微点交流论坛

标题: 机子染毒了，跟下面说的差不多，是网上找的。 [打印本页]

作者: 7ctt 时间: 2008-1-1 15:43 标题: 机子染毒了，跟下面说的差不多，是网上找的。

一个病毒弄有机子现在还不敢肯定干净不干净，谁找出办法就告诉我！
病毒的表现如下所示:
<1>感染文件。经研究，会感染U盘上和本地磁盘上的应用程序，文件包括rar与exe文件.
<2>在系统目录下生成文件。病毒会在C:\WINDOWS\system32\Com目录下生成netcfg.dll、smss.exe、lsass.exe、netcfg.000等文件.自动下载alg.exe在dirvers目录下,这个跟ARP期骗有关,会向网段发送ARP期骗包.
<3>在每个磁盘根目录下生成文件。病毒会在每个磁盘根目录下生成Autorun.inf以及pagefile.pif文件，并且开启系统的自动播放功能。如果用户双击打开磁盘即又感染。
<4>破坏安全模式，使用户无法进入安全模式进行系统修复，并且删除注册表大量键。
<5>修改文件夹选项，使用户无法查看隐藏的病毒文件，进入文件夹选项，会发现“ 隐藏受保护的操作系统文件(推荐)”项目不见了，病毒还可能会对换“不显示隐藏的文件和文件夹”和“显示所有文件和文件夹”的功能。

这些在网上也有讨论,可能是本人学艺不精,发现两个问题:
1.该病毒使用什么方法实现自启动,网上有人说会在启动项中加入~.pif,但在我所看到的感染机器中,并未发现这一点.
2.在用冰刃结束进程的时候,有时候会出现一些问题,那就是系统自动重启,可能提示系统错误,cals.exe命令错误等,有时候则不会.但是严重的是出现错误重启的话,系统无法正常进入,在即将进入系统的黑屏那里无法进入,只能看到鼠标在动.
我确定没有错误结束系统正常进程,却不知为何会产生这种问题,希望能有人讨论交流一下.
该病毒在系统启动初期会不断启动,cmd.exe以及rar.exe,还有cals.exe等等,比较活跃,MS在感染一些文件.
磁碟机病毒流行 ( C:\Windows\system32\Com\lsass.exe )文件名称：lsass.exe\smss.exe
行为分析：

1、释放病毒副本：

%Systemroot%\system32\Com\lsass.exe 94208 字节
%Systemroot%\system32\Com\smss.exe 9365 字节
%Systemroot%\system32\Com\netcfg.dll 40960 字节

2、添加启动文件夹，开机启动：

C:\Documents and Settings\当前用户名\「开始」菜单\程序\启动\~.pif

另外netcfg.dll尝试加载Shellhooks注册表项，但没有实现。

3、调用cacls，本身不判断文件系统（FAT或NTFS），后解除目录Com的权限，设为完全控制。

参数为：C:\winnt\system32\com /e /t /g admin:F

4、连接网络121.11.245.1**（广东省惠州市电信）下载一个ARP病毒

释放到：%Systemroot%\system32\drivers\alg.exe 15181 字节

5、查找硬盘的文件，如名称里有“360”字样则删除。

6、可能会关闭一些窗口：

"ollydbg"
"softice"
"ida"
"asm"
"360"
"木马"
"清除"
..................

7、另外那个仿系统文件的smss.exe，应该和主体lsass.exe是互斥体，也起着进程守护的作用。

8、查找磁盘，生成Auorun.inf和pagefile.pif。

9、跳过C盘，开始感染EXE文件，但并不全部感染。

感染时先把文件加载内存中，提取其图标资源，最后删除原文件，把修改过的文件栲贝回去。

因为这样，所以图标会变模糊，可能是无法读32位的....（知道的大牛请指导下）

PS：运行感染的文件，会释放一个filename.exe.log。但是仍无法执行

用PE工具对比下，基本上文件是报废了，区段被覆盖，DOS头、入口等都发生变化``

10、感染文件时如果发现Zip和Rar格式的，则用Rar自解压命令释放EXE文件，感染后重新打包放回原处！

汗一个....高科技了

11、查找硬盘的htm、html、asp、spx、php、jsp网页文件，插入一段框架代码（16进制加密）

解后得：h**p://js.k0102.com/01.asp。

被和谐了汗，打不开！

解决方法：

1、下载：

http://www.kingzoo.com/tools/孤独更可靠/PowerRmv.com
http://www.kingzoo.com/tools/孤独更可靠/冰刃.rar

2、运行冰刃，结束假冒系统文件的病毒（Lsass.exe和smss.exe）

注意，路径在C:\Windows\system32\Com\下

3、打开，选上抑制杀灭对象生成，填入下面内容后，确定：

C:\Windows\system32\Com\lsass.exe
C:\Windows\system32\Com\smss.exe
C:\Windows\system32\drivers\alg.exe
C:\Windows\system32\Com\netcfg.dll
C:\AUTORUN.INF
C:\pagefile.pif
D:\AUTORUN.INF
D:\pagefile.pif
E:\AUTORUN.INF
E:\pagefile.pif
F:\AUTORUN.INF
F:\pagefile.pif

4、删除文件：

C:\Documents and Settings\当前用户名\「开始」菜单\程序\启动\~.pif

5、重新安装杀毒软件，以前的杀软可能被感染了。

然后全盘扫。。那些被感染的文件恢复可能性不大``

drongrn #5发表于 2007-12-17 09:00
拜托,还是没有解决问题啊~

作者: yuanbinxh 时间: 2008-1-1 15:45
有点象是AV终结者了

作者: Legend 时间: 2008-1-1 15:46
请楼主安装微点主动防御软件测试

作者: jaber 时间: 2008-1-1 15:49
建议先修复安全模式，然后在安全模式下安装微点，进行尝试解决问题

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn