微点交流论坛 - 微点软件使用交流 - 利用微点查杀修改3448.com主页病毒

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 微点软件使用交流 » 利用微点查杀修改3448.com主页病毒

aidi
中级用户

新手上路

积分 256
发帖 221
注册 2006-3-6

#1 利用微点查杀修改3448.com主页病毒

微点可以查杀“3448.com病毒”

网络上查找的该病毒的一些介绍：
IE的主页被改成[url]http://www.*3448.com[/url]每次改了主页又自动弹回[url]http://www.*3448.com[/url]；
将自己复制至Windows的system32文件夹下，重命名为zpj93.dll。（病毒文件名称随机不同）
在注册表的自动运行中写入名为tj的字符串项，使每次系统启动时调用Rundll32.exe运行之。
当系统运行360safe或其它带有kill名称的进程时，将计算机关闭。目前尚不清楚此病毒是否还会照此屏蔽其它的文件名……

今天朋友的一台机子的ie中了“病毒”，主页被修改为[url]http://www.*3448.com[/url]，帮其远程协助开始推荐他用hj扫日志如下：
HijackThis_zww汉化版扫描日志 V1.99.1
保存于    10:56:30, 日期 2006-11-17
操作系统：  Windows XP SP2 (WinNT 5.01.2600)
浏览器： Internet Explorer v6.00 SP2 (6.00.2900.2180)
当前运行的进程：
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\Administrator\桌面\HijackThis1991zww\HijackThis1991zww.exe
D:\Program Files\Tencent\QQ\QQ.exe
D:\Program Files\Tencent\QQ\TIMPlatform.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Administrator\桌面\HijackThis1991zww\HijackThis1991zww.exe
R3 - 默认的URLSearchHook丢失。用HijackThis修复
O1 - Hosts: 125.91.14.230 [url]www.*my123.com[/url]
O1 - Hosts: 125.91.14.230 [url]www.*hao123.com[/url]
O1 - Hosts: 125.91.14.230 [url]www.*9991.com[/url]
O1 - Hosts: 125.91.14.230 [url]www.*haokan123.com[/url]
O1 - Hosts: MT O1 - Hosts: Accept-Ranges: bytes
O1 - Hosts: ETag: "0abf0bf666c71:439"
O1 - Hosts: Server: Microsoft-IIS/6.0
O1 - Hosts: X-Powered-By: ASP.NET
O1 - Hosts: Date: Fri, 17 Nov 2006
02:56:45 GMT O1 - Hosts: MZ?
O2 - BHO: EyeOnIE Class - {C14393E1-95FF-4DFF-9BE0-EA008D4EF930} - C:\PROGRA~1\test\BHOPLU~1.DLL
O4 - 启动项HKLM\\Run: [StormCodec_Helper] "C:\Program Files\Ringz Studio\Storm Codec\StormSet.exe" /S /opti
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O9 - 浏览器额外的按钮: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - d:\Program Files\Tencent\QQ\QQIEHelper.dll
O9 - 浏览器额外的“工具”菜单项: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - d:\Program Files\Tencent\QQ\QQIEHelper.dll O9 - 浏览器额外的按钮: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - 浏览器额外的“工具”菜单项: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{4992865C-D5BA-4EF0-98EA-74A2D34413F6}: NameServer = 202.96.128.68,61.144.56.100

发现可疑项
C:\WINDOWS\system32\rundll32.exe（注：可能是被别的程序注入了rundll32.exe进程否则怎么会自动启动这个进程）
O1 - Hosts: 125.91.14.230 [url]www.*my123.com[/url]
O1 - Hosts: 125.91.14.230 [url]www.*hao123.com[/url]
O1 - Hosts: 125.91.14.230 [url]www.*9991.com[/url]
O1 - Hosts: 125.91.14.230 [url]www.*haokan123.com[/url] （注：很明显hosts文件被修改）
O2 - BHO: EyeOnIE Class - {C14393E1-95FF-4DFF-9BE0-EA008D4EF930} - C:\PROGRA~1\test\BHOPLU~1.DLL（注：很可疑的进程居然注入到了explorer.exe进程）

   首先手工修改c:\windows\system32\drivers\目录下的hosts文件，果然被改得一塌糊涂，删除其中如上面被改内容并设置文件属性为只读；（没有发现有3448的名称）
   然后，手工修改ie主页发现无论怎么修改都是会被其修改回原来的3448.com；
是不是iexplore.exe也被其他模块注入了呢？
这时想到微点的进程综合信息可以查看这些模块信息，推荐朋友到微点官方网站下载微点软件安装；
   朋友很是合作，立即下载安装（大概是被这个病毒害苦了）。
……
   等待n分钟后，朋友安装重启回来，继续远程；
   打开微点主界面，点击系统自启动信息（一般情况这种病毒都会随系统启动然后去修改注册表达到保护自身的目的），发现如下：

