文件名称:dream.exe\sbl.exe
文件大小:146592 bytes
AV命名:(Kaspersky 7.0)Trojan.Win32.Delf.adf
加壳方式:UltraProtect 1.x
编写语言:Delphi
文件MD5:bb2da6dcb865b70fe0754db71cee72d8
行为分析:
1、释放病毒副本:
主体:
%Systemroot%\system32\1.inf 87 字节
%Systemroot%\system32\dream.exe 146592 字节
%Systemroot%\system32\plmmsbl.dll 462336 字节
下载的流氓软件:
%Systemroot%\system32\gmxe.dll 135168 字节
%Systemroot%\system32\drivers\swmcswozyn.sys 23232 字节
%Systemroot%\system32\drivers\xpg7.sys 26176 字节
C:\Favorites\收藏.url
2、添加注册表,开机自启:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run下
有2个子键,分别是:
注册表值dream = REG_SZ, C:\winnt\system32\dream.exe
注册表值melove = REG_SZ, C:\winnt\system32\dream.exe
指向的都是:C:\winnt\system32\dream.exe
注意,如果是XP系统的话,是:C:\windows\system32\dream.exe
3、查找可用的磁盘,再其目录下生成病毒副本:
Autorun.inf和sbl.exe。
Autorun.inf内容为:
OPEN=sbl.exe
shellexecute=sbl.exe
shell\Auto\command=sbl.exe
shell=open
4、如果磁盘下的Autorun.inf是U盘免疫文件夹,会被删除,如不成功,则重命名。(未验证)
5、调用net stop 命令停止系统自带的防火墙。
6、尝试结束以下进程:
360tray.exe
360safe.exe
avp.exe
7、如果运行程序的窗口带有如下字样,会被关闭:
防火墙 任务管理器 木马清道夫 木马克星 超级巡警
微点 安全卫士 木马杀客 杀毒 江民 金山 主线程 NOD32核心
EXESPY WXR95 REGMON FILE MONITOR REGMONEX WINDOW DETECTIVE DEBUGVIEW RESSPY ADVANCED REGISTRY TRACER REGSNAP MEMSPY MEMORY DOCTOR PROCDUMP32 MEMORY EDITOR FROGSICE SMU WINSPECTOR MEMORY DUMPER MEMORYMONITOR NUMEGA SOFTICE LOADER URSOFT W32DASM -=CHINA CRACKING GROUP=- OllyDbg TRW2000 DEFAULT IME NDOW- 360 [MAXTHON]
………………
8、IFEO镜像劫持,如果成功的话,下面安全软件会遭殃(未实现):
360rpt.exe
360Safe.exe
360tray.exe
adam.exe
AgentSvr.exe
AppSvc32.exe
autoruns.exe
avgrssvc.exe
AvMonitor.exe
avp.com
avp.exe
CCenter.exe
ccSvcHst.exe
FileDsty.exe
FTCleanerShell.exe
HijackThis.exe
IceSword.exe
iparmo.exe
Iparmor.exe
isPwdSvc.exe
kabaload.exe
KaScrScn.SCR
KASMain.exe
KASTask.exe
KAV32.exe
KAVDX.exe
KAVPFW.exe
KAVSetup.exe
KAVStart.exe
KISLnchr.exe
KMailMon.exe
KMFilter.exe
KPFW32.exe
KPFW32X.exe
KPFWSvc.exe
KRegEx.exe
KRepair.COM
KsLoader.exe
KVCenter.kxp
KvDetect.exe
KvfwMcl.exe
KVMonXP.kxp
KVMonXP_1.kxp
kvol.exe
kvolself.exe
KvReport.kxp
KVSrvXP.exe
KVStub.kxp
kvupload.exe
kvwsc.exe
KvXP.kxp
KWatch.exe
KWatch9x.exe
KWatchX.exe
loaddll.exe
MagicSet.exe
mcconsol.exe
mmqczj.exe
mmsk.exe
NAVSetup.exe
nod32krn.exe
nod32kui.exe
PFW.exe
PFWLiveUpdate.exe
QHSET.exe
Ras.exe
Rav.exe
RavMon.exe
RavMonD.exe
RavStub.exe
RavTask.exe
RegClean.exe
rfwcfg.exe
RfwMain.exe
rfwProxy.exe
rfwsrv.exe
RsAgent.exe
Rsaupd.exe
runiep.exe
safelive.exe
scan32.exe
shcfg32.exe
SmartUp.exe
SREng.exe
symlcsvc.exe
SysSafe.exe
TrojanDetector.exe
Trojanwall.exe
TrojDie.kxp
UIHost.exe
UmxAgent.exe
UmxAttachment.exe
UmxCfg.exe
UmxFwHlp.exe
UmxPol.exe
UpLive.EXE
WoptiClean.exe
zxsweep.exe
9、检测进程是否有spoolsv.exe,并尝试将plmmsbl.dll注入其中。
????
