IE主页被改为http://www.9348.cn?原来是QQ2009.exe,TXP1atform.exe,svchoct.exe,klan.sys等作怪2

(续:IE主页被改为hxxp://www.9348.cn?原来是QQ2009.exe,TXP1atform.exe,svchoct.exe,klan.sys等作怪1

http://blog.csdn.net/Purpleendurer/archive/2009/06/13/4267188.aspx)

 

endurer 原创

2009-06-18 第1

 

从pe_xscan的log上看,最近病毒常用的攻击方法都用上了:浏览器帮助对象(O2-BHO)、msconfig.exe中看不到的组策略启动(O4 - HKLM/../Policies/Explorer/Run)、磁盘自动播放功能(autorun.inf)、 ShellExecuteHook(O24 - ShlExecHook)以及阻止安全防护软件启动的映像劫持技术(O26 - IFEO)。


从log中的 

C:/WINDOWS/system32/COMRes.dll | 2009-6-11 11:28:50
C:/WINDOWS/system32/dfc8ac3ed7da.dll| 2008-4-13 19:13:40| COM 服务| 03.00.00.4414| ?| 版权所有 (C) Microsoft Corp. 1995-1999| 2001.12.4414.700| Microsoft Corporation| Microsoft(R) 是 Microsoft Corporation 的注册商标。Windows(TM) 是 Microsoft Corporation 的商标。| COMRES.DLL|

可以看到恶意程序将Windows系统文件COMRes.dll改名为dfc8ac3ed7da.dll,然后取而代之。

 

由于Windows的shell程序文件explorer.exe

 

C:/WINDOWS/explorer.exe * 1516 | 2008-4-13 19:14:2

 

居然没有版本信息,很可能是被替换或修改了……

 

进程 

C:/WINDOWS/system32/inf/svchoct.exe* 2020| 2009-6-11 12:25:23| Microsoft(R) Windows(R) Operating System| 5.1.2600.5512| Run a DLL as an App| (C) Microsoft Corporation. All rights reserved.| 5.1.2600.5512 (xpsp.080413-2105)| Microsoft Corporation| ?| rundll| RUNDLL.EXE

其实是Windows系统文件rundll32.exe,在组策略启动项中 

O4 - HKLM/../Policies/Explorer/Run: [maineyucst]C:/WINDOWS/system32/inf/svchoct.exe C:/WINDOWS/wftadfi16_090608a.dll d16tan

用于装载恶意程序文件C:/WINDOWS/wftadfi16_090608a.dll

 

 

C:/WINDOWS/system32/drivers/TXP1atform.exe* 192| 2009-6-11 11:24:54

 

的文件名使用了与腾讯软件的TXPlatform.exe相似的名字,不过P和a之间的不是英文字母l而是数字1,如果你没有启动腾讯的软件,但却有名字与TXPlatform.exe相同或相似的进程,或者运行腾讯软件后系统中有两个与TXPlatform.exe相同或相似的进程,那就得注意了……

 

附部分恶意文件信息


文件说明符 : C:/WINDOWS/System32/SGCQdll.dat
属性 : -
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-6-11 11:34:44
修改时间 : 2009-6-11 11:34:44
大小 : 19496 字节 19.40 KB
MD5 : 2e77bc65948452e5b437726d2f93dca0
SHA1: CB6558ACB4D8CCBDC3C5DB1CE943D0D6E96DBBAD
CRC32: 7fc79090

 

卡巴斯基报为:Trojan-GameThief.Win32.WOW.pns,瑞星报为:Trojan.PSW.Win32.GameOnline.dgfSGCQdll.dat.rar

在线扫描结果:http://www.virustotal.com/analisis/7f343d51bad8a18543fb3e7ad04e60c791fa9301aaf658b2b252c50bf417ccb9-1244884533

 

