Worm.Win32.Avkiller.k
中毒症状:
1、杀软、防火墙等安全工具无法打开。
2、一些安全工具运行后无反映,换个名字却可以。
3、无法进入安全模式、显示隐藏文件失效。
4、系统自带防火墙和自动更新被禁用。
5、网络搜索“专杀”、“杀毒”、“病毒”之类字眼会被关闭。
6、系统速度明显变慢(因为下了很多木马``)
文件名称:A1D29050.exe
文件大小:99435 bytes
AV命名:Worm.Win32.Avkiller.k(瑞星)
加壳方式:eXPressor
编写语言:Borland Delphi 6.0 - 7.0
病毒类型:Avkiller
文件MD5:c1f323571870ca98ac12755dde7b5427
文件SHA1:0abfa78668225449c20de3051887fedfdaf31b0d
传播方式:U盘类移动介质、网络。
行为分析:
(以前写过很多,简单写了``)
1、随机字符.exe是Dropper,只负责栲贝文件和释放机字符.dll(事实上这个才是重点):
C:\Program Files\Common Files\Microsoft Shared\MSInfo\04B0A72E.dll 56427 字节(ASPack)
C:\Program Files\Common Files\Microsoft Shared\MSInfo\04B0A72E.dat 99435 字节
C:\Windows\04B0A72E.hlp 44 字节(记录一些病毒的运行情况)。
C:\Windows\Help\04B0A72E.chm 99435 字节
2、破坏安全模式和显示隐藏文件功能。
3、关闭一些杀软和安全工具进程,并使用IFEO重定向劫持。
指向的是C:\Program Files\Common Files\Microsoft Shared\MSInfo\随机8位字符.dat 99435 字节
4、禁用(XP、03)系统自带的防火墙和自动更新。
5、禁用杀软和部分安全工具的服务,并删除其在注册表的启动项。
6、监视窗口,关闭一些出现的“关键字”:
7、判断一些杀软(安全工具)路径,并关闭其窗口:
(一些冷门的HIPS都不放过``)
8、连接222.220.16.***(云南省西双版纳州 电信)下载大量木马和流氓软件
(这次抓了60多个样本,HOHO~~~)
9、修改注册表,保证U盘的自动播放功能。
10、遍历分区,在其目录下生成Autorun.inf 和随机8位字符.exe病毒。
并隔一段时间检测可用的磁盘,尝试生成病毒文件。
解决方法:
[url]http://down.[url]www.kingsoft.com/db/download/othertools/DubaTool_AV_Killer2.COM[/url][/url]
[url]http://duba-011.duba.net/duba/kavtools/DubaTool_AV_Killer2.COM[/url]
[url]http://down.[url]www.kingsoft.com/db/download/othertools/DubaTool_AV_Killer2.COM[/url][/url]
下载专杀,杀完后重启``
建议重装杀软,升级最高版本全盘扫。
(如果杀软无法打开的话,用下面下载的SREng删除IFEO,SREng打不开的话,改名!!!)
一些木马手工删除:
[url]http://gudugengkekao.ys168.com/[/url]
下载冰刃和SRENG:
冰刃.zip 2,121KB
sreng2.5.zip 780KB
显示隐藏文件.reg 9KB
1、全面清理系统临时文件,建议使用软件清理。
2、打开冰刃,设置禁止线程创建,删除(找不到的忽略):
C:\Windows\system32\drivers\acpidisk.sys
C:\Windows\system32\drivers\7rjzbsp.sys( 随机名字的)
C:\Windows\system32\drivers\x69h45gutu.sys( 随机名字的)
C:\Windows\system32\yswow713.exe
C:\Windows\system32\bsmain.bak
C:\Windows\system32\ysrx713.exe
C:\Windows\system32\host.exe
C:\Windows\system32\huamf729.exe
C:\Windows\system32\729ysgj.exe
C:\Windows\system32\yszx713.exe
C:\Windows\system32\mhtest.exe
C:\Windows\system32\-8-47-9451
C:\Windows\system32\mprmsgse.axz
C:\Windows\system32\716yswl.exe
C:\Windows\system32\yswm613.exe
C:\Windows\system32\RemoteDbg.dll
C:\Windows\system32\5hptd.dll
C:\Windows\system32\c51.dll
C:\Windows\system32\mscpx32r.det
C:\Windows\system32\5441.dll
C:\Windows\system32\44191.exe
C:\Windows\system32\8-47-9451
C:\Windows\system32\0ce
C:\Windows\system\ad1309.exe
C:\Windows\system\boolan60.exe
C:\Windows\system\my_70085.exe
C:\Windows\system\fc01.exe
C:\Windows\system\ad_2200.exe
C:\Windows\system\dodolook379.exe
C:\Windows\system\_xr.bat
C:\Windows\Help\04B0A72E.chm( 随机名字的)
C:\Windows\Temp\~my1F.tmp
C:\Windows\04B0A72E.hlp( 随机名字的)
C:\Windows\kulionrx.exe
C:\Windows\wmsj.exe
C:\Windows\kulionrx.dll
C:\Windows\winow.exe
C:\Windows\video.dll
C:\Windows\kulionzx.exe
C:\Windows\winow.dll
C:\Windows\winwm.exe
C:\Windows\kulionzx.dll
C:\Windows\kulionmf.exe
C:\Windows\kulionwm.dll
C:\Windows\kulionmf.dll
C:\Windows\winwl.exe
C:\Windows\kulionwl.dll
C:\Windows\761.bmp
C:\Windows\6771.exe
C:\Windows\77f01.txt
C:\Documents and Settings\All Users\Application Data\t\r1036.dat
