修改IE首页为“http://www.3929.cn/?tn=”的病毒分析与修复方法

病毒EXE主程序部分：

　　文件大小：35840字节

　　MD5 校验：ecebfb14005544cc4014d0fbf601f7a0

　　加壳名称：UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo

　　开发工具：Microsoft Visual C++ 6.0

　　壳结尾处：004194EB　- E9 1CA9FEFF　　JMP l9.00403E0C

　　入口地址：00003E0C

　　解密函数(所有用到的字符串都是加密存放的)：

　　00403869　　E8 12F5FFFF　　CALL l9.00402D80

　　解密后的所有字符串如下：

　　0012FE58　0040BFD4　ASCII "{701407A4-B171-4E8A-AD7C-F594B07B2800}"

　　0012FE78　0040BFFC　ASCII "%s%s.dll"

　　0040C008=l9.0040C008 (ASCII "%sdrivers%s.sys")

　　0040C020=l9.0040C020 (ASCII "rundll32.exe")

　　0040C030=l9.0040C030 (ASCII "DllRegisterServer")

　　0040C044=l9.0040C044 (ASCII "%s%s %s%s.dll,%s")

　　0040C058=l9.0040C058 (ASCII "NotePad")

　　0040C060=l9.0040C060 (ASCII "WinWord")

　　0040C068=l9.0040C068 (ASCII "msvcrt.dll")

　　0040C074=l9.0040C074 (ASCII ".Globalrkdoor")

　　0040C088=l9.0040C088 (ASCII ".GlobalLocalSystemX")

　　0040C0A8=l9.0040C0A8 (ASCII "SOFTWAREMicrosoftWindowsCurrentVersion")

　　0040C0D4=l9.0040C0D4 (ASCII "ping -n 3 127.0.0.1>nul")

　　0040C0EC=l9.0040C0EC (ASCII ":Repeat")

　　0012FE48　0040C0F4　ASCII "del "%s""

　　0040C100=l9.0040C100 (ASCII "if exist "%s" goto Repeat")

　　0040C11C=l9.0040C11C (ASCII "cd %c:")

　　0040C124=l9.0040C124 (ASCII "del %0")

　　0040C12C=l9.0040C12C (ASCII "%s%s.bat")

　　运行函数：

　　004038F2　　E8 29E3FFFF　　CALL l9.00401C20

　　创建窗口：

　　00401C66　　FF15 C8404000　CALL DWORD PTR DS:[4040C8]　　　　　　　; USER32.CreateWindowExA

　　程序会在创建窗口的过程中，运行如下代码(只摘录了函数入口地址)：

　　004020F0　　55　　　　　　　PUSH EBP

　　病毒执行的功能函数(放的地方很隐蔽，一般很难动态跟踪定位到这里)：

　　00402136　　E8 B5F1FFFF　　CALL l9.004012F0　　　;以读写方式打开设备".Globalrkdoor"

　　0040213B　　85C0　　　　　　TEST EAX,EAX　　　　　;对比

　　0040213D　　75 05　　　　　JNZ SHORT l9.00402144　;判断设备是否可以打开(是否存在)

　　0040213F　　E8 2C130000　　CALL l9.00403470　　　;不存在则在这里创建，并进行所有其它的安装操作

　　释放病毒DLL组件文件(文件名随机)：

　　C:WINDOWSsystem32*.dll

　　释放病毒驱动文件(文件名随机，驱动以服务方式安装运行)：

　　C:WINDOWSsystem32drivers*.sys

　　创建注册表标记项：

　　00402D41　　E8 BAE2FFFF　　CALL l9.00401000

　　注册表标记项位置如下(名称全部随机)：

　　"HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionAfUlRqs"

　　0012EF1C　0012F2BC　|ValueName = "vybx"

　　0012EF1C　0012F2EC　|ValueName = "mqnyr"

　　0012EF1C　0012F334　|ValueName = "ejusad"　

         0012EF1C　0012F31C　ASCII "vensham"

　　加载运行释放出来的病毒DLL组件程序：

　　0012F054　0012F07C　ASCII "C:WINDOWSsystem32rundll32.exe C:WINDOWSsystem32*.dll,DllRegisterServer"

　　创建批处理文件调用运行，实现自我删除：

　　C:WINDOWSsystem32*.bat

　　关闭退出。

　　-----------------------------------------------------------------------------------------------

　　病毒DLL组件部分：

　　文件大小：45056字节

　　MD5 校验：文件MD5值不固定，受配置信息干扰

　　开发工具：Microsoft Visual C++ 6.0 DLL

　　未加壳，但DLL中的所有字符串全部加密保存。

　　DLL中有4个导出函数：

　　DllCanUnloadNow

　　DllGetClassObject

　　DllRegisterServer

　　DllUnregisterServer

　　恶意网址：

　　[url]http://www.outhang.cn/api.php?[/url]

　　[url]http://www.outhang.cn/update.php?[/url]

　　表单结构：

　　id=%d&mac=%s&type=%d&setupdate=%d%02d%02d&homepage=%s

　　id=%d&updateversion=%d

　　-----------------------------------------------------------------------------------------------

　　病毒SYS驱动部分：

　　文件大小：28608字节

　　MD5 校验：文件MD5值不固定，受配置信息干扰

　　驱动功能：

　　1、保护病毒主程序释放出来的DLL文件、SYS文件和系统HOSTS文件，使之不被修改、删除。

　　2、监视保护驱动程序自身服务启动项(删除后会重新创建)。

　　3、保护驱动程序自身正在运行着的服务，使之不被停止、终止、禁用、删除。

　　4、驱动服务启动(启动优先级为“Boot”)后，会自动调用DLL组件运行(用“rundll32.exe”加载调用)。

　　5、设置系统IE浏览器的默认首页为“[url]http://www.3929.cn/?tn=102731[/url]”(“tn=”后面的编号不唯一)。

　　该病毒就只有唯一一个启动项，那就是这个恶意驱动程序的服务项，启动优先级为“Boot”。

　　-----------------------------------------------------------------------------------------------

　　 手动删除该病毒的方法步骤(经过实际测试绝对有效)：

　　第一步：寻找判断定位病毒释放出来的DLL和SYS的文件名称(DLL和SYS加一起一共两个文件)。

　　第二步：使用PE盘启动计算机，删除掉病毒释放出来的DLL和SYS文件(DLL和SYS加一起一共两个文件，删除前请事先备份)。

　　第三步：重新启动计算机进入正常系统，删除掉驱动的服务启动和其它注册表残留。

　　第四步：打开“IE设置选项”，设置您想要设置的默认IE浏览器主页。

　　第五步：使用杀毒软件进行全盘查杀病毒(该病毒为***下载器下载到您计算机中的病毒，那个***下载器还下载了N多其它病毒也同时安装到了您的计算机系统中)。

　　第六步：该病毒清理完毕。