文件说明符 : C:/WINDOWS/system32/ZfbJ9AWwU.dll
属性 : ASH-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-6-11 23:44:42
修改时间 : 2009-6-11 23:44:42
大小 : 21594 字节 21.90 KB
MD5 : 6ea56b51370f5054796ba4d73f6ee8a5
SHA1: B347582297366B8E61B8256D58B1727BE7A3C2DF
CRC32: bebd574d

 

瑞星报为:Trojan.PSW.Win32.GameOnline.dmy,卡巴斯基报为:Trojan-GameThief.Win32.Magania.bgnx [KLAN-33848253]

在线扫描结果:http://www.virustotal.com/analisis/315a352884b600b5ef814b6eecb20952813a9b313501d0b415da36c4f9595700-1244884957


文件说明符 : C:/WINDOWS/system32/JBn2ypqY23vWX.dll
属性 : ASH-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-6-11 11:35:23
修改时间 : 2009-6-11 11:35:23
大小 : 16972 字节 16.588 KB
MD5 : 930fd731491b610fb7127f9666ebe8b0
SHA1: 21226EABA0D7B826C8B8755623DDF25CCACBC801
CRC32: 2e4aac09

 

卡巴斯基报为:Trojan-GameThief.Win32.Magania.bfuz,瑞星报为:Trojan.PSW.Win32.GameOnline.dko

在线扫描结果:http://www.virustotal.com/analisis/eea6350bedbcaeffe7f6e33edfd727bcde8557aa3a4bd09eff16f75018b3865d-1244885491


文件说明符 : C:/WINDOWS/system32/cRsAQd4hw.dll
属性 : ASH-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-6-11 11:34:58
修改时间 : 2009-6-11 11:34:58
大小 : 19036 字节 18.604 KB
MD5 : 4169c47bf4bfba5e13adcbe2e795228b
SHA1: CE63565543DE7F4DD6FA319003DC845D2BDE8232
CRC32: ac1bae02

 

瑞星报为:Trojan.PSW.Win32.OnlineGame.zag,卡巴斯基报为:Trojan-GameThief.Win32.Magania.bgoi [KLAN-33848480]
在线扫描结果:http://www.virustotal.com/analisis/287b6a5861b2a6ca09ff69b984d8b48ac5ec31dcd6304977c604bd94f3e7d6c0-1244885970

 

文件说明符 : C:/WINDOWS/fonts/uXUsF2RrQy.fon
属性 : ASH-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-6-11 11:33:35
修改时间 : 2009-6-11 11:33:35
大小 : 220247 字节 215.87 KB
MD5 : 92b2d1352444822ba68d2689ac86fbe2
SHA1: 0A578C89EA0F99ED80F91CF44BAF5F68F2E66BE1
CRC32: 275b0549

 

卡巴斯基报为:Trojan-GameThief.Win32.Magania.bgjg,瑞星报为:Trojan.PSW.Win32.OnlineGame.yxw

在线扫描结果:http://www.virustotal.com/analisis/80956eb9beadb149e778c3e054b8f64ed5571f730ddcecc4796521d5d09f074c-1245077768

文件说明符 : C:/WINDOWS/system32/taNjsFa2tT2Dh.dll
属性 : ASH-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-6-11 11:32:18
修改时间 : 2009-6-11 11:32:18
大小 : 18008 字节 17.600 KB
MD5 : 5e7b6f7a35af7f8319fcd1573b0014e2
SHA1: AC3D3A3C99245FF555FA1770EA61F6E7AB890A36
CRC32: 14862e23

 

瑞星报为:Trojan.PSW.Win32.GameOLx.ab,卡巴斯基报为:Trojan-GameThief.Win32.Magania.bgok [KLAN-33848633]

在线扫描结果:http://www.virustotal.com/analisis/a3938aad99761445013bf18e73bcd0ff53e9d1e7cd97cd1c7878b9317718e152-1244887194