C:\Documents and Settings\All Users\Application Data\t\b1036.dat
C:\Documents and Settings\All Users\Application Data\t\k1036.dat
C:\Documents and Settings\All Users\Application Data\t\a1036.dat
C:\Documents and Settings\All Users\Application Data\t\p1036.dat
C:\Documents and Settings\你当前用户名\Local Settings\Temp\~DF8EC.tmp
C:\Documents and Settings\你当前用户名\Local Settings\Temp\~DF33E1.tmp
C:\Documents and Settings\你当前用户名\Local Settings\Temp\BCGE.tmp
C:\Documents and Settings\你当前用户名\Local Settings\Temp\_
C:\Documents and Settings\你当前用户名\Local Settings\Temp\dl1.exe
C:\Documents and Settings\你当前用户名\Local Settings\Temp\dl2.exe
C:\Documents and Settings\你当前用户名\Local Settings\Temp\cml21.tmp
C:\Documents and Settings\你当前用户名\Local Settings\Temp\Insshell.exe
C:\Documents and Settings\你当前用户名\Local Settings\Temp\play.dll
C:\Documents and Settings\你当前用户名\Local Settings\Temp\Inst.dll
C:\Documents and Settings\你当前用户名\Local Settings\Temp\BHO.dll
C:\Documents and Settings\你当前用户名\Local Settings\Temp\ser.exe
C:\Documents and Settings\你当前用户名\Local Settings\Temp\tempaq
C:\Program Files\Common Files\Microsoft Shared\MSInfo\04B0A72E.dll( 随机名字的)
C:\Program Files\Common Files\Microsoft Shared\MSInfo\04B0A72E.dat( 随机名字的)
C:\Program Files\Common Files\Microsoft Shared\MSInfo\SysWFGQQ2.dll
C:\Program Files\Common Files\CPUSH\Uninst.exe
C:\Program Files\Common Files\CPUSH\cpush.dll
C:\Favorites\收藏.url
D:\AutoRun.inf
D:\04B0A72E.exe( 随机名字的)
E:\04B0A72E.exe( 随机名字的)
E:\AutoRun.inf
F:\04B0A72E.exe( 随机名字的)
F:\AutoRun.inf
C:\Windows\system32\drivers\7rjzbsp.sys( 随机名字的)
C:\Windows\system32\drivers\x69h45gutu.sys( 随机名字的)
C:\Windows\system32\yswow713.exe
C:\Windows\system32\bsmain.bak
C:\Windows\system32\ysrx713.exe
C:\Windows\system32\host.exe
C:\Windows\system32\huamf729.exe
C:\Windows\system32\729ysgj.exe
C:\Windows\system32\yszx713.exe
C:\Windows\system32\mhtest.exe
C:\Windows\system32\-8-47-9451
C:\Windows\system32\mprmsgse.axz
C:\Windows\system32\716yswl.exe
C:\Windows\system32\yswm613.exe
C:\Windows\system32\RemoteDbg.dll
C:\Windows\system32\5hptd.dll
C:\Windows\system32\c51.dll
C:\Windows\system32\mscpx32r.det
C:\Windows\system32\5441.dll
C:\Windows\system32\44191.exe
C:\Windows\system32\8-47-9451
C:\Windows\system32\0ce
C:\Windows\system\ad1309.exe
C:\Windows\system\boolan60.exe
C:\Windows\system\my_70085.exe
C:\Windows\system\fc01.exe
C:\Windows\system\ad_2200.exe
C:\Windows\system\dodolook379.exe
C:\Windows\system\_xr.bat
C:\Windows\Help\04B0A72E.chm( 随机名字的)
C:\Windows\Temp\~my1F.tmp
C:\Windows\04B0A72E.hlp( 随机名字的)
C:\Windows\kulionrx.exe
C:\Windows\wmsj.exe
C:\Windows\kulionrx.dll
C:\Windows\winow.exe
C:\Windows\video.dll
C:\Windows\kulionzx.exe
C:\Windows\winow.dll
C:\Windows\winwm.exe
C:\Windows\kulionzx.dll
C:\Windows\kulionmf.exe
C:\Windows\kulionwm.dll
C:\Windows\kulionmf.dll
C:\Windows\winwl.exe
C:\Windows\kulionwl.dll
C:\Windows\761.bmp
C:\Windows\6771.exe
C:\Windows\77f01.txt
C:\Documents and Settings\All Users\Application Data\t\r1036.dat
C:\Documents and Settings\All Users\Application Data\t\b1036.dat
C:\Documents and Settings\All Users\Application Data\t\k1036.dat
C:\Documents and Settings\All Users\Application Data\t\a1036.dat
