Worm.DlOnlineGames.g是一种恶性蠕虫病毒,分析病毒样本后发现此病毒是sysload3.exe的一个变种。
Worm.DlOnlineGames.g是一种恶性蠕虫病毒,分析病毒样本后发现此病毒是sysload3.exe的一个变种。
1.感染exe
2.修改hosts
3.下载木马群
样本运行后释放
C:Program FilesCommon FilesSystemwab32res.exe
C:Program FilesCommon FilesSystemdirectdb.exe
创建服务
Hello Download
涉及到该服务的相关注册表项目如下
HKLMSYSTEMCurrentControlSetServicesHello DownloadType: 0x00000010
HKLMSYSTEMCurrentControlSetServicesHello DownloadStart: 0x00000002
HKLMSYSTEMCurrentControlSetServicesHello DownloadErrorControl: 0x00000001
HKLMSYSTEMCurrentControlSetServicesHello DownloadImagePath: "C:Program FilesCommon FilesSystemwab32res.exe"
HKLMSYSTEMCurrentControlSetServicesHello DownloadDisplayName: "TCP/IP Check"
HKLMSYSTEMCurrentControlSetServicesHello DownloadObjectName: "LocalSystem"
调用ie 和 notepad进程
ie 进程负责连接到59.34.197.169:80 下载木马群
notepad.exe负责感染文件,感染除系统分区外其它分区的exe文件。并负责启动那些被下载的木马
下载到的木马分别为C:Program FilesCommon FilesSystemTempA.exe~C:Program FilesCommon FilesSystemTempH.exe
TempA.exe释放文件iexpl0re.exe和LgSy0.dll到临时文件夹
在HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
添加注册表项目<st8wq><C:documents and Settings用户名Local SettingsTempiexpl0re.exe>
TempB.exe释放文件crasos.exe和Msxo0.dll到临时文件夹
在HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
添加注册表项目<iwssd497q><C:documents and Settings用户名Local SettingsTempcrasos.exe>
TempC.exe释放文件1explore.exe到临时文件夹
在HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
添加注册表项目<j9mef8vhcj1dc><C:documents and Settings用户名Local SettingsTemp1explore.exe>
TempD.exe释放文件Servera.exe和Kavs0.dll到临时文件夹
在HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
添加注册表项目<jjj394srv69x><C:documents and Settings用户名Local SettingsTempServera.exe>
TempF.exe释放文件winlog0n.exe和LgSy1.dll到临时文件夹
在HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
添加注册表项目<uvu><C:documents and Settings用户名Local SettingsTempwinlog0n.exe>
TempG.exe释放文件C:WINDOWScmdbcs.exe和C:WINDOWSsystem32cmdbcs.dll
在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
添加注册表项目<cmdbcs><C:WINDOWScmdbcs.exe>
TempH.exe释放文件rundl132.exe和Rav20.dll到临时文件夹
在HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
添加注册表项目<hygrl2><C:documents and Settings用户名Local SettingsTemprundl132.exe>
修改hosts文件
以上现象在sreng日志中 显示如下
<st8wq><C:documents and Settings用户名Local SettingsTempiexpl0re.exe>
<iwssd497q><C:documents and Settings用户名Local SettingsTempcrasos.exe>
<j9mef8vhcj1dc><C:documents and Settings用户名Local SettingsTemp1explore.exe>
<jjj394srv69x><C:documents and Settings用户名Local SettingsTempServera.exe>
<uvu><C:documents and Settings用户名Local SettingsTempwinlog0n.exe>
<hygrl2><C:documents and Settings用户名Local SettingsTemprundl132.exe>
<cmdbcs><C:WINDOWScmdbcs.exe>
服务
<C:Program FilesCommon FilesSystemwab32res.exe><N/A>
进程中
1.清除木马群(此时不要打开其他磁盘分区点那些被感染的exe文件)
安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)
启动项目 注册表 删除如下项目
包括但不限于
<st8wq><C:documents and Settings用户名Local SettingsTempiexpl0re.exe>
<iwssd497q><C:documents and Settings用户名Local SettingsTempcrasos.exe>
<j9mef8vhcj1dc><C:documents and Settings用户名Local SettingsTemp1explore.exe>
<jjj394srv69x><C:documents and Settings用户名Local SettingsTempServera.exe>
<uvu><C:documents and Settings用户名Local SettingsTempwinlog0n.exe>
<hygrl2><C:documents and Settings用户名Local SettingsTemprundl132.exe>
(只要是在临时文件夹下的文件添加的启动都去掉)
<cmdbcs><C:WINDOWScmdbcs.exe>
(以及我所说那个木马群中所有涉及到的启动项目)
“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”,
选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”
TCP/IP Check / Hello Download
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
然后删除C:documents and Settings用户名Local SettingsTemp 下面所有文件(主要是扩展名为dll和exe的文件)
C:WINDOWScmdbcs.exe
C:WINDOWSsystem32cmdbcs.dll
C:Program FilesCommon FilesSystemwab32res.exe
C:Program FilesCommon FilesSystemdirectdb.exe
以及我所说那个木马群中所有涉及到的文件
2.修复hosts
还是使用sreng 系统修复 hosts文件 点击下面的重置 在弹出的窗口中点击是 然后点击保存
3.修复exe文件
安全模式下使用反病毒软件进行全盘扫描,清除被感染的exe
温馨提示:
