今天修机时候捉到的一只虫子:

病毒总特征:U盘传播,INFO劫持,下载者
病毒样本来源:修电脑时获取
File Name: csyywll.exe
Size: 24,692 bytes
MD5: 29847cda7c110fd4aa6bd48e4210a24c
SHA1: 813D19C6AD3E97A7F257A2E255DA66AA630B31BB
CRC32: F7EFBE78
加密方式:FSG 2.0 -> bart/xt [Overlay]
脱壳后:(能力有限,脱不了)
行为分析(以下假设操作系统在C盘):
1    病毒运行后,首先Copy自身两次到C:\WINDOWS\system32并且分别改名为euhrcpx.exe和jdysium.exe,并且启动这两个程序,从而相互监视,防止被终止。
2    然后通过HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run添加两个自启动项目。
名称为csyywll指向C:\WINDOWS\system32\jdysium.exe
名称为xyurehx指向C:\WINDOWS\system32\euhrcpx.exe
3     向每个盘的根目录复制一份csyywll.exe和编写autorun.inf。
autorun.inf内容:
[AutoRun]
open=csyywll.exe
shell\open=打开(&O)
shell\open\Command=csyywll.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=csyywll.exe
4     再然后.........euhrcpx.exe进行 INFO劫持!劫持到“C:\WINDOWS\system32\jdysium.exe”。所有安全软件的文件名无一幸免。由于名单太长,所以就不列出来了.........只截图以作纪念。
 
看来INFO劫持最近被病毒利用得很多,已经达到泛滥程度了.......
5      修改注册表Drown类型CheckedValue值为0,以此隐藏文件。

6     下载病毒(20070602,01:30am,终于观测到了):
jdysium.exe下载并启动:
6.1、C:\WINDOWS\system32\1AFoxit Reader.exe
该程序将创建一个名为“ppstreamdll”,描述为“ppstream内置影音播放程序!”的服务,指向的文件名是C:\WINDOWS\ppstreamdll。而ppstreamdll将在后台打开iexplore.exe。
安装完成后调用DELETE.BAT删除1AFoxit Reader.exe自身。
6.2、C:\WINDOWS\system32\2Bpplive.exe
该程序将创建一个名为“ppstreamserver”,描述为“Windows影音播放程序!”的服务,指向的文件名是C:\WINDOWS\ppstreams。而ppstreamserver将在后台打开iexplore.exe。
安装完成后调用DELETE.BAT删除2Bpplive.exe自身。
有趣的是,1和2进行的时候,病毒改动了一些注册表。不知道他的原意是为了什么......
进程:
    路径: C:\Program Files\Internet Explorer\IEXPLORE.EXE
    PID: 1528
    信息: Internet Explorer (Microsoft Corporation)
注册表群组: User Shell Settings
对象:
    注册表键: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
(1)注册表值: Cache
      新的值:类型: REG_SZ
      值: C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files
      先前值:类型: REG_SZ
      值: C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files
(2)注册表值: Cookies
      新的值:类型: REG_SZ
      值: C:\Documents and Settings\LocalService\Cookies
      先前值:类型: REG_SZ
      值: C:\Documents and Settings\NetworkService\Cookies
(3)注册表值: History
      新的值:类型: REG_SZ
      值: C:\Documents and Settings\LocalService\Local Settings\History
      先前值:类型: REG_SZ
      值: C:\Documents and Settings\NetworkService\Local Settings\History
6.3、C:\WINDOWS\system32\4Dhjh.exe
复制自身到C:\WINDOWS、改名为pplive.exe并且启动。自动安装并且启动:
6.3.1        C:\WINDOWS\KNM.exe
6.3.1.1     该程序将创建一个名为“geonServer1.23”,描述为“服务程序监控管理”的服务,指向的文件名是C:\WINDOWS\ppstear。该服务启动不成功,被挂起。
6.3.1.2     释放C:\Program Files\Common Files\Microsoft Shared\MSInfo\SysWFGQQ2.dll,并且注入系统进程。挂钩类型:WH_GETMESSAGE。
6.3.1.3      完成后将通过C:\WINDOWS\_xr.bat删除自身。但是不知为什么无法删除,导致CMD大量占用内存。
6.3.2        C:\WINDOWS\MN.exe
6.3.2.1     释放C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys,并且注入系统进程。挂钩类型:WH_CALLWNDPROC,WH_GETMESSAGE。
6.3.3       所有步骤完成后调用DELETE.BAT删除pplive.exe。但是不知为什么无法删除,导致CMD大量占用内存。
 
解决方法(20070604,1130am更新):

(不好意思,让大家久等......)