   其中两个程序说明为其他软件的文件十分可疑，果然其中[color=
red]bhoplu~1.dll就是用hj扫描出来的那个启动项，真的是explorer.exe启动，看下路径更是确信无疑c:\program files\test\，注册表项为[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C14393E1-95FF-4DFF-9BE0-EA008D4EF930}]但仍不确定与3448.com有关，只能肯定他不是一个好东西；
   再看上面那个文件18fi.sys注册表启动，键值为"18fm.exe"="C:\\WINDOWS\\system32\\18fm.exe C:\\WINDOWS\\system32\\drivers\\18fi.sys Rundll32"恩，与前面用hj查到的启动的rundll32.exe进程对应，肯定是18fm.exe这个程序把18fi.sys和rundll32.exe当参数调用了，最终启动的还是18fm.exe这个文件。但为什么18fi.sys的路径那里显示文件不存在呢，难道启动后自己把自己删除了？还是先找到18fm.exe再作定论；
   打开系统的资源管理器才发现，这个文件也不存在了，哪里去了？
   难道被微点删除了，去微点的有害程序隔离区察看，真的在这里

已经被微点处理了，真是令人信服；但怎么没有报警？察看下日志

   看时间原来是在系统启动的时候，这些程序已经启动并要去做那些病毒的行为，被微点发现拦截处理了。而且报的是未知肯定是依据程序行为判断得出的结论。

   再次利用微点的注册表修复，修复了被更改的主页，并顺便手工删除了BHOPLU~1.DLL及其注册表键值及3488病毒的run键值，打开ie不再自动链入3448.com网站，问题解决。

总结：微点已经加入对这种恶意修改ie主页的病毒的处理；
微点监控的启动在病毒启动之前，这样可以有效地防止病毒随系统加载造成破坏；
建议：对于已经中了这种病毒后安装微点的情况，微点可以有效地拦截并处理病  毒程序本身；但可能是病毒的注册表run键值已经存在，没有再去生成或生成时病毒已被微点拦截，所以这个键值不会被微点自动清除（因为监控里面没有病毒与这个键值的生成关系），建议在系统自启动信息里面加入按钮自动清除无效的注册表键值，这样可以避免微点杀毒后造成下次重启电脑系统提示**启动失败，找不到**文件，给用户带来麻烦。

作者：Aidi
2006-11-17

附：
关键字：微点主动防御软件，HJ，3448.com
操作系统：  Windows XP SP2 (WinNT 5.01.2600)
微点主动防御软件版本为官方网站下载的mp.061106.r1.exe

编辑了下把链接改了，省得被人误点，呵呵！

[ Last edited by aidi on 2006-11-17 at 17:53 ]

※ ※ ※ 本文纯属【aidi】个人意见，与【微点交流论坛】立场无关※ ※ ※

2006-11-17 17:36

天道酬勤
中级用户

初级会员

积分 208
发帖 188
注册 2006-5-2

#2

楼主研究的很透彻哈，支持下

※ ※ ※ 本文纯属【天道酬勤】个人意见，与【微点交流论坛】立场无关※ ※ ※

2006-11-17 17:48

jaber
版主

使用与技巧区版主

积分 2861
发帖 2835
注册 2006-6-6

#3

哇支持LZ 希望对微点作深入的测试及时反馈信息

谢谢！

※ ※ ※ 本文纯属【jaber】个人意见，与【微点交流论坛】立场无关※ ※ ※

2006-11-17 20:00

nasdaq
版主

版主

积分 1140
发帖 1118
注册 2006-4-6

Quote:

Originally posted by 天道酬勤 at 2006-11-17 17:48:
楼主研究的很透彻哈，支持下

嘿嘿，这是微点应用征文的参赛帖阿~！

我觉得写得不错，Aidi是大奖有力的竞争者！

※ ※ ※ 本文纯属【nasdaq】个人意见，与【微点交流论坛】立场无关※ ※ ※

2006-11-18 12:56

wskiawfjhh
新手上路

积分 18
发帖 18
注册 2006-11-17

#5

我就是中了这个病毒.搞得我好烦.卡吧又不杀

上百度求救.介绍了这个软件

我觉得好好！

继续努力！

※ ※ ※ 本文纯属【wskiawfjhh】个人意见，与【微点交流论坛】立场无关※ ※ ※

2006-11-19 15:31

光哥
新手上路

积分 6
发帖 6
注册 2006-9-29

#6

好，大家都来宣传和支持微点！好的东西就是要多宣传。

※ ※ ※ 本文纯属【光哥】个人意见，与【微点交流论坛】立场无关※ ※ ※

2006-11-20 00:52

asdsdl
注册用户

积分 67
发帖 67
注册 2008-4-17

#7

谢谢楼主，很有借鉴经验

※ ※ ※ 本文纯属【asdsdl】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-4-28 08:50

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号