微点交流论坛

标题: 机器狗、auto木马群、磁碟机大混血(AtiSrv.exe) [打印本页]

作者: 反病毒小菜 时间: 2008-3-3 20:27 标题: 机器狗、auto木马群、磁碟机大混血(AtiSrv.exe)

机器狗、auto木马群、磁碟机大混血AtiSrv.exe
本周一款融合机器狗、auto木马群、磁碟机特点的病毒大范围爆发。其主文件名为：AtiSrv.exe

该病毒会迫使杀毒软件失效，安全模式加载、下载大量盗号木马、劫持浏览器、写入rootkits驱动进行自保护....

该病毒简单特征分析：

释放自身到启动文件夹随机加载：
%ALLUSERSPROFILE%\「开始」菜单\程序\启动\AtiSrv.exe 如图所示：


写入执行挂钩：
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
ffHADHAD1042.dll
HKCR\CLSID\{1133c611-c3b1-4626-bd63-6605ea0d3486}
c:\windows\system32\ffhadhad1042.dll
Microsoft
HKCR\CLSID\{45AADFAA-DD36-42AB-83AD-0521BBF58C24}
c:\windows\system32\zjydcx.dll
Microsoft
HKCR\CLSID\{6E6CA8A1-81BC-4707-A54C-F4903DD70BAD}
c:\windows\system32\zgxfdx.dll
Microsoft
HKCR\CLSID\{1DB3C525-5271-46F7-887A-D4E1ADAA7632}
c:\windows\system32\hfrdzx.dll
fJACJAC1041.dll
HKCR\CLSID\{6b22d384-97ba-4c43-81ab-a6bb24e9d831}
c:\windows\system32\fjacjac1041.dll
fNNBNNB1032.dll
HKCR\CLSID\{a6f28a4f-afc8-430e-9093-25083eb3aa77}
c:\windows\system32\fnnbnnb1032.dll
fSACSAC1016.dll
HKCR\CLSID\{f93de3de-bc82-4f9a-a3fc-e49c4fe9c38d}
c:\windows\system32\fsacsac1016.dll
winsys8v.sys
HKCR\CLSID\{6167F471-EF2B-41DD-A5E5-C26ACDB5C096}
c:\program files\internet explorer\plugins\winsys8v.sys（该文件会同时写入BHO加载）


写入Appinit_dlls由于写入过多dll信息导致sreng无法检测到该项目。数据如下：
bauhgnem.dll,eohsom.dll,fyom.dll,sauhad.dll,ijougiemnaw.dll,taijoad.dll,lnaixnauhqq.dll
idtj.dll,vhqq.dll,atgnehz.dll,rsqq.dll,tsqc.dll,vauyiqvlnaix.dll,wQ.dll,fmxh.dll,cty.dll,pahzij.dll
jz.dll,bz.dll,pyomielnux.dll,mhtd.dll,qnefnaib.dll,ej.dll,uixauh.dll,hjiq.dll,kiluw.dll,dsfg.dll,yqhs.dll
oaijihzeuyouhz.dll,jemnaw.dll,cuhad.dll,laixuhz.dll,rfhx.dll,mnauygniqaixnaij.dll,oqnauhc.dll,xjxr.dll
utiemnaw.dll,sve.dll,wininat.dll,gnolnait.dll,zadnew.dll,htwx.dll,knaixnauhuoyizqq.dll,duygnef.dll
gmx.dll,nadgnohiac.dll,agzg.dll,qlihzouhgnfe.dll,bchib.dll,tzm.dll,r2.dll,slcs.dll,xptyj.dll,xhtd.dll
QQ.dll,sfhx.dll,gnaixnauhqq.dll,3auhad.dll,oadnew.dll,iemnaw.dll,qcsct.dll,oadgnohiac.dll
iqnauhc.dll,aixauh.dll,ddtj.dll,nuygnef.dll,uohsom.dll,gnefnaib.dll,ijiq.dll,hjxr.dll,naijoad.dll
naixuhz.dll,nahzij.dll,fmxh.dll,zqhs.dll,jsfg.dll,utgnehz.dll,uyom.dll,wtiemnaw.dll,uyomielnux.dll
vlihzouhgnfe.dll,2ty.dll,nauhgnem.dll,auhad.dll,rj.dll,hz.dll,naijihzeuyouhz.dll,xhqq.dll,jmx.dll,dgzg.dll
gsqq.dll,fz.dll,gnaixnauhuoyizqq.dll,gnolnait.dll,jsqc.dll,dqncj.dll,eve.dll,2nauygniqaixnaij.dll,niluw.dll
ijougiemnaw.dll,wtwx.dll,jghf.dll,msd.dll,asj.dll,her.dll,awf.dll,

目的是为了安全模式也能加载，导致用户修复安全模式无效。如图所示：


后台联网下载木马程序：
1=http://iii.xxxxx.com/wm/1.exe
2=http://iii.xxxxx.com/wm/2.exe
3=http://iii.xxxxx.com/wm/3.exe
4=http://iii.xxxxx.com/wm/4.exe
5=http://iii.xxxxx.com/wm/5.exe
6=http://iii.xxxxx.com/wm/6.exe
7=http://iii.xxxxx.com/wm/7.exe
8=http://iii.xxxxx.com/wm/8.exe
9=http://iii.xxxxx.com/wm/9.exe
10=http://iii.xxxxx.com/wm/10.exe
11=http://iii.xxxxx.com/wm/11.exe
12=http://iii.xxxxx.com/wm/12.exe
13=http://iii.xxxxx.com/wm/13.exe
14=http://iii.xxxxx.com/wm/14.exe
15=http://iii.xxxxx.com/wm/15.exe
16=http://iii.xxxxx.com/wm/16.exe
17=http://iii.xxxxx.com/wm/17.exe
18=http://iii.xxxxx.com/wm/18.exe
19=http://iii.xxxxx.com/wm/19.exe
20=http://iii.xxxxx.com/wm/20.exe
21=http://iii.xxxxx.com/wm/21.exe
22=http://iii.xxxxx.com/wm/22.exe
23=http://iii.xxxxx.com/wm/23.exe
24=http://iii.xxxxx.com/wm/24.exe
25=http://iii.xxxxx.com/wm/25.exe
26=http://iii.xxxxx.com/wm/26.exe
27=http://iii.xxxxx.com/wm/27.exe
28=http://iii.xxxxx.com/wm/28.exe