C:\Documents and Settings\All Users\Application Data\t\p1036.dat
C:\Documents and Settings\你当前用户名\Local Settings\Temp\~DF8EC.tmp
C:\Documents and Settings\你当前用户名\Local Settings\Temp\~DF33E1.tmp
C:\Documents and Settings\你当前用户名\Local Settings\Temp\BCGE.tmp
C:\Documents and Settings\你当前用户名\Local Settings\Temp\_
C:\Documents and Settings\你当前用户名\Local Settings\Temp\dl1.exe
C:\Documents and Settings\你当前用户名\Local Settings\Temp\dl2.exe
C:\Documents and Settings\你当前用户名\Local Settings\Temp\cml21.tmp
C:\Documents and Settings\你当前用户名\Local Settings\Temp\Insshell.exe
C:\Documents and Settings\你当前用户名\Local Settings\Temp\play.dll
C:\Documents and Settings\你当前用户名\Local Settings\Temp\Inst.dll
C:\Documents and Settings\你当前用户名\Local Settings\Temp\BHO.dll
C:\Documents and Settings\你当前用户名\Local Settings\Temp\ser.exe
C:\Documents and Settings\你当前用户名\Local Settings\Temp\tempaq
C:\Program Files\Common Files\Microsoft Shared\MSInfo\04B0A72E.dll( 随机名字的)
C:\Program Files\Common Files\Microsoft Shared\MSInfo\04B0A72E.dat( 随机名字的)
C:\Program Files\Common Files\Microsoft Shared\MSInfo\SysWFGQQ2.dll
C:\Program Files\Common Files\CPUSH\Uninst.exe
C:\Program Files\Common Files\CPUSH\cpush.dll
C:\Favorites\收藏.url
D:\AutoRun.inf
D:\04B0A72E.exe( 随机名字的)
E:\04B0A72E.exe( 随机名字的)
E:\AutoRun.inf
F:\04B0A72E.exe( 随机名字的)
F:\AutoRun.inf
3、设置冰刃,重启并监视。
4、打开SREng,删除:
注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{0A7204B0-04B0-A72E-B0A7-4B0724B0A72E}><C:\Program Files\Common Files\Microsoft Shared\MSINFO\04B0A72E.dll> []( 随机名字的)
<{91B1E846-2BEF-4345-8848-7699C7C9935F}><C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysWFGQQ2.dll> []
<{0A7204B0-04B0-A72E-B0A7-4B0724B0A72E}><C:\Program Files\Common Files\Microsoft Shared\MSINFO\04B0A72E.dll> []( 随机名字的)
<{91B1E846-2BEF-4345-8848-7699C7C9935F}><C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysWFGQQ2.dll> []
服务:
[Remote Debug Service / RemoteDbg][Stopped/Auto Start]
<C:\winnt\system32\rundll32.exe RemoteDbg.dll,input><Microsoft Corporation>
[Fax 2Client / ms_2fax][Stopped/Auto Start]
<C:\winnt\system32\44191.exe><N/A>
<C:\winnt\system32\rundll32.exe RemoteDbg.dll,input><Microsoft Corporation>
[Fax 2Client / ms_2fax][Stopped/Auto Start]
<C:\winnt\system32\44191.exe><N/A>
驱动:
[acpidisk / acpidisk][Running/Auto Start]
<\??\C:\winnt\system32\drivers\acpidisk.sys><N/A>
[7rjzbsp / 7rjzbsp][Running/Auto Start]
<\??\C:\winnt\system32\drivers\7rjzbsp.sys><N/A>( 随机名字的)
[x69h45gutu / x69h45gutu][Running/Boot Start]
<\SystemRoot\System32\DRIVERS\x69h45gutu.sys><N/A>( 随机名字的)
<\??\C:\winnt\system32\drivers\acpidisk.sys><N/A>
[7rjzbsp / 7rjzbsp][Running/Auto Start]
<\??\C:\winnt\system32\drivers\7rjzbsp.sys><N/A>( 随机名字的)
[x69h45gutu / x69h45gutu][Running/Boot Start]
<\SystemRoot\System32\DRIVERS\x69h45gutu.sys><N/A>( 随机名字的)
浏览器加载项:
[CAdLogic Object]
{11F09AFD-75AD-4E51-AB43-E09E9351CE16} <C:\Program Files\Common Files\CPUSH\cpush.dll, >
{11F09AFD-75AD-4E51-AB43-E09E9351CE16} <C:\Program Files\Common Files\CPUSH\cpush.dll, >
5、置空所有HOSTS。
6、下载的注册表导入``
收工``=。=
附上AV终结者技术暴光:
[url]http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/ff361e4e097d6acbd1c86ac4.html[/url]
AD:
专杀杀不掉的``请发样本至:
加密virus