文件说明符 : C:/WINDOWS/system32/BMsg6pdMD4ht.dll
属性 : ASH-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-6-11 11:32:5
修改时间 : 2009-6-11 11:32:5
大小 : 18516 字节 18.84 KB
MD5 : c2f2ad73b31fd14be6ae83e605afb6ed
SHA1: 85C8DA5A445B2136A78A947666EB59C1BCCED6E9
CRC32: 026b15c3

 

卡巴斯基报为:Trojan-GameThief.Win32.Magania.bfrz,瑞星报为:Trojan.PSW.Win32.GameOnline.djj

在线扫描结果:http://www.virustotal.com/analisis/436978f6e1448ffee900735aee6103028d5d6bf5c4a811f8532a6a4f4e7601ea-1245077303


文件说明符 : C:/WINDOWS/system32/08223B03.dll
属性 : ASH-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-6-11 11:31:54
修改时间 : 2009-6-11 11:31:54
大小 : 20053 字节 19.597 KB
MD5 : 0daff5d4f711dcf12a436d12aa766439
SHA1: 9ADA6C6050BD624339F72836D1BAE64843A0F8A9
CRC32: a29a2043

 

卡巴斯基报为:Trojan-GameThief.Win32.Magania.bfgp,瑞星报为:Trojan.PSW.Win32.GameOnline.djj

在线扫描结果:http://www.virustotal.com/analisis/8b4fed211f9a8f9440f41602092953939bc8362e81652bcdc24968208f0f2507-1244888213


文件说明符 : C:/WINDOWS/system32/704C3595.dll
属性 : ASH-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-6-11 11:31:33
修改时间 : 2009-6-11 11:31:33
大小 : 20569 字节 20.89 KB
MD5 : 8cd969fcdbc601b8c96c90da874c1d2b
SHA1: 13EF3F29C2C6B8F45D0074D635732C30A1A2C0C1
CRC32: adf186c6

 

卡巴斯基报为:Trojan-GameThief.Win32.Magania.bfux,瑞星报为:Trojan.PSW.Win32.GameOnline.dkr

在线扫描结果:http://www.virustotal.com/analisis/955649554df7cc0867bd060f037f51e955ee2c70c62281a62423d44e5566f977-1244888532

 

文件说明符 : C:/WINDOWS/system32/hhnt2pBK.dll
属性 : ASH-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-6-11 11:31:25
修改时间 : 2009-6-11 11:31:25
大小 : 19053 字节 18.621 KB
MD5 : 2b71e4457acbe0539d51b89e3d96210c
SHA1: EA5C363A03C262324CE6DC87182C58BEE0C800A9
CRC32: 3d8bef57

 

卡巴斯基报为:Trojan-GameThief.Win32.Magania.bflx,瑞星报为:Trojan.PSW.Win32.GameOnline.dkn

在线扫描结果:http://www.virustotal.com/analisis/08bf5ef59e589ee21cca14bd352b4592adcb782ee40c7bec8e73bc577c80205f-1244888804


文件说明符 : C:/WINDOWS/system32/76B9BA7A.dll
属性 : ASH-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-6-11 11:31:1
修改时间 : 2009-6-11 11:31:1
大小 : 223319 字节 218.87 KB
MD5 : 62583a974fe21717a6b60464cc4cd4b9
SHA1: D1EE0EB133C3638792121E84D4629932E13F3786
CRC32: 64c4a13b

 

卡巴斯基报为:Trojan-PSW.Win32.LdPinch.agqu,瑞星报为:Trojan.PSW.Win32.GameOnline.djj

在线扫描结果:http://www.virustotal.com/analisis/b1eb97d7daa8157f6351fc8f8eeb9385322c4c590ddaf300c6cfd7bdea9829fa-1244889245


文件说明符 : C:/WINDOWS/system32/t44y9a553NQ.dll
属性 : ASH-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-6-11 11:30:46
修改时间 : 2009-6-11 11:30:46
大小 : 21607 字节 21.103 KB
MD5 : 503194eb3fc8fac8baaa18e8e3056b40
SHA1: D63E21B903A93EDBFCEA470E9C71A417348A36DA
CRC32: cf6050f4

