“柯南”病毒.(Trojan-PSW.Win32.QQRob)
其实这是之前Rose病毒的一个新变种,大多数杀软都能识别。
文件名称:sxs.exe
文件大小:40663 byte
AV命名:
卡巴斯基:Trojan-PSW.Win32.QQRob
瑞星:Worm.Pabug.l
加壳方式:Hmimys-Packer+Aspack
编写语言:Delphi
文件MD5:5aa93a60fcc9865fa2a60d9e73f2e373
行为分析:
1、释放文件:
C:\WINDOWS\system32\SVOHOST.exe 40663 字节
C:\WINDOWS\system32\winscok.dll 41120 字节
2、从D开始,判断可用磁盘(Z),生成sxs.exe 和autorun.inf 。
3、添加启动:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SoundMam = REG_SZ, "C:\windows\system32\SVOHOST.exe"
3、修改注册表,保证U盘自动运行:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoDriveTypeAutoRun修改为 REG_DWORD, 189
4、%Systemroot%system32释放noruns.reg。为:
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:bd
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:bd
????
5、尝试关闭:
sc.exe
cmd.exe
net.exe
sc1.exe
net1.exe
PFW.exe
Kav.exe
KVOL.exe
KVFW.exe
TBMon.exe
kav32.exe
kvwsc.exe
CCAPP.exe
EGHOST.exe
KRegEx.exe
kavsvc.exe
VPTray.exe
RAVMON.exe
KavPFW.exe
SHSTAT.exe
RavTask.exe
Iparmor.exe
MAILMON.exe
MCAGENT.exe
KAVPLUS.exe
RavMonD.exe
Rtvscan.exe
Nvsvc32.exe
KVMonXP.exe
Kvsrvxp.exe
CCenter.exe
KpopMon.exe
RfwMain.exe
KWATCHUI.exe
MCVSESCN.exe
MSKAGENT.exe
kvolself.exe
kavstart.exe
RAVTIMER.exe
RRfwMain.exe
FireTray.exe
UpdaterUI.exe
KVSrvXp_1.exe
RavService.exe
cmd.exe
net.exe
sc1.exe
net1.exe
PFW.exe
Kav.exe
KVOL.exe
KVFW.exe
TBMon.exe
kav32.exe
kvwsc.exe
CCAPP.exe
EGHOST.exe
KRegEx.exe
kavsvc.exe
VPTray.exe
RAVMON.exe
KavPFW.exe
SHSTAT.exe
RavTask.exe
Iparmor.exe
MAILMON.exe
MCAGENT.exe
KAVPLUS.exe
RavMonD.exe
Rtvscan.exe
Nvsvc32.exe
KVMonXP.exe
Kvsrvxp.exe
CCenter.exe
KpopMon.exe
RfwMain.exe
KWATCHUI.exe
MCVSESCN.exe
MSKAGENT.exe
kvolself.exe
kavstart.exe
RAVTIMER.exe
RRfwMain.exe
FireTray.exe
UpdaterUI.exe
KVSrvXp_1.exe
RavService.exe
6、关闭窗口:
QQKav
QQAV
TKillqqvir
TKqqviru
qqav
TApplication
网镖
木马
噬菌体
删除
QQAV
TKillqqvir
TKqqviru
qqav
TApplication
网镖
木马
噬菌体
删除
7、禁用服务:
stop sharedaccess
stop KVWSC
config KVWSC start= disabled
stop KVSrvXP
config KVSrvXP start= disabled
stop kavsvc
config kavsvc start= disabled
config RsRavMon start= disabled
stop RsCCenter
config RsCCenter start= disabled
stop RsRavMon
stop KVWSC
config KVWSC start= disabled
stop KVSrvXP
config KVSrvXP start= disabled
stop kavsvc
config kavsvc start= disabled
config RsRavMon start= disabled
stop RsCCenter
config RsCCenter start= disabled
stop RsRavMon
8、删除注册表启动项(如果有):
RavTask
KvMonXP
YLive
KAVPersonal50
SVCHOXT
NTdhcp
Winhoxt
yassistse
KvMonXP
YLive
KAVPersonal50
SVCHOXT
NTdhcp
Winhoxt
yassistse
9、查找互斥体“111111111”,如不存在则释放资源dllfile(winscok.dll)。
10、创建钩子(Hook):WH_KEYBOARD、WH_MOUSE、WH_CALLWNDPROC。
11、检测QQ.exe启动,并将winscok.dll注入。
并获得QQ绝对路径,删除
npkcrypt.sys。
12、记录QQ帐号密码后,发送至
*****@tom.com
和
[url]http://www.ctv163.com/alexa/Images/key.asp[/url]
。
密码邮箱都已失效。
13、每隔0.8秒查找"瑞星提示"窗口,并往"是(&Y)"发送BM_CLICK。
14、解密病毒体内字符串,发现一些链接,但测试时未有网络行为:
堆栈 ss:[0012FDE4]=00DE0040, (ASCII " [url]http://www.ctv163.com/[/url]")
edx=004057EA (sxs_unpa.004057EA), ASCII "lqrs>*)tsr(`ps757+eli*"
edx=004057EA (sxs_unpa.004057EA), ASCII "lqrs>*)tsr(`ps757+eli*"
堆栈 ss:[0012FDDC]=00DE00A8, (ASCII " [url]http://www.677977.com/[/url]")
edx=0040580A (sxs_unpa.0040580A), ASCII "lqrs>*)tsr(532?43+eli*"
edx=0040580A (sxs_unpa.0040580A), ASCII "lqrs>*)tsr(532?43+eli*"
[url]http://update.cd321.net/sie.txt[/url]
[url]http://update.cd321.net/hie.txt[/url]
dqhx1.txt
…………
15、每隔一段时间会检测自身启动项,并在可用磁盘建立病毒附件。
16、还有其他小细节,不详细写了:-)
解决方法:
1、下载SREng直接放桌面:
[url]http://www.kingzoo.com/tools/[/url]孤独更可靠/sreng2.5.zip
复制完整链接呃。。
2、打开任务管理器,关闭:SVOHOST.exe和Sxs.exe(如果有)。
3、删除启动项:“SoundMam”。
4、重启计算机。删除硬盘文件:
C:\WINDOWS\system32\SVOHOST.exe 40663 字节
C:\WINDOWS\system32\winscok.dll 41120 字节
还有磁盘下的sxs.exe 和autorun.inf
建议用Winrar删。记得别先进入磁盘呃,,不然要重来的。
5、修改QQ密码。
6、上述方法无法清除的,麻烦抓个病毒样本,仍到
[email protected]
或
[email protected]
加密virus
