“文件夹病毒 VB版”分析与其解决方案 by smallyou93[LSG]

smallyou93 · 发表于 2009-6-17 01:29

本帖最后由是昔流芳于 2011-2-11 14:51 编辑

样本：http://bbs.52pojie.cn/thread-20649-1-1.html

MD5：4F8B1D574CE34351858CCB2CA707CDE9

创建文件
%SystemRoot%\system32\dllcache\tskmgr.exe(正常文件,MD5与taskmgr.exe无异)

创建目录（可能是随机名）
%SystemRoot%\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}

复制自身
%SystemRoot%\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\svchost.exe
%SystemRoot%\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\Global.exe
%SystemRoot%\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\system.exe
%SystemRoot%\system32\dllcache\Global.exe
%SystemRoot%\system32\dllcache\Default.exe
%SystemRoot%\system32\dllcache\autorun.inf
%SystemRoot%\system32\drivers\drivers.cab.exe
%SystemRoot%\system32\regedit.exe
%SystemRoot%\Fonts\Fonts.exe
%SystemRoot%\Fonts\tskmgr.exe
%SystemRoot%\pchealth\Global.exe
%SystemRoot%\system\KEYBOARD.exe
%SystemRoot%\Help\microsoft.hlp
%SystemRoot%\Media\rndll32.pif
%SystemRoot%\pchealth\helpctr\binaries\HelpHost.com
?:\MS-DOS.com

覆盖正常文件,MD5与源程序相同
%SystemRoot%\system32\dllcache\svchost.exe

创建文件,内容一样
%SystemRoot%\Cursors\Boom.vbs
%SystemRoot%\Boom.vbs

创建autorun
?:\MS-DOS.com
?:\autorun.inf

[autorun]
Open=MS-DOS.com
Shellexecute=MS-DOS.com
Shell\Open\command=MS-DOS.com
Shell\Explore\command=MS-DOS.com

创建注册表键值
HKEY_CURRENT_USER\Software\VB and VBA Program Settings
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\Scripts
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System\Scripts
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\\DisableStatusMessages

替换当前桌面屏幕保护程序,指向病毒
[HKEY_CURRENT_USER\Control Panel\Desktop]
"SCRNSAVE.EXE"="C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com"

修改屏幕保护程序的时间
[HKEY_CURRENT_USER\Control Panel\Desktop]
"ScreenSaveTimeOut"="30"

隐藏文件和文件夹
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000000

修改文件关联,指向病毒
[HKEY_CLASSES_ROOT\regfile\shell\open\command]
@="C:\WINDOWS\pchealth\Global.exe"

[HKEY_CLASSES_ROOT\MSCFile\Shell\Open\Command]
@="C:\WINDOWS\Fonts\Fonts.exe"

不显示.exe和.com的后缀
[HKEY_CLASSES_ROOT\exefile]
"NeverShowExt"="1"

[HKEY_CLASSES_ROOT\comfile]
"NeverShowExt"="1"

添加启动项,指向病毒
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
@="C:\WINDOWS\system32\dllcache\Default.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
@="C:\WINDOWS\system32\dllcache\Default.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
@="C:\WINDOWS\system\KEYBOARD.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"sys"="C:\WINDOWS\Fonts\Fonts.exe"

禁止Autoruns Process Explorer运行
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun]
"36"="\"Autostart program.exe\""
"37"="\"Process Explorer.exe\""

添加IFEO,劫持文件
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\boot.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autorun.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autoruns.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\auto.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe

smallyou93 · 发表于 2009-6-17 02:35

本帖最后由 smallyou93 于 2009-6-20 17:14 编辑

下载工具：
XueTr，本论坛下载
SREng，本论坛下载
Registry Workshop。本论坛下载
修复注册表 by smallyou93，见附件一
SmtScan，见附件二

打开XueTr，到”本工具配置“，勾选"禁止创建进程"，然后根据路径结束进程（看上文）

去掉XueTr的"禁止创建进程"，然后启动SmtScan，再把XueTr的"禁止创建进程"勾上。

点击SmtScan的“开始扫描”，等到扫描完成后，重启

重启后，打开SREng→“系统修复”→“文件关联”→“全选”→“修复”。修复后，导入"修复注册表.reg"。

最后打开Registry Workshop，把病毒添加的注册表都删一删

HKEY_CLASSES_ROOT\exefile\\NeverShowExt
HKEY_CLASSES_ROOT\comfile\\NeverShowExt
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\\36
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\\37
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\\sys
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\\DisableStatusMessages
HKEY_CURRENT_USER\Software\VB and VBA Program Settings
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\Scripts
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System\Scripts

smallyou93 · 发表于 2009-6-17 02:39

:)这个毒虽然比较老，但是这种杀法是最快的。如有什么意见，欢迎大家指出

mxc123 · 发表于 2009-6-17 03:42

不错.收藏了[s:353]

明次 · 发表于 2009-6-20 12:54

牛B，分析得太到位了。

hxlong · 发表于 2009-6-20 13:16

太利害了，学习中~~

阿顺 · 发表于 2013-12-19 17:55

提示: 作者被禁止或删除内容自动屏蔽

帐号		自动登录	找回密码
密码			注册[Register]

阿顺阿顺当前离线好友阅读权限 0 听众最后登录 1970-1-1 头像被屏蔽	阿顺发表于 2013-12-19 17:55 提示: 作者被禁止或删除内容自动屏蔽
阿顺阿顺当前离线好友阅读权限 0 听众最后登录 1970-1-1 头像被屏蔽
	回复支持举报

[PC样本分析] “文件夹病毒 VB版”分析与其解决方案 by smallyou93[LSG]

免费评分

解决方案（此方案不能完美修复！）

免费评分