 

卡巴斯基报为:Trojan-GameThief.Win32.Magania.bfmu,瑞星报为:Trojan.PSW.Win32.GameOnline.djj

在线扫描结果:http://www.virustotal.com/analisis/b1eb97d7daa8157f6351fc8f8eeb9385322c4c590ddaf300c6cfd7bdea9829fa-1244889245


文件说明符 : C:/WINDOWS/system32/DcXb7abe.dll
属性 : ASH-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-6-11 11:30:26
修改时间 : 2009-6-11 11:30:26
大小 : 17524 字节 17.116 KB
MD5 : 98b35a81371a78c4e4d43e6f445cb80f
SHA1: 06E75D9EB4CD470C8E3DDC60CF9ED2FA6BE30D7C
CRC32: 8c876df6

 

瑞星报为:Trojan.PSW.Win32.GameOnline.dln,卡巴斯基报为:Trojan-GameThief.Win32.Magania.bgom [KLAN-33848939]

在线扫描结果:http://www.virustotal.com/analisis/ef5fb1a693b604629d389b07b4bf4d6f4b81e469b4f26fab589b2aeca6141473-1244889952


文件说明符 : C:/WINDOWS/system32/UnsrA8Hec.dll
属性 : ASH-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-6-11 11:29:39
修改时间 : 2009-6-11 11:29:39
大小 : 224850 字节 219.594 KB
MD5 : 220b23d8156acaa3c8c3b6687e3886b0
SHA1: A39619D02CB94AABF4DE7D7D3BC8E4CB2CE734BC
CRC32: d8f5afe4

 

卡巴斯基报为:Trojan-GameThief.Win32.Magania.beuh,瑞星报为:Trojan.PSW.Win32.GameOnline.djj

在线扫描结果:http://www.virustotal.com/analisis/b92b9a54b6b206441141c77e8f6829b4e4154e56e64af5146953b4db671f9483-1245176346


文件说明符 : C:/WINDOWS/system32/CJPtNyJ6HWTgWWJdUe.dll
属性 : ASH-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-6-11 11:29:27
修改时间 : 2009-6-11 11:29:27
大小 : 21590 字节 21.86 KB
MD5 : e0a7d111e51c28b30edd8dc66fb18d58
SHA1: 7BCABD614C78B29CA78321D5E4E6C688902DFAE0
CRC32: 8e32cd83

 

卡巴斯基报为:Trojan-GameThief.Win32.Magania.bgny,瑞星报为:Trojan.PSW.Win32.GameOL.yjw

在线扫描结果:http://www.virustotal.com/analisis/e74301f1644ec076b4a9ef52dc14b97ca92720022ada1f7a7c63e842b1533cb9-1245078913


文件说明符 : C:/WINDOWS/system32/efc0c52cc1.dll
属性 : ASH-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-6-11 11:29:11
修改时间 : 2009-6-11 11:29:11
大小 : 19034 字节 18.602 KB
MD5 : 8fe682d14cbae280f0b89c9104286a40
SHA1: 6DCA54D2CD56A9038839610A131D0F29389C38DD
CRC32: 626a34c5

 

卡巴斯基报为:Trojan-GameThief.Win32.Magania.beyd,瑞星报为:Trojan.PSW.Win32.GameOL.yjw

在线扫描结果:http://www.virustotal.com/analisis/2265ee3cf0c575cd89f91b8bf4337e8175ce5770b4496fd9259b92fa7d40bf63-1244906753


文件说明符 : C:/WINDOWS/system32/uXrgQ8ZEp.dll
属性 : ASH-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-6-11 11:33:7
修改时间 : 2009-6-11 11:33:7
大小 : 21067 字节 20.587 KB
MD5 : 956e9aa0ec2bd2dd15095ecdcd11363c
SHA1: 077BB5AC3F47AC0080E7EBE87DC4AA7F7AB4610F
CRC32: 0425f9d5

 

