S168.exe、msvcrt.dll、Relive.dll木马群``

样本来至卡饭``算是个下载器吧``

 

比较恶劣,可能导致杀软监控初始化失败``

 

Aditional information
File name: S168.exe
File size: 23087 bytes
CRC32     : 1F9AA9F7
MD5: 3d4d01638f3e206c7bbbde769a3f2182
SHA1: 8d6d71216a588155554226efe84eed2c8011c38a
SHA160    : 8D6D71216A588155554226EFE84EED2C8011C38A
packers: UPX 0.89.6 - 1.02 / 1.05 - 1.24
Languages:   Borland Delphi 6.0 - 7.0

 

运行S168.exe

 

释放：

 

C:\Program Files\Common Files\Relive.dll 14895 字节

C:\Program Files\Internet Explorer\msvcrt.bak   23087 字节

C:\Program Files\Internet Explorer\msvcrt.dll 14895 字节

 

通过遍历注册表，获得卡吧、360、瑞星、江民等安装目录，在其目录下生成：

 

ws2_32.dll的文件夹（H，S）

可能导致杀软的监控（初始化）失败！

 

删除文件：

 

%Systemroot%\system32\drivers\etc\Hosts （域名解析文件）

 

添加注册表：

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks

指向：C:\Program Files\Internet Explorer\msvcrt.dll

 

实现msvcrt.dll开机插入Explorer.exe进程。

 

随后，msvcrt.dll附宿主，反弹连接202.59.153.9*，下了一大推木马`

 

释放在：C:\Documents and Settings\%User%\Local Settings\Temp\，并执行。

 

都是Drop，每个释放一个Dll插进程，盗号木马哈。30多个吧=。=

 

解决方法：

 

[url]http://free.ys168.com/?gudugengkekao1[/url]下载

 

冰刃.rar 2,110KB

 

sreng2.5.zip 780KB

 

直接放桌面，关闭不需要的进程，断开网络连接``

 

执行下面操作前最好全面清理电脑所有临时文件夹。

 

1、打开冰刃，设置“禁止进线程创建”，确定。

 

2、使用冰刃“文件”功能，删除：

 

C:\Program Files\Common Files\Relive.dll

C:\Program Files\Internet Explorer\msvcrt.bak

C:\Program Files\Internet Explorer\msvcrt.dll

然后到C:\Documents and Settings\%User%\Local Settings\Temp\下，强制删除：

（ 注意，%User%是你的用户名）

mhso.exe
woso.exe
ztso.exe
jtso.exe
wlso.exe
wgso.exe
wmso.exe
fyso.exe
qjso.exe
rxso.exe
wdso.exe
tlso.exe
daso.exe
zxso.exe

mhso0.dll
woso0.dll
ztso0.dll
jtso0.dll
wlso0.dll
wgso0.dll
wmso0.dll
fyso0.dll
qjso0.dll
rxso0.dll
wdso0.dll
tlso0.dll
daso0.dll
zxso0.dll

 

3、设置冰刃，选择“重启并监视”。

 

4、重启后，打开SREng，删除：

 

注册表：

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

     <mhsa><C:\DOCUME~1\admin\LOCALS~1\Temp\mhso.exe>   []
     <wosa><C:\DOCUME~1\admin\LOCALS~1\Temp\woso.exe>   []
     <ztsa><C:\DOCUME~1\admin\LOCALS~1\Temp\ztso.exe>   []
     <jtsa><C:\DOCUME~1\admin\LOCALS~1\Temp\jtso.exe>   []
     <wlsa><C:\DOCUME~1\admin\LOCALS~1\Temp\wlso.exe>   []
     <wgsa><C:\DOCUME~1\admin\LOCALS~1\Temp\wgso.exe>   []
     <wmsa><C:\DOCUME~1\admin\LOCALS~1\Temp\wmso.exe>   []
     <fysa><C:\DOCUME~1\admin\LOCALS~1\Temp\fyso.exe>   []
     <qjsa><C:\DOCUME~1\admin\LOCALS~1\Temp\qjso.exe>   []
     <rxsa><C:\DOCUME~1\admin\LOCALS~1\Temp\rxso.exe>   []
     <wdsa><C:\DOCUME~1\admin\LOCALS~1\Temp\wdso.exe>   []
     <tlsa><C:\DOCUME~1\admin\LOCALS~1\Temp\tlso.exe>   []
     <dasa><C:\DOCUME~1\admin\LOCALS~1\Temp\daso.exe>   []
     <zxsa><C:\DOCUME~1\admin\LOCALS~1\Temp\zxso.exe>   []

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

<C:\Program Files\Internet Explorer\msvcrt.dll>   [Microsoft Corporation]

 

5、关于那个ws2_32.dll的文件夹，由于是非法文件夹，所以常规方法删除不了。

 

懒得写详细了，去下面看：

 

[url]http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/b964e2bf7ef78c0819d81fd0.html[/url]

 

6、升级杀软，全盘扫``同时修改QQ、邮箱等密码。