10、每隔几毫秒检测所有可用的磁盘,并生成autorun.inf和病毒副本。
可能导致U盘等移动介质感染。好像还有监视自身注册表的功能呵(不记得了,没注意看``)
11、连接210.51.168.1**( 北京市 网通亦庄IDC中心)下载:
h**p://www.seekelv.org/js/ad.exe
h**p://www.seekelv.org/js/ad2.exe
好像是垃圾流氓软件,被我54了 ,其中一个在后台刷流量``-_-!
解决方法一:
1、下载:
[url]http://www.kingzoo.com/tools/[/url]孤独更可靠/PowerRmv.com
[url]http://www.kingzoo.com/tools/[/url]孤独更可靠/sreng2.5.zip
[url]http://www.kingzoo.com/tools/[/url]孤独更可靠/修复IFEO之XP系统专用.rar
2、下载后直接放桌面,断开网络,关闭不需要的连接。
3、打开修复IFEO之XP系统专用.rar,修复IFEO劫持。
4、运行PowerRmv.com,选上抑制杀灭对象再次生成,填入下面路径后确定:
C:\windows\system32\1.inf
C:\windows\system32\dream.exe
C:\windows\system32\plmmsbl.dll
C:\autorun.inf
C:\sbl.exe
D:\autorun.inf
D:\sbl.exe
E:\autorun.inf
E:\sbl.exe
F:\autorun.inf
F:\sbl.exe
5、打开SREng,删除:
注册表:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<melove><C:\winnt\system32\dream.exe> [Microsoft Corporation]
<dream><C:\winnt\system32\dream.exe> [Microsoft Corporation]
驱动:
[xpg7 / xpg7][Stopped/Auto Start]
<\??\C:\winnt\system32\drivers\xpg7.sys><N/A>
[swmcswozyn / swmcswozyn][Stopped/Auto Start]
<\??\C:\winnt\system32\drivers\swmcswozyn.sys><N/A>
解决方法二:
1、下载:
[url]http://www.kingzoo.com/tools/[/url]孤独更可靠/冰刃.rar
[url]http://www.kingzoo.com/tools/[/url]孤独更可靠/sreng2.5.zip
[url]http://www.kingzoo.com/tools/[/url]孤独更可靠/修复IFEO之XP系统专用.rar
2、下载后直接放桌面,断开网络,关闭不需要的连接。
3、打开冰刃,设置―禁止进线程创建。然后结束病毒进程,可能是:sbl.exe或dream.exe。
4、打开冰刃的“文件”功能,删除病毒文件:
C:\windows\system32\1.inf
C:\windows\system32\dream.exe
C:\windows\system32\plmmsbl.dll
C:\autorun.inf
C:\sbl.exe
D:\autorun.inf
D:\sbl.exe
E:\autorun.inf
E:\sbl.exe
F:\autorun.inf
F:\sbl.exe
5、设置冰刃,重启并监视。
6、重启后打开SREng,删除:
注册表:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<melove><C:\winnt\system32\dream.exe> [Microsoft Corporation]
<dream><C:\winnt\system32\dream.exe> [Microsoft Corporation]
驱动:
[xpg7 / xpg7][Stopped/Auto Start]
<\??\C:\winnt\system32\drivers\xpg7.sys><N/A>
[swmcswozyn / swmcswozyn][Stopped/Auto Start]
<\??\C:\winnt\system32\drivers\swmcswozyn.sys><N/A>