» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 预升级反馈专区 » 【解决】关于calc.exe的问题   作者: 标题: 【解决】关于calc.exe的问题 ems3099 中级用户 积分 429 发帖 415 注册 2006-8-17 #1  【解决】关于calc.exe的问题 今天下午开机，打开网页很慢，而且联通的mini demo刚打开就自动关闭。 打开微点查看，出现一个svchost[1].exe的进程，貌似系统进程，但是文件所在地确实网页缓存里面。这个所谓的CALC.EXE 前年就有报道了，当时的分析如下： 病毒名称 Backdoor.Win32.Delf.ckv 捕获时间 2008-1-16 病毒症状     该样本是一个使用VC++语言编写的程序，长度22,528字节，图标为WINDOWS默认图标，病毒扩展名为exe，主要通过传播途径主要为网页挂马，可移动存储。        病毒分析     该样本程序被激活后复制自身文件两份到%systemroot%\system32目录下，一个保持原名svch0st，另一个重命名为calc.exe; 释放winlogon.dll到%systemroot%\system32目录下后删除自身； 通过调用SCM将自身注册成名为Windows Micropoint的服务； 通过新建注册表中winlogon子项键值后实现开机加载； 遍历所有盘符获取驱动器类型，在本地磁盘和可移动设备的中生成autorun.inf和calc.exe文件，使得病毒能在用户打开盘符时运行，并达到更大的传播范围； 向外发送数据包与后门主机通讯，接受黑客指令作为傀儡肉鸡，完成DDoS攻击，远程卸载http自动上线等功能。 感染对象 Windows 2000/Windows XP/Windows 2003 传播途径 网页挂马，可移动存储 技术细节 Autorun.inf文件内容如下： [AutoRun] open=calc.exe shell\open=打开(&O) shell\open\Command=calc.exe shell\open\Default=1 shell\explore=资源管理器(&X) shell\explore\Command=calc.exe 病毒添加的注册表项： 项：HKLM\SYSTEM\CurrentControlSet\Services\ 键值：Windows Micropoint 指向文件：%systemroot%\system32\ svch0st.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ 键值：Winlogon 指向文件：%systemroot%\system32 \ Winlogon.dll 前两天我报“迅雷看看”疑似挂马，应该是的。 微点提示为其他程序，360看不见，清理助手同样如此。 资源管理器里面看不见它，微点又停不了它，郁闷ing... 现在我的电脑运行比较慢，开个程序都要等好一会儿，难道是被肉了？ 555...... 现在有事出去，等会儿回来发图片和svchost[1].exe样本以及相关日志给你们。 关机ing...... [ Last edited by Legend on 2009-7-20 at 15:34 ] ※ ※ ※ 本文纯属【ems3099】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2009-7-18 16:03 Legend 超级版主 超级版主 积分 77171 发帖 70170 注册 2005-10-29 #2   请楼主将相关文件和微点的技术支持信息一起发送到virus@micropoint.com.cn邮箱当中，随信请附带此链接，并将您的发件邮箱通过论坛短消息给我发送，以便我们对此问题跟踪处理 ※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※ 微点官方认证新浪微博：欢迎进入 微点新浪微博 微点技术支持邮箱: support@micropoint.com.cn 给Legend发短消息 2009-7-18 16:16 ems3099 中级用户 积分 429 发帖 415 注册 2006-8-17 #3   15号我反映有病毒假冒系统进程SVCHOST[1].EXE，微点给它的处理是“延迟删除”，问题就在这里，看来就是这个东西在作怪。15号帖子链接http://bbs.micropoint.com.cn/showthread.asp?tid=56292&fpage=1 相关图片： ※ ※ ※ 本文纯属【ems3099】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2009-7-18 17:34 ems3099 中级用户 积分 429 发帖 415 注册 2006-8-17 #4   晕了，昨天晚上上网再遭svchost[1].EXE黑手！ 前几天假冒计算器，都还只是存在缓存里;而昨天晚上假冒记事本，并且注入到system32里面去了！ 还好，微点能够停掉了。 不知以后这些个坏东西是不是要假冒资源管理器、任务管理器，注册表编辑器那些了？ 如果哪天冒充“服务”把微点给干掉了，那...... 在“迅雷看看”挂马，应该是利用网站一些不合理的东西(必须启动迅雷软件，而且会在客户端的硬盘里生成隐藏的缓存文件，吞噬客户硬盘空间，以此达到迅雷高速的目的)来传播，这样的话，迅雷就成帮凶了，因为迅雷的涉及面太大了。 我觉得，不管是0还是o、1或者l，在二进制里面编码应该是不同的。如果微点能通过这个来解决那些假冒系统文件的病毒，那… ※ ※ ※ 本文纯属【ems3099】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2009-7-20 09:09 ems3099 中级用户 积分 429 发帖 415 注册 2006-8-17 #5   微点能够发现acpiec.sys，但是没有彻底清除，所以每次开机都要遭。 因此我在想，会不会有坏家伙利用微点的这个BUG，就只传病毒伪装成系统文件的非运行部分，在网上大面积挂马，而用户一旦联网，病毒就激活。 嗯，有点意思，就像原子弹一样，两块均小于临界质量的铀块，相隔一定的距离，不会引起爆炸，当它们合在一起时，就大于临界质量，立刻发生爆炸。 呵呵呵呵...... ※ ※ ※ 本文纯属【ems3099】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2009-7-20 10:46 Legend 超级版主 超级版主 积分 77171 发帖 70170 注册 2005-10-29 #6   您通过邮件提供给我们的文件svchost[1].exe经分析测试，微点可以有效拦截处理，请您将微点更新到最新版。 然后您可以自行打开微点看看，如果还有svchost[1].exe进程请结束它，并根据路径将其删除，并在微点的系统自启动信息功能里也将相关启动项删除。 此主题暂做关闭主题处理，如有其他问题，请您另开新帖讨论！ ※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※ 微点官方认证新浪微博：欢迎进入 微点新浪微博 微点技术支持邮箱: support@micropoint.com.cn 给Legend发短消息 2009-7-20 15:33 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号