修改IE首页为“http://www.3929.cn/?tn=”的病毒分析与修复方法

病毒EXE主程序部分:
  文件大小:35840字节
  MD5 校验:ecebfb14005544cc4014d0fbf601f7a0
  加壳名称:UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
  开发工具:Microsoft Visual C++ 6.0
  壳结尾处:004194EB - E9 1CA9FEFF  JMP l9.00403E0C
  入口地址:00003E0C
  解密函数(所有用到的字符串都是加密存放的):
  00403869  E8 12F5FFFF  CALL l9.00402D80
  解密后的所有字符串如下:
  0012FE58 0040BFD4 ASCII "{701407A4-B171-4E8A-AD7C-F594B07B2800}"
  0012FE78 0040BFFC ASCII "%s%s.dll"
  0040C008=l9.0040C008 (ASCII "%sdrivers%s.sys")
  0040C020=l9.0040C020 (ASCII "rundll32.exe")
  0040C030=l9.0040C030 (ASCII "DllRegisterServer")
  0040C044=l9.0040C044 (ASCII "%s%s %s%s.dll,%s")
  0040C058=l9.0040C058 (ASCII "NotePad")
  0040C060=l9.0040C060 (ASCII "WinWord")
  0040C068=l9.0040C068 (ASCII "msvcrt.dll")
  0040C074=l9.0040C074 (ASCII ".Globalrkdoor")
  0040C088=l9.0040C088 (ASCII ".GlobalLocalSystemX")
  0040C0A8=l9.0040C0A8 (ASCII "SOFTWAREMicrosoftWindowsCurrentVersion")
  0040C0D4=l9.0040C0D4 (ASCII "ping -n 3 127.0.0.1>nul")
  0040C0EC=l9.0040C0EC (ASCII ":Repeat")
  0012FE48 0040C0F4 ASCII "del "%s""
  0040C100=l9.0040C100 (ASCII "if exist "%s" goto Repeat")
  0040C11C=l9.0040C11C (ASCII "cd %c:")
  0040C124=l9.0040C124 (ASCII "del %0")
  0040C12C=l9.0040C12C (ASCII "%s%s.bat")
  运行函数:
  004038F2  E8 29E3FFFF  CALL l9.00401C20
  创建窗口:
  00401C66  FF15 C8404000 CALL DWORD PTR DS:[4040C8]       ; USER32.CreateWindowExA
  程序会在创建窗口的过程中,运行如下代码(只摘录了函数入口地址):
  004020F0  55       PUSH EBP
  病毒执行的功能函数(放的地方很隐蔽,一般很难动态跟踪定位到这里):
  00402136  E8 B5F1FFFF  CALL l9.004012F0   ;以读写方式打开设备".Globalrkdoor"
  0040213B  85C0      TEST EAX,EAX     ;对比
  0040213D  75 05     JNZ SHORT l9.00402144 ;判断设备是否可以打开(是否存在)
  0040213F  E8 2C130000  CALL l9.00403470   ;不存在则在这里创建,并进行所有其它的安装操作
  释放病毒DLL组件文件(文件名随机):
  C:WINDOWSsystem32*.dll
  释放病毒驱动文件(文件名随机,驱动以服务方式安装运行):
  C:WINDOWSsystem32drivers*.sys
  创建注册表标记项:
  00402D41  E8 BAE2FFFF  CALL l9.00401000
  注册表标记项位置如下(名称全部随机):
  "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionAfUlRqs"
  0012EF1C 0012F2BC |ValueName = "vybx"
  0012EF1C 0012F2EC |ValueName = "mqnyr"
  0012EF1C 0012F334 |ValueName = "ejusad" 
         0012EF1C 0012F31C ASCII "vensham"
  加载运行释放出来的病毒DLL组件程序:
  0012F054 0012F07C ASCII "C:WINDOWSsystem32rundll32.exe C:WINDOWSsystem32*.dll,DllRegisterServer"
  创建批处理文件调用运行,实现自我删除:
  C:WINDOWSsystem32*.bat
  关闭退出。
  -----------------------------------------------------------------------------------------------
  病毒DLL组件部分:
  文件大小:45056字节
  MD5 校验:文件MD5值不固定,受配置信息干扰
  开发工具:Microsoft Visual C++ 6.0 DLL
  未加壳,但DLL中的所有字符串全部加密保存。
  DLL中有4个导出函数:
  DllCanUnloadNow
  DllGetClassObject
  DllRegisterServer
  DllUnregisterServer
  恶意网址:
  [url]http://www.outhang.cn/api.php?[/url]
  [url]http://www.outhang.cn/update.php?[/url]
  表单结构:
  id=%d&mac=%s&type=%d&setupdate=%d%02d%02d&homepage=%s
  id=%d&updateversion=%d
  -----------------------------------------------------------------------------------------------
  病毒SYS驱动部分:
  文件大小:28608字节
  MD5 校验:文件MD5值不固定,受配置信息干扰
  驱动功能:
  1、保护病毒主程序释放出来的DLL文件、SYS文件和系统HOSTS文件,使之不被修改、删除。
  2、监视保护驱动程序自身服务启动项(删除后会重新创建)。
  3、保护驱动程序自身正在运行着的服务,使之不被停止、终止、禁用、删除。
  4、驱动服务启动(启动优先级为“Boot”)后,会自动调用DLL组件运行(用“rundll32.exe”加载调用)。
  5、设置系统IE浏览器的默认首页为“[url]http://www.3929.cn/?tn=102731[/url]”(“tn=”后面的编号不唯一)。
  该病毒就只有唯一一个启动项,那就是这个恶意驱动程序的服务项,启动优先级为“Boot”。
  -----------------------------------------------------------------------------------------------
   手动删除该病毒的方法步骤(经过实际测试绝对有效):
  第一步:寻找判断定位病毒释放出来的DLL和SYS的文件名称(DLL和SYS加一起一共两个文件)。
  第二步:使用PE盘启动计算机,删除掉病毒释放出来的DLL和SYS文件(DLL和SYS加一起一共两个文件,删除前请事先备份)。
  第三步:重新启动计算机进入正常系统,删除掉驱动的服务启动和其它注册表残留。
  第四步:打开“IE设置选项”,设置您想要设置的默认IE浏览器主页。
  第五步:使用杀毒软件进行全盘查杀病毒(该病毒为木马下载器下载到您计算机中的病毒,那个木马下载器还下载了N多其它病毒也同时安装到了您的计算机系统中)。
  第六步:该病毒清理完毕。

你可能感兴趣的:(IE,职场,首页,休闲)