微点交流论坛 - 主动防御 - 当敲诈者遇上微点

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 主动防御 » 当敲诈者遇上微点

点饭的百度空间
银牌会员

积分 2315
发帖 2236
注册 2007-11-30

#1 当敲诈者遇上微点

记得去年二月份这个不到比较流行，最后貌似金山提交公安部分把那作者和谐了，今天碰上的这个和去年的功能一样，可能是有人积压的样本经过改造的，在此ｂｓ一下那人，闲着没事别制造多余的样本，免得被有心人利用了。去年还拿这个典型在黑Ｘ上卖过稿费，写了清除方法和文件恢复方法，不料今天给自己用上了，比较无语，还好一看跟飞了就把ｏｄ关了，没有丢多少文件。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

释放文件：

%SystemRoot%\System32\飞越星球.scr（对应屏保）

%SystemRoot%\System32\Wins.com（对应服务）

替换%SystemRoot%\System32\与%SystemRoot%\System32\Dllcache\下taskmsg.exe（对应任务管理器）

%APPDATA％\Microsoft\svchost.exe（对应启动项）

以硬编码方式从D～Z盘写入SVCHOST.exe以及Autorun.inf，然后再写A盘，避免无软驱后面无法写入的问题

实机、无还原微点的回答:

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

已中毒的清除方法: 首先结束进程将这些文件删除，可以按Win＋E健在资源管理器里面删除，或者通过Del命令、批处理、第三方工具等方式，在病毒文件删除时注意不要拷贝文件到硬盘

修改注册表

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\

//删除文件夹选项部分注册表

HKEY_CURRENT_USER\Control Panel\Desktop\ScreenSaveTimeOut
新: 字符串: "60"　　//修改屏保时间为一分钟
旧: 字符串: "600"

HKEY_CURRENT_USER\Control Panel\Desktop\SCRNSAVE.EXE
新: 字符串: "C:\WINDOWS\system32\飞越星球.scr"　　//修改当前屏保文件为病毒副本
旧: 字符串: "C:\WINDOWS\System32\logon.scr"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden
新: DWORD: 2 (0x2)　　//隐藏系统和隐藏属性的文件
旧: DWORD: 1 (0x1)

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt
新: DWORD: 1 (0x1)　　//隐藏文件扩展名
旧: DWORD: 0 (0)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\legalnoticecaption
新: 字符串: "警告:"　　　
旧: <未设置键值>

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\legalnoticetext
新: 字符串: " 发现您硬盘内曾使用过盗版了的我公司软件,所以将您部份文件移到锁定了的扇区,若要解锁将文件释放,请电邮liugongs19670519@yahoo.com.cn购买相应的软件"　　
旧: 字符串: ""

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost.exe
键值: 字符串: "C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe"　　

//添加自身启动项

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\WINS \　　

//创建Win32服务启动

系统目录下运行regedit，将以上病毒修改的注册表改回，创建的删除即可，将一下项中所No开头键值删除，StartMenulogOff删除，恢复开始菜单部分选项

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

将以下项legalnoticecaption与legalnoticetext两键值内容清空，去掉敲诈提示框

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system

将如下文字保存为reg为扩展名的文件双击导入注册表：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="显示所有文件和文件夹"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

清空文件

首先硬编码查找C:\Program Files\Tencent目录中文件（比如我的foxmail）,通过某种方法使文件不可见，没有调用到NtDeleteFile，或许是使用MoveFile的，没有F7进去，E语言还是比较变态的，不知道使用什么方法将文件化有为无，有空用其他机器跟下。然后又是D~Z如法炮制上述行为将所有目录清空。

随便找一款数据恢复软件就可以进行恢复

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

修改txt文件关联，使用ftype txtfile=%systemroot%\system32\notepad.exe改回

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

BY:unknown tycoon

※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【微点交流论坛】立场无关※ ※ ※

你的微笑 is 微点的骄傲！
http://hi.baidu.com/new/micropoint

2008-4-14 09:30

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号