www.捌柒肆玖.com死亡三步曲
找阳光要的样本``他的分析:
[url]http://hi.baidu.com/newcenturysun/blog/item/362821fa88adf28b9e5146f6.html[/url]
据说比较NB,破例开了双HIPS跟踪。
的确比较棘手,专杀之类的东西打不开。
26号的卡吧、BD、Dr、AVG、瑞星、金山、毒霸、偌顿等都没有报!
文件名称:a864.dll
文件大小:42748 byte
AV命名:Backdoor.Win32.Agent.ahj(IKARUS)
依赖平台:Windows(9X以上系统)
加壳方式:nSpack V2.x
编写语言:Borland C++ DLL Method 2
病毒类型:后门
文件MD5:E391C3283B2A7FF47522C7DE3BFDFC85
文件SHA1:AB33528C0A7917CDF5D4E982005A83549562DF84
文件CRC32:F4F9E3E4
危害等级: ★ ★ ★ ☆
传播方式:网络。
行为分析:
1、释放病毒文件:
%Systemroot%\system32\KYMAO.dll 42748 字节 (名字可能不一样)
这个是主体,并使用动态注入技术,插入所有运行中的进程!
%Systemroot%\system32\navcoy.dll 40960 字节
%Systemroot%\system32\ok1.exe 46761 字节
2、遍历进程,如找到QQ.exe进程,则在其目录下生成:
D:\Program Files\QQ\QQ\i.dll 42748 字节
D:\Program Files\QQ\QQ\rasadhlp.dll 8353 字节
3、病毒注入后,检测窗口,尝试关闭:
8749
360safe
wopticlean
kakasetup
ras.exe
btbaicai
wopticlean
360safe
8749病毒
8749专杀
卡卡
安全卫士
IE修复
8749.com病毒
清除8749
删除8749
360safe
wopticlean
kakasetup
ras.exe
btbaicai
wopticlean
360safe
8749病毒
8749专杀
卡卡
安全卫士
IE修复
8749.com病毒
清除8749
删除8749
4、破坏安全模式
删除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\下的SafeBoot整个键!
导致安全模式无法进入。
5、并在注册表里留下了病毒的一些版本信息,例如:
HKEY_LOCAL_MACHINE\SOFTWARE\8749 technologies\VERSION
REG_SZ, "07072602 "
REG_SZ, "07072602 "
HKEY_LOCAL_MACHINE\SOFTWARE\test\Version
Version = REG_SZ, "1.2 "
Version = REG_SZ, "1.2 "
6、写入注册表:
HKEY_CLASSES_ROOT\Baidu509.Navcot键。
指向的是%Systemroot%\system32\navcoy.dll。
注册BHO,实现打开IE则注入病毒文件:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
指向的是%Systemroot%\system32\navcoy.dll
7、劫持IE主页,修改为:***.8749.com
(重点来了,一起鄙视下)
并由KYMAO.dll 监视,每隔一段时间重写主页(***.8749.com)。
注册表变动:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page
注册表值 Start Page
改为:REG_SZ, " http://***.8749.com "
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search\CustomizeSearch
注册表值CustomizeSearch
改为:" http://***.8749.com "
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search\SearchAssistant
注册表值SearchAssistant
改为:REG_SZ, " http://***.8749.com "
8、修改HOST,实现DNS劫持(每隔一段时间连接
http://***.8749.com
下载HOST列表并修改):
125.91.1.20 [url]www.37021.net[/url]
125.91.1.20 37021.net
125.91.1.20 5235.net
125.91.1.20 [url]www.5235.net[/url]
127.0.0.1 [url]www.duba.net[/url]
127.0.0.1 duba.net
125.91.1.20 37021.net
125.91.1.20 5235.net
125.91.1.20 [url]www.5235.net[/url]
127.0.0.1 [url]www.duba.net[/url]
127.0.0.1 duba.net
专杀下载:
360‖8七四久砖刹程式.rar 84KB
(转至360安全卫士官方论坛)
手工清除只需要三步,不过却讲究技巧,并且病毒文件名是不固定的所以就不推荐了```
死亡三步曲:
1、冰刃,禁止线程创建,删除:
%Systemroot%\system32\KYMAO.dll 42748 字节 (名字可能不一样)
%Systemroot%\system32\navcoy.dll 40960 字节
%Systemroot%\system32\ok1.exe 46761 字节
如果有QQ的话:
D:\Program Files\QQ\QQ\i.dll 42748 字节(名字可能不一样)
D:\Program Files\QQ\QQ\rasadhlp.dll 8353 字节
冰刃注册表功能,删除:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
%Systemroot%\system32\KYMAO.dll
2、重启并监视,重启后SREng修复安全模式(不一定成功)和重置HOST
(也可以找个系统相同的,把SafeBoot键导出。)
3、推荐使用360安全卫士修复被篡改的主页:
[url]http://www.360safe.com[/url]
OK,收工。
民间和杀软公司的区别真的很大`。。。
一个流行接近一个月的样本,今晚才收到```
呼``
=。=