings
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\Scripts
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System\Scripts
:)这个毒虽然比较老,但是这种杀法是最快的。如有什么意见,欢迎大家指出 不错.收藏了 牛B,分析得太到位了。 太利害了,学习中~~
页:
[1]