Worm.Win32.Agent.aj
样本来至剑盟`````好像是感染性的```
测试结束时候忘记收几个比较重要的``所以 下面分析可能不一定全(也不一定准确):
Aditional Information
File size: 13327 bytes
MD5: f6cac56e082ed27d232b87911f6d0442
SHA1: 5183cf2b9ce262265294b7778e0a2a59cd6ea2b1
CRC32 : FDA83A2F
RIPEMD160: 755B3FA285C74106621CD1094C5CF343B4845A16
SHA160 : 5183CF2B9CE262265294B7778E0A2A59CD6EA2B1
packers: NSPack, PE_Patch
Langueges:Microsoft Visual C++ 6.0
File size: 13327 bytes
MD5: f6cac56e082ed27d232b87911f6d0442
SHA1: 5183cf2b9ce262265294b7778e0a2a59cd6ea2b1
CRC32 : FDA83A2F
RIPEMD160: 755B3FA285C74106621CD1094C5CF343B4845A16
SHA160 : 5183CF2B9CE262265294B7778E0A2A59CD6EA2B1
packers: NSPack, PE_Patch
Langueges:Microsoft Visual C++ 6.0
运行,释放:
%Systemroot%\system32\2.exe 13327 字节
%Systemroot%\system32\internt.exe 13327 字节
%Systemroot%\system32\progmon.exe 13327 字节
%Systemroot%\system32\IME\svchost.exe 13327 字节
其实都是同一个(MD5不变)```
其中internt.exe和progmon.exe 写入注册表Run启动项,达到开机自启````
%Systemroot%\system32\IME\svchost.exe 是主体,常驻进程``做监视工作``
每隔1毫秒以访问的方法试探自身同党存在和修改的注册表项,如不再则生成```
在每个分区下(C――F)下生成Autorun.inf和Setup.exe``
每秒刷新检测移动介质的介入```
并尝试在移动介质目录下生成Autorun.inf和Setup.exe(U盘传播)``
内容为:
[AutoRun]
open=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe
释放服务:
[Alerter COM+ / Alerter COM+][Running/Auto Start]
<C:\winnt\system32\IME\svchost.exe><N/A>
<C:\winnt\system32\IME\svchost.exe><N/A>
指向的是主体病毒,实现服务方式启动``````
修改注册表:
Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue的CheckedValue值``
改为:0(破坏显示隐藏文件)``
随后驻进程的svchost.exe(冒牌货)访问210.245.162.*
下载远程执行工具PsExec,命名为1.exe
路径:%Systemroot%\system32\1.exe 131072 字节
并以用户名为:
"administrator"
"admin"
"Guest"
"home"
"admin"
"Guest"
"home"
密码为:
"NULL"
"123456"
"login"
"love"
""(空口令``)
"123456"
"login"
"love"
""(空口令``)
随机组合方式访问192.168.0.*,试图穷举破解口令````
如成功破解,则拷贝%Systemroot%\system32\2.exe 至共享目录```(局域传播)
svchost.exe 随后遍历进程,尝试关闭下列关键字:
Windows 任务管理器
兔子
任务
优化
注册表
Process
进程
木马
天网
防火墙
看似完美的病毒``作者似乎还不放心,最后使用捆绑文件方式结束了这次行动:
首先跳过系统盘、IME、Windows Media Player、OE、IE、Documents and Settings、系统还原、回收站、Setup.exe等目录然后从D盘开始感染``````
不过测试时候并未实现`````可能不一定准确````
做完上面的全部工作后,Svchost还不闲着```连接 [url]http://union.itlearner.com/ip/getip.asp[/url]以计算IP的方式统计感染人数。(未验证)
解决方法:
[url]http://gudugengkekao.ys168.com/[/url]下载
sreng2.5.zip 780KB
冰刃(增强版).rar 555KB (备用)
PowerRmv.com 101KB
显示隐藏文件.reg 9KB
直接放到桌面,关闭不需要的进程,断开网络,并清空所有临时文件夹```
1、打开PowrnRmv,选上“抑制对象再次生成”,填入:(一次一个,找不到的忽略,注意路径后面不要有空格)
C:\autorun.inf
C:\setup.exe
D:\autorun.inf
D:\setup.exe
E:\autorun.inf
E:\setup.exe
F:\autorun.inf
F:\setup.exe
*:\autorun.inf
*:\setup.exe
(*为移动介质盘)
C:\Windows\system32\2.exe
C:\Windows\system32\internt.exe
C:\Windows\system32\progmon.exe
C:\Windows\system32\IME\svchost.exe
C:\Windows\system32\1.exe
C:\WIindows\system32\hs3midia.dll
C:\WIindows\system32\drivers\ws2ifsl.sys
(如果是2K、ME系统的话,C:\Windows\自行改为C:\Winnt)
注:上面的东西也可以用冰刃删除```如果可以的话,最好先用冰刃把假冒的Svchost先结束掉```
2、打开SREng,删除:
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<Internt><C:\winnt\system32\internt.exe>
<Program file><C:\winnt\system32\progmon.exe>
<Program file><C:\winnt\system32\progmon.exe>
服务
[Alerter COM+ / Alerter COM+][Running/Auto Start]
<C:\winnt\system32\IME\svchost.exe><N/A>
<C:\winnt\system32\IME\svchost.exe><N/A>
还有个是指向C:\WIindows\system32\hs3midia.dll的服务,我跟丢了,如果有发现的话删除吧``
还有驱动项```汗``也跟丢了,后来从HIPS日志来抓出来的,叫ws2ifsl.sys``
SREng里有发现这项的也删除~~
```````````然后升级杀软,全盘扫``如果有文件被感染的,顺便修复。。。。。。。。。。
一些PP``:
