今天修机时候捉到的一只虫子：

病毒总特征：U盘传播，INFO劫持，下载者

病毒样本来源：修电脑时获取

File Name: csyywll.exe
Size: 24,692 bytes
MD5: 29847cda7c110fd4aa6bd48e4210a24c
SHA1: 813D19C6AD3E97A7F257A2E255DA66AA630B31BB
CRC32: F7EFBE78
加密方式：FSG 2.0 -> bart/xt [Overlay]
脱壳后：（能力有限，脱不了）

行为分析（以下假设操作系统在C盘）：

1    病毒运行后，首先Copy自身两次到C:\WINDOWS\system32并且分别改名为euhrcpx.exe和jdysium.exe，并且启动这两个程序，从而相互监视，防止被终止。

2    然后通过HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run添加两个自启动项目。
名称为csyywll指向C:\WINDOWS\system32\jdysium.exe
名称为xyurehx指向C:\WINDOWS\system32\euhrcpx.exe

3     向每个盘的根目录复制一份csyywll.exe和编写autorun.inf。
autorun.inf内容：
[AutoRun]
open=csyywll.exe
shell\open=打开(&O)
shell\open\Command=csyywll.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=csyywll.exe

4     再然后.........euhrcpx.exe进行 INFO劫持！劫持到“C:\WINDOWS\system32\jdysium.exe”。所有安全软件的文件名无一幸免。由于名单太长，所以就不列出来了.........只截图以作纪念。

 

看来INFO劫持最近被病毒利用得很多，已经达到泛滥程度了.......

5      修改注册表Drown类型CheckedValue值为0，以此隐藏文件。

6     下载病毒（20070602,01：30am，终于观测到了）：
jdysium.exe下载并启动：
6.1、C:\WINDOWS\system32\1AFoxit Reader.exe
该程序将创建一个名为“ppstreamdll”，描述为“ppstream内置影音播放程序！”的服务，指向的文件名是C:\WINDOWS\ppstreamdll。而ppstreamdll将在后台打开iexplore.exe。
安装完成后调用DELETE.BAT删除1AFoxit Reader.exe自身。
6.2、C:\WINDOWS\system32\2Bpplive.exe
该程序将创建一个名为“ppstreamserver”，描述为“Windows影音播放程序！”的服务，指向的文件名是C:\WINDOWS\ppstreams。而ppstreamserver将在后台打开iexplore.exe。
安装完成后调用DELETE.BAT删除2Bpplive.exe自身。
有趣的是，1和2进行的时候，病毒改动了一些注册表。不知道他的原意是为了什么......
进程：
    路径： C:\Program Files\Internet Explorer\IEXPLORE.EXE
    PID: 1528
    信息： Internet Explorer (Microsoft Corporation)
注册表群组： User Shell Settings
对象：
    注册表键： HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
（1）注册表值： Cache
      新的值:类型: REG_SZ
      值： C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files
      先前值:类型: REG_SZ
      值： C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files
（2）注册表值： Cookies
      新的值:类型: REG_SZ
      值： C:\Documents and Settings\LocalService\Cookies
      先前值:类型: REG_SZ
      值： C:\Documents and Settings\NetworkService\Cookies
（3）注册表值： History
      新的值:类型: REG_SZ
      值： C:\Documents and Settings\LocalService\Local Settings\History
      先前值:类型: REG_SZ
      值： C:\Documents and Settings\NetworkService\Local Settings\History

6.3、C:\WINDOWS\system32\4Dhjh.exe
复制自身到C:\WINDOWS、改名为pplive.exe并且启动。自动安装并且启动：

6.3.1        C:\WINDOWS\KNM.exe
6.3.1.1     该程序将创建一个名为“geonServer1.23”，描述为“服务程序监控管理”的服务，指向的文件名是C:\WINDOWS\ppstear。该服务启动不成功，被挂起。
6.3.1.2     释放C:\Program Files\Common Files\Microsoft Shared\MSInfo\SysWFGQQ2.dll，并且注入系统进程。挂钩类型：WH_GETMESSAGE。
6.3.1.3      完成后将通过C:\WINDOWS\_xr.bat删除自身。但是不知为什么无法删除，导致CMD大量占用内存。

6.3.2        C:\WINDOWS\MN.exe
6.3.2.1     释放C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys，并且注入系统进程。挂钩类型：WH_CALLWNDPROC，WH_GETMESSAGE。
6.3.3       所有步骤完成后调用DELETE.BAT删除pplive.exe。但是不知为什么无法删除，导致CMD大量占用内存。

 