卡巴斯基报为:Trojan-GameThief.Win32.Magania.bfqe,瑞星报为:Trojan.PSW.Win32.GameOnline.djj

在线扫描结果:http://www.virustotal.com/analisis/76c96314411de31a5637e6c958bd131b421aa0be785131dd8865f90b5b5659b8-1244907276


文件说明符 : C:/WINDOWS/system32/COMRes.dll
属性 : ASH-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-4-13 19:13:40
修改时间 : 2009-6-11 11:28:50
大小 : 226919 字节 221.615 KB
MD5 : 8380a73ce15a33a7bdb7ecdc6851788b
SHA1: EF5099AD9A9EABB7495592CC757E22377CB3AA50
CRC32: 13a6d324

 

卡巴斯基报为:Trojan-GameThief.Win32.Magania.bgmp,瑞星报为:Trojan.PSW.Win32.GameOnline.dky

在线扫描结果:http://www.virustotal.com/analisis/42de788bdfabbec4cb5fb4f0ecb014501b4ae73e522834434dcb4d32c3e170cc-1244907858


文件说明符 : D:/QQ2009.exe
属性 : --HR
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-6-11 23:43:33
修改时间 : 2009-6-11 12:34:52
大小 : 894499 字节 873.547 KB
MD5 : f36d22fbfc34812d6f11035ec46aeae0
SHA1: CA9C41E40C00D96F59B6E56F2F4C2B4D750D1AD2
CRC32: 3f2a5d1f

 

卡巴斯基报为:Trojan.Win32.Pakes.nkm,瑞星报为:Win32.BMW.ba

在线扫描结果:http://www.virustotal.com/analisis/dd4cc1ff1b5baca3b1578f2d6409a6af13830aac2ee0c27b354ab5d2d9cc2d1e-1244911322


文件说明符 : D:/QQ2009.exe.exe
属性 : A
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-6-12 16:56:32
修改时间 : 2009-6-12 17:24:40
大小 : 812032 字节 793.0 KB
MD5 : 2d7d9c50d5fa98ca157dbc35e6df18c1
SHA1: 7B6688E4105719292BCE7978969415BE24A8BD6D
CRC32: 14f44635

 

卡巴斯基报为:Packed.Win32.Black.d,瑞星报为:Backdoor.Win32.ShangXing.wf

在线扫描结果:http://www.virustotal.com/analisis/045c4679e6afaf6ce4a62beb8ed121f9a00a108198683646f9b810160a922c12-1244910562


文件说明符 : C:/uninst2.exe
属性 : A
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-6-11 23:44:34
修改时间 : 2009-6-12 14:30:33
大小 : 266896 字节 260.656 KB
MD5 : 1a2f143787d8887240919c786a7b37c7
SHA1: 1B3993C947DB41BC7EDC21280420AED5A83BCE8E
CRC32: 5381c989

 

卡巴斯基报为:Trojan.Win32.Agent.bsmy,瑞星报为:Trojan.Win32.Nodef.ehm

在线扫描结果:http://www.virustotal.com/analisis/5a30e2e15f9aee2591595c201015812868b3a8cbad8584aa0d469705577af121-1245076297


文件说明符 : C:/uninstc.exe
属性 : A
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-6-11 23:44:32
修改时间 : 2009-6-12 14:30:31
大小 : 82439 字节 80.519 KB
MD5 : ae9cd5610928479142e12c67f093349b
SHA1: 3040D388A6247C0511FB0E0BDCB3B9CAE46188AB
CRC32: 79557f47

 

卡巴斯基报为:Trojan.Win32.Pakes.nkm,瑞星报为:Win32.BMW.ba

在线扫描结果:http://www.virustotal.com/analisis/e10b74fb5d72ab2ca4f8520070c5704b76752cf9e76053f56afa7ba6425b64f8-1245052825

你可能感兴趣的:(IE主页被改为http://www.9348.cn?原来是QQ2009.exe,TXP1atform.exe,svchoct.exe,klan.sys等作怪2)