与auto木马群勾结，写入盗号木马：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<mhuslmqi><C:\WINDOWS\hsmijpow.exe>
<AVPSrv><C:\WINDOWS\AVPSrv.exE>
<upxdnd><C:\WINDOWS\upxdnd.exe>
<Kvsc3><C:\WINDOWS\Kvsc3.exE>
<DbgHlp32><C:\WINDOWS\DbgHlp32.exe>
<SHAProc><C:\WINDOWS\SHAProc.exe>等

加载rootkits驱动进行自我保护：
[iCafe Manager / iCafe Manager][Stopped/Manual Start]
  <\??\C:\DOCUME~1\papa\LOCALS~1\Temp\usbhcid.sys>
[Sc Manager / Sc Manager][Running/Manual Start]
  <\??\C:\DOCUME~1\papa\LOCALS~1\Temp\usbcams3.sys>
[dohs / dohs][Stopped/Auto Start]
  <\??\C:\DOCUME~1\papa\LOCALS~1\Temp\tmp3.tmp>
[fpids32 / fpids32][Running/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\msosfpids32.sys>
[msertk / msertk][Running/Auto Start]
  <system32\drivers\msyecp.sys>
[msert / msert][Running/Auto Start]
  <system32\drivers\mselk.sys>

写入ntsd劫持与破坏安全模式，导致杀软失效，如图所示：


详细劫持文件列表请见：  劫持文件列表.txt (1.83 KB)

该病毒的处理方法：
该病毒融合了目前多种流行病毒木马技术，破坏杀毒程序导致普通用户很难进行清理操作。建议用户对该病毒以注意日常防范为主，保持毒霸病毒库更新以及良好健康的上网习惯。
对于已经中此病毒的用户可以尝试在正常模式运行使用附件中的脚本Del_AtiSrv.bat后断电重启进入安全模式。
（注意：断电法有操作风险，请谨慎考虑是否采纳该方法。操作前务必备份重要资料以及文件。）
进入安全模式后运行附件中的Clean_IFEO.bat清除映像劫持，并运行金山清理专家清理恶意软件即可。如图所示：

图见：http://www.newjian.com/zuixinbingdu/2008/0302/2622.html

[ Last edited by Legend on 2008-3-3 at 20:37 ]

作者: wantcm 时间: 2008-3-23 16:26
呵呵，附件没有转过来

作者: qq200878 时间: 2008-3-23 17:26
没有那么夸张，理由是，那个列表里没有微点。这种行为微点不报才怪

作者: lotei 时间: 2008-3-23 20:42
目前这种趋势在加重，病毒集团化加剧！AtiSrv.exe相当熟悉！不记得在哪里见过！

作者: 微点卫士 时间: 2008-3-23 20:45
病毒合体了。。。。。。

作者: nullspace 时间: 2008-3-26 14:53
今天重装微点后重启
报atisrv.exe出错
然后微点启动失败
系统win2k3

另一台win2k3，报atisrv.exe出错，但微点可以启动
然后微点不报错

[ Last edited by nullspace on 2008-3-26 at 14:58 ]

作者: Legend 时间: 2008-3-26 15:11
请【nullspace】详细描述一下，微点启动失败的那台电脑重启微点服务是否能正常启动？如果还是不正常，请您重启电脑试试。

具体操作：重启微点服务: 开始-->运行-->services.msc-->MPSVC Service-->右键-->重启

作者: nullspace 时间: 2008-3-26 15:18
可以启动了
刚才我是从桌面快捷方式启动微点
失败

先启动服务再启动微点正常了

谢谢！

此前执行的操作：安装病毒驱逐舰杀毒杀出不少病毒包括mybot啥的

作者: Legend 时间: 2008-3-26 15:48

Quote:

Originally posted by nullspace at 2008-3-26 15:18:
可以启动了
刚才我是从桌面快捷方式启动微点
失败

先启动服务再启动微点正常了

谢谢！

此前执行的操作：安装病毒驱逐舰杀毒杀出不少病毒包括mybot啥的

请【nullspace】将驱逐舰扫描出来的病毒样本文件加密压缩（密码：virus）后，发送到我们virus@micropoint.com.cn 邮箱，随信请附带此贴链接和论坛id，我们好及时分析测试。

您发送完后，请通过论坛短消息将您的邮箱地址发给我，也请附带此贴链接。

作者: Legend 时间: 2008-3-31 13:22
请问楼主是否发送邮件？如果已发送请将您的邮箱短消息发给我，以便我们尽快处理您的问题，谢谢。

作者: Legend 时间: 2008-4-10 14:42
由于没有收到楼主进一步的反馈信息，本主题暂作关闭处理，如有问题，请另开新帖讨论。

作者: 反病毒小菜 时间: 2008-5-16 09:05 标题: 转帖来的

转来给大家看看的
http://www.newjian.com/zuixinbingdu/2008/0302/2622.html

作者: weidiansd 时间: 2008-5-17 03:56
近来溜达溜达顺便支持下楼主

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn