微点交流论坛

标题: 微点竟然无法觉察的一个病毒？！(微点已完美解决) [打印本页]

作者: 9041656 时间: 2007-2-16 20:25 标题: 微点竟然无法觉察的一个病毒？！(微点已完美解决)

【CISRT2007029】病毒 internat.exe _.de setup.exe autorun.inf 解决方案

档案编号：CISRT2007029
病毒名称：Worm.Win32.Delf.bg（Kaspersky）
病毒别名：Worm.MYGOD.a.30001（毒霸）
Worm.Delf.dy（瑞星）
病毒大小：18,432 字节（30,001 字节）
加壳方式：PE_Patch.UPX UPX
样本MD5：c773bd861b2c32d88da59cc3f6c4a604（00ea5b91a6166c096a1d7e5816183eab）
样本SHA1：58c26dd583e3c70f5fde5d7892bedd9684d705b5（5ec2b00e7cec6edc34e6b2747b732fe02aa16954）
发现时间：2007.2
更新时间：2007.2.7
关联病毒：
传播方式：恶意网页、其它病毒下载，感染exe文件，可通过移动存储设备（U盘等）传播

技术分析
==========

病毒运行后释放自身副本到系统system目录：
%Windows%\system\internat.exe
并运行，加开关参数/sleepdown。

使用批处理{原文件名}.bat删除自身原文件，{原文件名}.bat内容：

[Copy to clipboard]
CODE:
:try
del "exe"
if exist "exe" goto try
del %0

向各分区目录复制副本，创建autorun.inf：
X:\setup.exe
X:\autorun.inf

autorun.inf内容：

[Copy to clipboard]
CODE:
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\打开(&O)\command=setup.exe

病毒感染分系统分区下的所有exe文件，使用dir命令收集非系统分区下的所有exe文件列表：

[Copy to clipboard]
CODE:
dir *.exe /s /b >%Windows%\win.log

被感染文件运行后释放病毒体（大小30001字节）到C盘根目录并运行：
C:\_.de

%Windows%\system\internat.exe开关参数/update，尝试访问网络下载其它病毒或恶意程序，保存到以下位置并运行：
%Windows%\system\SYSTEM32.vxd（加密文件列表）
%Windows%\system\1.exe
%Windows%\system\2.exe
%Windows%\system\3.exe
%Windows%\system\4.exe
%Windows%\system\5.exe
%Windows%\system\6.exe
%Windows%\system\7.exe
%Windows%\system\8.exe
%Windows%\system\9.exe
%Windows%\system\10.exe
%Windows%\system\svchost.exe

病毒内发现有如下信息：

[Copy to clipboard]
CODE:
MYGOD
this is the Rav get all path administrators
.....................卡巴我恨你...............

清除步骤
==========

1. 结束病毒进程：
%Windows%\system\internat.exe

2. 删除病毒文件：
%Windows%\system\internat.exe

3. 通过文件夹树形结构目录进入分区根目录，删除病毒文件：
X:\setup.exe
X:\autorun.inf

4. 删除C盘根目录下的病毒文件（可能存在）：
C:\_.de

5. 删除病毒下载的其它病毒或恶意程序（可能存在）：
%Windows%\system\SYSTEM32.vxd
%Windows%\system\1.exe
%Windows%\system\2.exe
%Windows%\system\3.exe
%Windows%\system\4.exe
%Windows%\system\5.exe
%Windows%\system\6.exe
%Windows%\system\7.exe
%Windows%\system\8.exe
%Windows%\system\9.exe
%Windows%\system\10.exe
%Windows%\system\svchost.exe

6. 使用反病毒软件进行全盘扫描，清除被感染的exe文件

我中了这样的病毒，现在c:\wndows\system 下面还能看到internat.exe病毒（隐藏属性系统属性大小37K）在微点里面它只作为一个其他软件来对待。没有任何举动。

:(:(:(:(:(:(

[ Last edited by 9041656 on 2007-2-17 at 02:10 ]

作者: Legend 时间: 2007-2-16 20:30
请问楼主微点的版本号，是什么操作系统？

作者: 9041656 时间: 2007-2-16 20:37 标题: 回复回复：

程序版本： 1.2.10569.0036
特征版本： 1.4.215.070210
更新时间： 2007-02-11 9:19:18

操作系统：windows XP SP2

给我答案啊！

作者: Legend 时间: 2007-2-16 20:47
请楼主将这个样本发到微点的virus@micropoint.com.cn病毒上报邮箱中，我们将在测试后告知，谢谢对微点的支持

作者: 9041656 时间: 2007-2-16 20:53
汗。。。。。
你早说。。。。我手动删除了。。。。

作者: 9041656 时间: 2007-2-16 20:56
再说一下啊。。。刚刚用Recover4All Professional恢复那个文件，想传给你的。就在这个时候微点报警了，把Recover4All Professional 和 internat.exe 一起删除了。。。。
汗

作者: Legend 时间: 2007-2-16 20:57
如果楼主再次发现这个样本，请发到我们的病毒上报邮箱，我们将进一步测试，并告知结果，谢谢。

作者: 9041656 时间: 2007-2-16 20:59
你们回复的速度挺快的嘛 :)

不过好像你忽略我6楼的话了。。。

作者: Legend 时间: 2007-2-16 21:00
微点的报警记录是什么，有病毒名么？

Recover4All Professional的版本号是多少？是否官方网址下载，如有连接请发给我们，谢谢

作者: 9041656 时间: 2007-2-16 21:03
等一下都发给你

作者: 9041656 时间: 2007-2-16 21:13
汗一个。。刚刚以为微点崩溃了。。原来是更新完了重新运行了。。。
那个。。。
报警日志是 Recover4All Professional 这个文件创建了 internat.exe 问是否删除及其衍生物

Recover4All Professional 版本是2.09 非官方下载
从 www.mt30.com (易网绿软基地) 下来的.

internat.exe 我恢复了,等一下发给你.

支持国产软件,支持你解决这个问题.:)

作者: 9041656 时间: 2007-2-16 21:16
internat.exe 用 TOM邮箱发送了.... virus@micropoint.com.cn

另外那个Recover4All Professional也用发吗?

作者: Legend 时间: 2007-2-16 21:20
Recover4All Professional发到support@micropoint.com.cn中，谢谢。

internat.exe 这个样本我们将进行测试，请等待我们的结果，谢谢你对微点的支持。

[ Last edited by Legend on 2007-2-16 at 23:29 ]

作者: 9041656 时间: 2007-2-16 21:27
成功发送.... OVER
支持国产... 我会继续测试微点的...直到他不让我测试为止...汗..90天,...我想要多点时间....

恩... 另外希望微点声明下啊
写隐藏扇区就写隐藏扇区,...在外面传的可是写"隐藏分区"... 沸沸扬扬的... 各大反病毒的网站上都有这样的帖子... 回帖者无疑是被流氓软件吓怕的用户...所以...微点澄清下了...
现在网民憎恨流氓软件的程度大过病毒呢....

作者: Legend 时间: 2007-2-16 21:29
微点并没有写隐藏分区。

作者: Legend 时间: 2007-2-17 00:34
9041656，请问，你的其他磁盘现在能不能双击打开，这些磁盘的根目录下是否有一个setup.exe程序？

我们这边测试的情况，internat.exe微点可以处理。

作者: 9041656 时间: 2007-2-17 00:40

Quote:

Originally posted by Legend at 2007-2-17 00:34:
9041656，请问，你的其他磁盘现在能不能双击打开，这些磁盘的根目录下是否有一个setup.exe程序？

我们这边测试的情况，internat.exe微点可以处理。

我知道会有那样的情况....
1楼的都写了.....
我在其他磁盘新建了文件夹,setup.exe 和 autorun.inf .所以没有那样的文件.磁盘可以正常打开.

恩..LEGEND的意思是在它有所反应后处理?

我刚刚给你传了相关文件 "__.de"

作者: 9041656 时间: 2007-2-17 00:44
我不知道什么原因...

老是会创建这两个文件:
c:\__.de
c:\windows\system\internat.exe

微点会报错.提示创建了文件,是否删除.
我想要的是根治啊,好像每启动完电脑就会创建一次...
LEGEND也更新下病毒特征库了..一开始还以为internat.exe是输入法的程序...
汗..

作者: Legend 时间: 2007-2-17 00:47
请问，微点报的是什么错误？

这两个文件是谁创建的？楼主把微点的程序生成日志和木马日志发上来看下，谢谢。

作者: 9041656 时间: 2007-2-17 01:01
时间处理结果木马名称木马进程名木马文件创建者
2007-02-17 00:32:25 处理成功未知木马 C:\_.DE D:\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE
2007-02-17 00:30:18 处理成功未知木马 C:\_.DE D:\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE
2007-02-17 00:17:51 处理成功未知木马 C:\_.DE D:\PROGRAM FILES\STORM CODEC\STORMSET.EXE
2007-02-16 23:50:09 处理成功未知木马 C:\WINDOWS\SYSTEM\INTERNAT.EXE C:\_.DE
2007-02-16 23:50:08 处理成功未知木马 C:\_.DE D:\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE
2007-02-16 20:56:02 处理成功未知木马 C:\WINDOWS\SYSTEM\INTERNAT.EXE C:\_.DE
2007-02-16 20:56:02 处理成功未知木马 C:\_.DE E:\误删恢复\REC4ALL.EXE
2007-02-16 20:56:02 处理成功未知木马 E:\误删恢复\REC4ALL.EXE
2007-02-16 20:08:30 处理成功 Trojan-PSW.Win32.OnLineGames.wb C:\DOCUMENTS AND SETTINGS\SOE\LOCAL SETTINGS\TEMP\UPXDND.EXE

汗.... FIREFOX 有毒..?!

作者: 9041656 时间: 2007-2-17 01:03
时间处理结果木马名称木马进程名木马文件创建者
2007-02-17 00:32:25 处理成功未知木马 C:\_.DE D:\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE
2007-02-17 00:30:18 处理成功未知木马 C:\_.DE D:\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE
2007-02-17 00:17:51 处理成功未知木马 C:\_.DE D:\PROGRAM FILES\STORM CODEC\STORMSET.EXE
2007-02-16 23:50:09 处理成功未知木马 C:\WINDOWS\SYSTEM\INTERNAT.EXE C:\_.DE
2007-02-16 23:50:08 处理成功未知木马 C:\_.DE D:\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE
2007-02-16 20:56:02 处理成功未知木马 C:\WINDOWS\SYSTEM\INTERNAT.EXE C:\_.DE
2007-02-16 20:56:02 处理成功未知木马 C:\_.DE E:\误删恢复\REC4ALL.EXE
2007-02-16 20:56:02 处理成功未知木马 E:\误删恢复\REC4ALL.EXE
2007-02-16 20:08:30 处理成功 Trojan-PSW.Win32.OnLineGames.wb C:\DOCUMENTS AND SETTINGS\SOE\LOCAL SETTINGS\TEMP\UPXDND.EXE

作者: 9041656 时间: 2007-2-17 01:03
弄不整齐汗....

作者: Legend 时间: 2007-2-17 01:06
请在微点的进程综合信息中找到firefox，单击firefox，在下面的信息框中查看进程中有哪些未知模块。

作者: 9041656 时间: 2007-2-17 01:21
加载了很多DLL文件。。。
蓝色的有：
jar50.dll
myspell.dll
spellchk.dll
js3250.dll
nspr4.dll
nss3.dll
plc4.dll
plds4.dll
npnul32.dll
smime3.dll
softokn3.dll
ssl3.dll
xpcom_compat.dll
xpcom_core.dll

黑色的其他应该算是正常的吧？
上面列的蓝色的大部分是有描述和公司名称或文件版本的DLL。MS不是病毒。。。汗

作者: 9041656 时间: 2007-2-17 01:23
哦，那个。
刚刚用微点测了下，internat.exe 是由我的GREEN brower 浏览器建立的。。
汗。。。浏览器都中毒了。。。

作者: Legend 时间: 2007-2-17 01:25
建议楼主换个浏览器试用下会不会还有这样的情况出现。

作者: 9041656 时间: 2007-2-17 01:26
LEGEND 还有什么我需要帮忙的吗？
没有的话我准备把这两个中毒的程序都删了。。。。

作者: 9041656 时间: 2007-2-17 01:27
谢谢了，太感谢，不是微点我都不知道是这两个程序带的毒。。。

用了老长时间了。。。。汗死。。。

作者: Legend 时间: 2007-2-17 01:28
没有了，谢谢你的帮助，欢迎你继续试用微点，有什么问题及时和我们联系

作者: 9041656 时间: 2007-2-17 01:28
。。。再罗嗦下。。。

居然全部的EXE文件运行都会带出 c:\__.de

我晕了

作者: Legend 时间: 2007-2-17 01:30
楼主应该中的是感染型病毒，楼主是先中毒后才安装的微点么？

作者: 9041656 时间: 2007-2-17 01:31
看来得。。。格盘。。。。 T_T

作者: 9041656 时间: 2007-2-17 01:31
额。。。。对啊。。。。
在微点之前进程里就有那个 internat.exe 老跳。。。。

作者: Legend 时间: 2007-2-17 01:32
建议楼主对所以分区都进行格式化后安装系统，然后在干净的系统中安装微点主动防御软件。

作者: 9041656 时间: 2007-2-17 01:32
汗。，。。。我的资料啊。。。。

不过也只能这样了。。。。。
还是谢谢。。。LEGEND。。。。

[ Last edited by 9041656 on 2007-2-17 at 01:33 ]

作者: xxxyyy 时间: 2007-2-17 08:58
我前段时间也中了这个，只能把硬盘上所有被修改的exe文件删除，否则一运行就会启动病毒，不知现在有哪个杀软能清除，好在系统和软件目录没被感染，否则要重来了

作者: luoxiaofei 时间: 2007-2-17 12:34
我的个身啊

作者: xyszy 时间: 2007-2-17 16:11
全格，不是吧。死活得留下点私人资料吧？换我宁可机器费了也不能让资料丢了

作者: 华恶崇 时间: 2007-2-18 10:30
我想格式化C盘重装系统后，再装卡巴扫其它分区，之后再装微点较好些吧。

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn