S168.exe
无语了``又是S168.exe
这次做了另类的"免杀"
通过载体(Dropper)解析主体S168.exe连接地址,反弹下载。
这个载体大小不过1K。。。。
瑞星、卡吧等都没有报。。
文件名称:S168.exe
文件大小:22575 bytes
AV命名:DLOADER.Trojan(DrWeb)
加壳方式:UPX
编写语言:Borland Delphi 6.0 - 7.0
病毒类型:下载者、后门
文件MD5:D5E38B721DF2F0ABFDB6B12F38D6B5A6
文件SHA1:40044A3F55B5DE23512ED71DA35CDAC6B9D07FED
行为分析:
1、释放病毒文件:
C:\Program Files\Internet Explorer\rksldk.bak 22575 字节
C:\Program Files\Internet Explorer\rksldk.dll 13871 字节
C:\Program Files\Common Files\goskdl.dll 13871 字节
PS:文件名可能不同,注意文件大小。
2、查找江民、360、瑞星等安装目录,在其目录生成:
ws2_32.dll或MFC42.dll的文件夹,导致其监控失效。
3、删除Hosts解析域名文件,防止木马下载网站被屏蔽。
4、rksldk.dll写入注册表,开机自行注入。
5、反向连接66.186.33.**(XXX.9168a.com),下载木马,30多个吧。。。
解决方法一:
[url]http://free.ys168.com/?gudugengkekao[/url]下载:
sreng2.5.zip 780KB
把要删除的拖给我.bat KB
1、打开SREng,删除启动项:
注册表:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<asgfdjs2><C:\winnt\system32\vbsdaas2.exe> []
( 这个注意不要漏了,它会关瑞星、过卡吧主动)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{DC7596CB-D6CC-DCA3-DE52-DEEA63F6C61D}><C:\Program Files\Internet Explorer\rksldk.dll>
<{DC7596CB-D6CC-DCA3-DE52-DEEA63F6C61D}><C:\Program Files\Internet Explorer\rksldk.dll>
2、显示所有隐藏文件:
控制面板-文件夹选项-查看-选中显示所有文件和文件夹
去掉“隐藏受保护的系统文件”的勾
到杀软或安全工具打不开的目录下,查找ws2_32.dll或MFC42.dll的文件夹。
把ws2_32.dll或MFC42.dll的文件夹拖到“把要删除的拖给我.bat”。它会自动删除。
删除不掉的话自己找冰刃或UNlocker删```
3、重启后杀软监控应该可以开启了,记得升级杀软,全盘扫。。
解决方法二:
[url]http://free.ys168.com/?gudugengkekao1[/url]下载
冰刃.rar 2,110KB
sreng2.5.zip 780KB
把要删除的拖给我.bat KB
执行下面操作前最好全面清理电脑所有临时文件夹。
1、打开冰刃,设置进程线程创建,确定。
2、冰刃“文件”选项,删除:
C:\Program Files\Internet Explorer\rksldk.bak 22575 字节
C:\Program Files\Internet Explorer\rksldk.dll 13871 字节
C:\Program Files\Common Files\goskdl.dll 13871 字节
PS:以上3个是主体,不要漏了。文件名可能会不同,注意文件大小。
其他的木马:
C:\Windows\System32\mhdoor0.dll
C:\Windows\System32\vbsdaas2.exe
C:\Windows\System32\xk1s0.dll
C:\Windows\System32\ztdoor0.dll
C:\Windows\System32\jtdoor0.dll
C:\Windows\System32\wldoor0.dll
C:\Windows\System32\qjdoor0.dll
C:\Windows\System32\rxdoor0.dll
C:\Windows\System32\tldoor0.dll
C:\Windows\System32\dadoor0.dll
C:\Windows\System32\mydoor0.dll
C:\Windows\System32\qhdoor0.dll
C:\Windows\System32\Packet.dll
C:\Windows\System32\WanPacket.dll
C:\Windows\System32\wpcap.dll
C:\Windows\System32\vbsdaas2.exe
C:\Windows\System32\xk1s0.dll
C:\Windows\System32\ztdoor0.dll
C:\Windows\System32\jtdoor0.dll
C:\Windows\System32\wldoor0.dll
C:\Windows\System32\qjdoor0.dll
C:\Windows\System32\rxdoor0.dll
C:\Windows\System32\tldoor0.dll
C:\Windows\System32\dadoor0.dll
C:\Windows\System32\mydoor0.dll
C:\Windows\System32\qhdoor0.dll
C:\Windows\System32\Packet.dll
C:\Windows\System32\WanPacket.dll
C:\Windows\System32\wpcap.dll
C:\Program Files\Common Files\Setup.exe
C:\Program Files\Common Files\svchost.exe
C:\Program Files\Common Files\svchost.exe
3、设置冰刃,重启并监视。
4、重启后打开SREng,删除:
注册表:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<asgfdjs2><C:\winnt\system32\vbsdaas2.exe> []
<asgfdjs2><C:\winnt\system32\vbsdaas2.exe> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{DC7596CB-D6CC-DCA3-DE52-DEEA63F6C61D}><C:\Program Files\Internet Explorer\rksldk.dll> [Microsoft Corporation]
<{5731EA1D-6AAF-4DE9-BDDA-7B390A75B286}><C:\winnt\system32\xk1s0.dll> []
<{3422FB0F-95EB-458A-8B56-39552017A4EF}><C:\winnt\system32\mhdoor0.dll> []
<{71046DD5-E136-4C4B-A6B5-91C30CB15291}><C:\winnt\system32\jtdoor0.dll> []
<{E952B8F8-D91A-4EDD-851C-EE1A0F944469}><C:\winnt\system32\ztdoor0.dll> []
<{E03C23BD-35B7-49C2-BBCA-6D8CEC2507E3}><C:\winnt\system32\wldoor0.dll> []
<{6826A3DB-EA8E-4E67-880D-53D04C7C0BD8}><C:\winnt\system32\qjdoor0.dll> []
<{A3C95A74-638D-4C6B-A856-4B27664A7F47}><C:\winnt\system32\wgdoor0.dll> []
<{68F7767A-090C-4BBF-A015-720ACC6706E2}><C:\winnt\system32\wddoor0.dll> []
<{EDFF29C1-5A70-4460-AC1D-16DCB4B672F0}><C:\winnt\system32\rxdoor0.dll> []
<{08E909A4-B236-48DD-8BCC-90A604B93E68}><C:\winnt\system32\tldoor0.dll> []
<{D8CC4845-441C-44F8-9053-28F2EF67655B}><C:\winnt\system32\dadoor0.dll> []
<{781FBCC1-99C7-4AE0-95F7-66EA49E86DD7}><C:\winnt\system32\zxdoor0.dll> []
<{4E3FBFA4-F1CC-4B66-B333-B9F0FF4B4748}><C:\winnt\system32\mydoor0.dll> []
<{ABD0935D-B35A-47BD-BA9A-81678DDE74DD}><C:\winnt\system32\qhdoor0.dll> []
PS:也可以第一步就用SREng删除这些启动项,然后重启再删除对应的文件。
<{DC7596CB-D6CC-DCA3-DE52-DEEA63F6C61D}><C:\Program Files\Internet Explorer\rksldk.dll> [Microsoft Corporation]
<{5731EA1D-6AAF-4DE9-BDDA-7B390A75B286}><C:\winnt\system32\xk1s0.dll> []
<{3422FB0F-95EB-458A-8B56-39552017A4EF}><C:\winnt\system32\mhdoor0.dll> []
<{71046DD5-E136-4C4B-A6B5-91C30CB15291}><C:\winnt\system32\jtdoor0.dll> []
<{E952B8F8-D91A-4EDD-851C-EE1A0F944469}><C:\winnt\system32\ztdoor0.dll> []
<{E03C23BD-35B7-49C2-BBCA-6D8CEC2507E3}><C:\winnt\system32\wldoor0.dll> []
<{6826A3DB-EA8E-4E67-880D-53D04C7C0BD8}><C:\winnt\system32\qjdoor0.dll> []
<{A3C95A74-638D-4C6B-A856-4B27664A7F47}><C:\winnt\system32\wgdoor0.dll> []
<{68F7767A-090C-4BBF-A015-720ACC6706E2}><C:\winnt\system32\wddoor0.dll> []
<{EDFF29C1-5A70-4460-AC1D-16DCB4B672F0}><C:\winnt\system32\rxdoor0.dll> []
<{08E909A4-B236-48DD-8BCC-90A604B93E68}><C:\winnt\system32\tldoor0.dll> []
<{D8CC4845-441C-44F8-9053-28F2EF67655B}><C:\winnt\system32\dadoor0.dll> []
<{781FBCC1-99C7-4AE0-95F7-66EA49E86DD7}><C:\winnt\system32\zxdoor0.dll> []
<{4E3FBFA4-F1CC-4B66-B333-B9F0FF4B4748}><C:\winnt\system32\mydoor0.dll> []
<{ABD0935D-B35A-47BD-BA9A-81678DDE74DD}><C:\winnt\system32\qhdoor0.dll> []
PS:也可以第一步就用SREng删除这些启动项,然后重启再删除对应的文件。
5、显示所有隐藏文件:
控制面板-文件夹选项-查看-选中显示所有文件和文件夹~
去掉“隐藏受保护的系统文件”的勾
到杀软或安全工具打不开的目录下,查找ws2_32.dll或MFC42.dll的文件夹。
把ws2_32.dll或MFC42.dll的文件夹拖到把要删除的拖给我.bat。它会自动删除。
删除不掉的话自己找冰刃或UNlocker删```
6、重启后杀软监控应该可以开启了,记得升级杀软,全盘扫。。
