msconfig32.exe(Dropper.Win32.Agent.nzi)

 
文件名称:syscopy.exe
 
文件大小:426783 bytes
 
AV命名:Dropper.Win32.Agent.nzi(瑞星)
 
加壳方式:
 
编写语言:VC
 
病毒类型:捆绑型
 
文件MD5:45eb42ff98e5ea60f83f259582506430
 
文件SHA1:e3e21cf73278a2a7bba6eaa9c090e6d2a9941d34
 
传播方式:U盘等移动介质、网络。
 
 
行为分析
 
1、释放病毒文件:
 
C:\Windows\system32\CAManager.exe    53248 字节
C:\Windows\system32\dcomdiag.exe    192512 字节
C:\Windows\system32\eventviewer.exe    94208 字节
C:\Windows\system32\explore.exe    113418 字节
C:\Windows\system32\LogicStorageMon.exe    57344 字节
C:\Windows\system32\msconfig32.exe    81920 字节
C:\Windows\system32\ReDevMonitor.exe    53248 字节
C:\Windows\system32\syscopy.exe    426783 字节

 
2、遍历分区,查找可用磁盘,在其目录下生成:Autorun.inf和msconfig32.exe

 
如果双击磁盘,则激活病毒!
 
3、连接74.220.202.29( [url]http://www.siekia.com/[/url] )获得下载列表,下载木马。
 
例如:
 
CAManager.exe
LogicStorageMon.exe
ReDevMonitor.exe
dcomdiag.exe
eventviewer.exe
explore.exe
syslog.exe
libmcrypt.dll
hkcmdi.exe
 
不过未下全。
 
4、对E盘文件*.exe进行捆绑感染(其他盘未发现),被捆绑的文件增加238000多字节。
 
在感染文件尾部记录了一些简单的信息,避免反复感染。
 
5、病毒使用进程守护技术,相互依赖,每隔一段时间激活对方。
 
乱乱的``好像4进程守护吧。。(8记得了``)
 
6、进程守护中的其中3个连接74.220.202.29监听3813、3858、3903端口。
 
如本地病毒文件被删除,则重新下载。
 
7、CAManager.exe、LogicStorageMon.exe、ReDevMonitor.exe注册系统服务,开机自启。
 
解决方法:
 
[url]http://gudugengkekao.ys168.com/[/url] 下载PowerRMV和SREng:
 
PowerRmv.com 101KB
 
图片点击可在新窗口打开查看 sreng2.5.zip 780KB
 
(下不了的,自己网上找!``)
 
1、关闭不需要进程,断开网络!
 
2、打开PowerRmv,勾选“抑制对方再次生成”。填入下面路径(一次填一个):
 
C:\Windows\system32\syscopy.exe
C:\Windows\system32\dcomdiag.exe
C:\Windows\system32\explore.exe
C:\Windows\system32\CAManager.exe
C:\Windows\system32\eventviewer.exe
C:\Windows\system32\msconfig32.exe
C:\Windows\system32\LogicStorageMon.exe
C:\Windows\system32\ReDevMonitor
 
C:\msconfig32.exe
C:\Autorun.inf
D:\msconfig32.exe
D:\Autorun.inf
E:\msconfig32.exe
E:\Autorun.inf
F:\msconfig32.exe
F:\Autorun.inf
 
(这些不要漏了!)
 
PS:如果是2000或ME系统的话,把C:\Windows\换成C:\Winnt\
 
3、打开SREng,删除:
 
服务
 
[CA Certification Manager / CAManager][Running/Auto Start]
   <C:\winnt\system32\CAManager.exe><N/A>

[Logical Storage Monitor / LogicStorageMon][Running/Auto Start]
   <C:\winnt\system32\LogicStorageMon.exe><N/A>

[Removable Device Monitor / ReDevMonitor][Running/Auto Start]
   <C:\winnt\system32\ReDevMonitor.exe><N/A>
 
浏览器加载项:
 
[CAdLogic Object]
   {11F09AFD-75AD-4E51-AB43-E09E9351CE16} <C:\Program Files\Common Files\CPUSH\cpush.dll, >
 
(流氓软件带来的)
 
4、建议下载360安全卫士,清除下载的流氓软件CPUSH。
 
这个比较恶心,写入多项注册表,手工清除比较头疼。
 
5、升级杀软最高版本,全盘扫(杀软应该可以修复被捆绑文件)``
 

你可能感兴趣的:(休闲,msconfig32.exe,syscopy.exe,eventviewer.exe)