msconfig32.exe(Dropper.Win32.Agent.nzi)
文件名称:syscopy.exe
文件大小:426783 bytes
AV命名:Dropper.Win32.Agent.nzi(瑞星)
加壳方式:未
编写语言:VC
病毒类型:捆绑型
文件MD5:45eb42ff98e5ea60f83f259582506430
文件SHA1:e3e21cf73278a2a7bba6eaa9c090e6d2a9941d34
传播方式:U盘等移动介质、网络。
行为分析
:
1、释放病毒文件:
C:\Windows\system32\CAManager.exe 53248 字节
C:\Windows\system32\dcomdiag.exe 192512 字节
C:\Windows\system32\eventviewer.exe 94208 字节
C:\Windows\system32\explore.exe 113418 字节
C:\Windows\system32\LogicStorageMon.exe 57344 字节
C:\Windows\system32\msconfig32.exe 81920 字节
C:\Windows\system32\ReDevMonitor.exe 53248 字节
C:\Windows\system32\syscopy.exe 426783 字节
C:\Windows\system32\dcomdiag.exe 192512 字节
C:\Windows\system32\eventviewer.exe 94208 字节
C:\Windows\system32\explore.exe 113418 字节
C:\Windows\system32\LogicStorageMon.exe 57344 字节
C:\Windows\system32\msconfig32.exe 81920 字节
C:\Windows\system32\ReDevMonitor.exe 53248 字节
C:\Windows\system32\syscopy.exe 426783 字节
2、遍历分区,查找可用磁盘,在其目录下生成:Autorun.inf和msconfig32.exe
如果双击磁盘,则激活病毒!
3、连接74.220.202.29(
[url]http://www.siekia.com/[/url]
)获得下载列表,下载木马。
例如:
CAManager.exe
LogicStorageMon.exe
ReDevMonitor.exe
dcomdiag.exe
eventviewer.exe
explore.exe
syslog.exe
libmcrypt.dll
hkcmdi.exe
LogicStorageMon.exe
ReDevMonitor.exe
dcomdiag.exe
eventviewer.exe
explore.exe
syslog.exe
libmcrypt.dll
hkcmdi.exe
不过未下全。
4、对E盘文件*.exe进行捆绑感染(其他盘未发现),被捆绑的文件增加238000多字节。
在感染文件尾部记录了一些简单的信息,避免反复感染。
5、病毒使用进程守护技术,相互依赖,每隔一段时间激活对方。
乱乱的``好像4进程守护吧。。(8记得了``)
6、进程守护中的其中3个连接74.220.202.29监听3813、3858、3903端口。
如本地病毒文件被删除,则重新下载。
7、CAManager.exe、LogicStorageMon.exe、ReDevMonitor.exe注册系统服务,开机自启。
解决方法:
[url]http://gudugengkekao.ys168.com/[/url]
下载PowerRMV和SREng:
PowerRmv.com 101KB
sreng2.5.zip 780KB
(下不了的,自己网上找!``)
1、关闭不需要进程,断开网络!
2、打开PowerRmv,勾选“抑制对方再次生成”。填入下面路径(一次填一个):
C:\Windows\system32\syscopy.exe
C:\Windows\system32\dcomdiag.exe
C:\Windows\system32\explore.exe
C:\Windows\system32\CAManager.exe
C:\Windows\system32\eventviewer.exe
C:\Windows\system32\msconfig32.exe
C:\Windows\system32\LogicStorageMon.exe
C:\Windows\system32\ReDevMonitor
C:\Windows\system32\dcomdiag.exe
C:\Windows\system32\explore.exe
C:\Windows\system32\CAManager.exe
C:\Windows\system32\eventviewer.exe
C:\Windows\system32\msconfig32.exe
C:\Windows\system32\LogicStorageMon.exe
C:\Windows\system32\ReDevMonitor
C:\msconfig32.exe
C:\Autorun.inf
D:\msconfig32.exe
D:\Autorun.inf
E:\msconfig32.exe
E:\Autorun.inf
F:\msconfig32.exe
F:\Autorun.inf
C:\Autorun.inf
D:\msconfig32.exe
D:\Autorun.inf
E:\msconfig32.exe
E:\Autorun.inf
F:\msconfig32.exe
F:\Autorun.inf
(这些不要漏了!)
PS:如果是2000或ME系统的话,把C:\Windows\换成C:\Winnt\
3、打开SREng,删除:
服务
[CA Certification Manager / CAManager][Running/Auto Start]
<C:\winnt\system32\CAManager.exe><N/A>
<C:\winnt\system32\CAManager.exe><N/A>
[Logical Storage Monitor / LogicStorageMon][Running/Auto Start]
<C:\winnt\system32\LogicStorageMon.exe><N/A>
[Removable Device Monitor / ReDevMonitor][Running/Auto Start]
<C:\winnt\system32\ReDevMonitor.exe><N/A>
浏览器加载项:
[CAdLogic Object]
{11F09AFD-75AD-4E51-AB43-E09E9351CE16} <C:\Program Files\Common Files\CPUSH\cpush.dll, >
{11F09AFD-75AD-4E51-AB43-E09E9351CE16} <C:\Program Files\Common Files\CPUSH\cpush.dll, >
(流氓软件带来的)
4、建议下载360安全卫士,清除下载的流氓软件CPUSH。
这个比较恶心,写入多项注册表,手工清除比较头疼。
5、升级杀软最高版本,全盘扫(杀软应该可以修复被捆绑文件)``