解决方法(20070604,1130am更新)：

（不好意思，让大家久等......）

以下假设你的操作系统装在C盘

 

1、下载以下软件：

IceSword 1.20:[url]http://www.onlinedown.net/soft/4523.htm[/url]
Autoruns 8.61:[url]http://www.onlinedown.net/soft/21271.htm[/url]
System Repair Engineer 2.4.12.806 正式版:[url]http://www.onlinedown.net/soft/25562.htm[/url]

2、断网

3、解压缩IceSword.zip，然后把ICESWORD.EXE重命名为任意名称，如111.exe。
运行111.exe，点左上角的“文件”-〉“设置”，勾选“禁止进线程创建”，按确定。

结束如下进程（右键单击进程文件名，选“结束进程”）：

所有的IEXPLORE.EXE（有多少个就结束多少个）
所有的CMD.exe（有多少个就结束多少个）
euhrcpx.exe
jdysium.exe

4、结束模块
右键单击explorer.exe，选择“模块信息”，然后点选以下DLL模块，按“强制解除”
C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys
C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysWFGQQ2.dll

5、用ICESWORD删除以下文件（使用“强制删除”）：
C:\WINDOWS\system32\euhrcpx.exe
C:\WINDOWS\system32\jdysium.exe
C:\WINDOWS\system32\4Dhjh.exe
C:\WINDOWS\system32\1AFoxit Reader.exe（如果有的话）
C:\WINDOWS\system32\2Bpplive.exe（如果有的话）
C:\WINDOWS\KNM.exe
C:\WINDOWS\MN.exe
C:\WINDOWS\pplive.exe
C:\WINDOWS\ppstear
C:\WINDOWS\ppstreamdll
C:\WINDOWS\ppstreams
C:\WINDOWS\_xr.bat（如果有的话）
C:\WINDOWS\delete.bat（如果有的话）
C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys
C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysWFGQQ2.dll
每个盘根目录下的autorun.inf和csyywll.exe，如C:\autorun.inf和C:\csyywll.exe、D:\autorun.inf和D:\csyywll.exe、E:\autorun.inf和E:\csyywll.exe........如此类推。

（5的备注：非常离奇的是在我的实验中，C:\WINDOWS\KNM.exe、C:\WINDOWS\MN.exe、C:\WINDOWS\pplive.exe、C:\WINDOWS\ppstear、C:\WINDOWS\ppstreamdll、C:\WINDOWS\ppstreams这五个文件在ICESWOrd下无法删除，如果是这样请看后面的步骤6.1）

 

6、取消“禁止进线程创建”，即点左上角的“文件”-〉“设置”，勾掉“禁止进线程创建”，按确定。

6.1 如果出现“5的备注”的情况，请打开WINRAR，找到那些文件，然后右键单击，选择“删除文件”即可。然后清空文件夹。

7、解压缩Autoruns.exe，然后把autoruns.EXE重命名为任意名称，如222.exe。

8、运行222.exe，点“agree”，然后点选“IMAGE HIJACKS”选项卡（汉化版名称为“映像劫持”），把除了一个名称为“Your Image File Name Here without a path”（蓝色标示）不要删除之外，其余全部右键单击，按“DELETE”（汉化版为“删除”；红色方框所示）

 

9、解压缩sreng2.zip，运行SREng.exe

“启动项目”---〉“注册表”选项卡。删除如下启动项目。
     <xyurehx><C:\WINDOWS\system32\euhrcpx.exe>   [N/A]
     <csyywll><C:\WINDOWS\system32\jdysium.exe>   [N/A]

“启动项目”---〉“服务”选项卡，单击“Win32服务应用程序”，然后勾选上“隐藏已认证的微软项目”。
在以下服务上面单击右键--〉“停止服务”，然后再次选中该服务，选中“删除服务”，点“设置”再点“否”就可以删除
[geon_Server1.23 / geonServer1.23][Stopped/Auto Start]
   <C:\WINDOWS\ppstear><N/A>
[ppstreamdll / ppstreamdll][Stopped/Auto Start]
   <C:\WINDOWS\ppstreamdll><N/A>
[ppstreamserver / ppstreamserver][Stopped/Auto Start]
   <C:\WINDOWS\ppstreams><N/A>

10、删除临时文件夹里面的所有东西，包括：
C:\Documents and Settings\<用户名>\Local Settings\Temp（即C:\DOCUME~1\li\LOCALS~1\Temp）
C:\WINDOWS\TEMP
Internet临时文件夹（控制面板--〉“Internet选项”---〉“删除文件”---〉勾选“包括临时文件夹”--〉确定）

 

11、重新启动。