以下假设你的操作系统装在C盘
 
1、下载以下软件:
IceSword 1.20:[url]http://www.onlinedown.net/soft/4523.htm[/url]
Autoruns 8.61:[url]http://www.onlinedown.net/soft/21271.htm[/url]
System Repair Engineer 2.4.12.806 正式版:[url]http://www.onlinedown.net/soft/25562.htm[/url]

2、断网
3、解压缩IceSword.zip,然后把ICESWORD.EXE重命名为任意名称,如111.exe。
运行111.exe,点左上角的“文件”-〉“设置”,勾选“禁止进线程创建”,按确定。
结束如下进程(右键单击进程文件名,选“结束进程”):
所有的IEXPLORE.EXE(有多少个就结束多少个)
所有的CMD.exe(有多少个就结束多少个)
euhrcpx.exe
jdysium.exe
4、结束模块
右键单击explorer.exe,选择“模块信息”,然后点选以下DLL模块,按“强制解除”
C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys
C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysWFGQQ2.dll

5、用ICESWORD删除以下文件(使用“强制删除”):
C:\WINDOWS\system32\euhrcpx.exe
C:\WINDOWS\system32\jdysium.exe
C:\WINDOWS\system32\4Dhjh.exe
C:\WINDOWS\system32\1AFoxit Reader.exe(如果有的话)
C:\WINDOWS\system32\2Bpplive.exe(如果有的话)
C:\WINDOWS\KNM.exe
C:\WINDOWS\MN.exe
C:\WINDOWS\pplive.exe
C:\WINDOWS\ppstear
C:\WINDOWS\ppstreamdll
C:\WINDOWS\ppstreams
C:\WINDOWS\_xr.bat(如果有的话)
C:\WINDOWS\delete.bat(如果有的话)
C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys
C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysWFGQQ2.dll
每个盘根目录下的autorun.inf和csyywll.exe,如C:\autorun.inf和C:\csyywll.exe、D:\autorun.inf和D:\csyywll.exe、E:\autorun.inf和E:\csyywll.exe........如此类推。

(5的备注:非常离奇的是在我的实验中,C:\WINDOWS\KNM.exe、C:\WINDOWS\MN.exe、C:\WINDOWS\pplive.exe、C:\WINDOWS\ppstear、C:\WINDOWS\ppstreamdll、C:\WINDOWS\ppstreams这五个文件在ICESWOrd下无法删除,如果是这样请看后面的步骤6.1)
 
6、取消“禁止进线程创建”,即点左上角的“文件”-〉“设置”,勾掉“禁止进线程创建”,按确定。
6.1 如果出现“5的备注”的情况,请打开WINRAR,找到那些文件,然后右键单击,选择“删除文件”即可。然后清空文件夹。

7、解压缩Autoruns.exe,然后把autoruns.EXE重命名为任意名称,如222.exe。
8、运行222.exe,点“agree”,然后点选“IMAGE HIJACKS”选项卡(汉化版名称为“映像劫持”),把除了一个名称为“Your Image File Name Here without a path”(蓝色标示)不要删除之外,其余全部右键单击,按“DELETE”(汉化版为“删除”;红色方框所示)
 
9、解压缩sreng2.zip,运行SREng.exe
“启动项目”---〉“注册表”选项卡。删除如下启动项目。
     <xyurehx><C:\WINDOWS\system32\euhrcpx.exe>   [N/A]
     <csyywll><C:\WINDOWS\system32\jdysium.exe>   [N/A]
“启动项目”---〉“服务”选项卡,单击“Win32服务应用程序”,然后勾选上“隐藏已认证的微软项目”。
在以下服务上面单击右键--〉“停止服务”,然后再次选中该服务,选中“删除服务”,点“设置”再点“否”就可以删除
[geon_Server1.23 / geonServer1.23][Stopped/Auto Start]
   <C:\WINDOWS\ppstear><N/A>
[ppstreamdll / ppstreamdll][Stopped/Auto Start]
   <C:\WINDOWS\ppstreamdll><N/A>
[ppstreamserver / ppstreamserver][Stopped/Auto Start]
   <C:\WINDOWS\ppstreams><N/A>

10、删除临时文件夹里面的所有东西,包括:
C:\Documents and Settings\<用户名>\Local Settings\Temp(即C:\DOCUME~1\li\LOCALS~1\Temp)
C:\WINDOWS\TEMP
Internet临时文件夹(控制面板--〉“Internet选项”---〉“删除文件”---〉勾选“包括临时文件夹”--〉确定)
 
11、重新启动。

你可能感兴趣的:(职场,休闲,手机病毒,csyywll.exe)