S168.exe

无语了``又是S168.exe
 
这次做了另类的"免杀"
 
通过载体(Dropper)解析主体S168.exe连接地址,反弹下载。
 
这个载体大小不过1K。。。。
 
瑞星、卡吧等都没有报。。
 
文件名称:S168.exe
文件大小:22575 bytes
AV命名:DLOADER.Trojan(DrWeb)
加壳方式:UPX
编写语言:Borland Delphi 6.0 - 7.0
病毒类型:下载者、后门
文件MD5:D5E38B721DF2F0ABFDB6B12F38D6B5A6
文件SHA1:40044A3F55B5DE23512ED71DA35CDAC6B9D07FED
 
行为分析:
 
1、释放病毒文件:

C:\Program Files\Internet Explorer\rksldk.bak   22575 字节

C:\Program Files\Internet Explorer\rksldk.dll   13871 字节

C:\Program Files\Common Files\goskdl.dll   13871 字节
PS:文件名可能不同,注意文件大小。
 
2、查找江民、360、瑞星等安装目录,在其目录生成:
 
ws2_32.dll或MFC42.dll的文件夹,导致其监控失效。
 
3、删除Hosts解析域名文件,防止木马下载网站被屏蔽。
 
4、rksldk.dll写入注册表,开机自行注入。
 
5、反向连接66.186.33.**(XXX.9168a.com),下载木马,30多个吧。。。
 
解决方法一:
 
[url]http://free.ys168.com/?gudugengkekao[/url]下载:
 
图片点击可在新窗口打开查看 sreng2.5.zip 780KB
 
图片点击可在新窗口打开查看 把要删除的拖给我.bat KB
 
1、打开SREng,删除启动项:
 
注册表:
 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
     <asgfdjs2><C:\winnt\system32\vbsdaas2.exe>   []
 
( 这个注意不要漏了,它会关瑞星、过卡吧主动)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
     <{DC7596CB-D6CC-DCA3-DE52-DEEA63F6C61D}><C:\Program Files\Internet Explorer\rksldk.dll>
 
2、显示所有隐藏文件:

控制面板-文件夹选项-查看-选中显示所有文件和文件夹
 
去掉“隐藏受保护的系统文件”的勾
 
到杀软或安全工具打不开的目录下,查找ws2_32.dll或MFC42.dll的文件夹。
 
把ws2_32.dll或MFC42.dll的文件夹拖到“把要删除的拖给我.bat”。它会自动删除。
 
删除不掉的话自己找冰刃或UNlocker删```
 
3、重启后杀软监控应该可以开启了,记得升级杀软,全盘扫。。
 
 
解决方法二:
 
[url]http://free.ys168.com/?gudugengkekao1[/url]下载
 
图片点击可在新窗口打开查看 冰刃.rar 2,110KB
 
图片点击可在新窗口打开查看 sreng2.5.zip 780KB
 
图片点击可在新窗口打开查看 把要删除的拖给我.bat KB
 
执行下面操作前最好全面清理电脑所有临时文件夹。
 
1、打开冰刃,设置进程线程创建,确定。
 
2、冰刃“文件”选项,删除:
 
C:\Program Files\Internet Explorer\rksldk.bak   22575 字节

C:\Program Files\Internet Explorer\rksldk.dll   13871 字节

C:\Program Files\Common Files\goskdl.dll   13871 字节
PS:以上3个是主体,不要漏了。文件名可能会不同,注意文件大小。
 
其他的木马:
 
C:\Windows\System32\mhdoor0.dll
C:\Windows\System32\vbsdaas2.exe
C:\Windows\System32\xk1s0.dll
C:\Windows\System32\ztdoor0.dll
C:\Windows\System32\jtdoor0.dll
C:\Windows\System32\wldoor0.dll
C:\Windows\System32\qjdoor0.dll
C:\Windows\System32\rxdoor0.dll
C:\Windows\System32\tldoor0.dll
C:\Windows\System32\dadoor0.dll
C:\Windows\System32\mydoor0.dll
C:\Windows\System32\qhdoor0.dll
C:\Windows\System32\Packet.dll
C:\Windows\System32\WanPacket.dll
C:\Windows\System32\wpcap.dll
C:\Program Files\Common Files\Setup.exe
C:\Program Files\Common Files\svchost.exe
 
3、设置冰刃,重启并监视。
 
4、重启后打开SREng,删除:
 
注册表:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
     <asgfdjs2><C:\winnt\system32\vbsdaas2.exe>   []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
     <{DC7596CB-D6CC-DCA3-DE52-DEEA63F6C61D}><C:\Program Files\Internet Explorer\rksldk.dll>   [Microsoft Corporation]
     <{5731EA1D-6AAF-4DE9-BDDA-7B390A75B286}><C:\winnt\system32\xk1s0.dll>   []
     <{3422FB0F-95EB-458A-8B56-39552017A4EF}><C:\winnt\system32\mhdoor0.dll>   []
     <{71046DD5-E136-4C4B-A6B5-91C30CB15291}><C:\winnt\system32\jtdoor0.dll>   []
     <{E952B8F8-D91A-4EDD-851C-EE1A0F944469}><C:\winnt\system32\ztdoor0.dll>   []
     <{E03C23BD-35B7-49C2-BBCA-6D8CEC2507E3}><C:\winnt\system32\wldoor0.dll>   []
     <{6826A3DB-EA8E-4E67-880D-53D04C7C0BD8}><C:\winnt\system32\qjdoor0.dll>   []
     <{A3C95A74-638D-4C6B-A856-4B27664A7F47}><C:\winnt\system32\wgdoor0.dll>   []
     <{68F7767A-090C-4BBF-A015-720ACC6706E2}><C:\winnt\system32\wddoor0.dll>   []
     <{EDFF29C1-5A70-4460-AC1D-16DCB4B672F0}><C:\winnt\system32\rxdoor0.dll>   []
     <{08E909A4-B236-48DD-8BCC-90A604B93E68}><C:\winnt\system32\tldoor0.dll>   []
     <{D8CC4845-441C-44F8-9053-28F2EF67655B}><C:\winnt\system32\dadoor0.dll>   []
     <{781FBCC1-99C7-4AE0-95F7-66EA49E86DD7}><C:\winnt\system32\zxdoor0.dll>   []
     <{4E3FBFA4-F1CC-4B66-B333-B9F0FF4B4748}><C:\winnt\system32\mydoor0.dll>   []
     <{ABD0935D-B35A-47BD-BA9A-81678DDE74DD}><C:\winnt\system32\qhdoor0.dll>   []

PS:也可以第一步就用SREng删除这些启动项,然后重启再删除对应的文件。
 
5、显示所有隐藏文件:

控制面板-文件夹选项-查看-选中显示所有文件和文件夹~
 
去掉“隐藏受保护的系统文件”的勾
 
到杀软或安全工具打不开的目录下,查找ws2_32.dll或MFC42.dll的文件夹。
 
把ws2_32.dll或MFC42.dll的文件夹拖到把要删除的拖给我.bat。它会自动删除。
 
删除不掉的话自己找冰刃或UNlocker删```
 
6、重启后杀软监控应该可以开启了,记得升级杀软,全盘扫。。
 
 

你可能感兴趣的:(职场,休闲,杀毒,木马群,S168.exe)