蝗虫军团变种
病毒名称
中文名称:蝗虫军团变种
BitDefender:Trojan.PWS.OnlineGames.ZWI
Kaspersky:Trojan-GameThief.Win32.OnLineGames.thxi
NOD32:a variant of Win32/PSW.OnLineGames.NRF
Rising:Trojan.PSW.Win32.GameOL.qop
VT扫描时间:2008.10.05 07:50:33 (CET)
EQS Lab编号:081005126
病毒大小:17.7 KB (18,213 字节)
MD5码:3EF19FC7F9064E71F452CC26F855FC0B
病毒类型:特洛伊木马
主要传播方式:网络
测试平台: WinXP SP3系统 (默认Shell为BBlean) EQSecurity(HIPS) 实机
危害程度:★★★★☆
病毒行径运行后创建启动项
创建注册表值
进程路径:F:Once1212.exe
注册表路径:HKEY_LOCAL_MACHINESYSTEMControlSet001ControlSession Manager
注册表名称:PendingFileRenameOperations
触发规则:所有程序规则->自动运行->*SYSTEMControlSet*ControlSession Manager
创建注册表值
进程路径:F:Once1212.exe
注册表路径:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows
注册表名称:AppInit_DLLs
触发规则:所有程序规则->自动运行->*SOFTWAREMicrosoftWindows NTCurrentVersionWindows
删除注册表
进程路径:F:Once1212.exe
注册表路径:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
注册表名称:HBService
触发规则:所有程序规则->自动运行->*SOFTWAREMicrosoftWindowsCurrentVersionRun*
释放SYS
创建文件
进程路径:F:Once1212.exe
文件路径:C:windowssystem32driversHBKernel32.sys
触发规则:所有程序规则->文件阻止及保护->?:*.sys
SCM 安装驱动
访问服务管理器
进程路径:F:Once1212.exe
触发规则:所有程序规则->*
安装服务或者驱动
进程路径:C:WINDOWSsystem32services.exe
文件路径:C:windowssystem32driversHBKernel32.sys
触发规则:所有程序规则->阻止运行->%windir%*
释放DLL
创建文件
进程路径:F:Once1212.exe
文件路径:C:windowssystem32HBCONQUER.dll
触发规则:所有程序规则->文件阻止及保护->?:*.dll
2008-09-30 20:18:53 创建文件
进程路径:F:Once1212.exe
文件路径:C:Documents and SettingsAdministratorLocal SettingsTempHBCONQUER.dll
触发规则:所有程序规则->Documents and Settings->?:Documents and Settings*.dll
创建文件
进程路径:F:Once1212.exe
文件路径:C:Documents and SettingsAdministratorLocal SettingsTempHBSelfDel.dll
触发规则:所有程序规则->Documents and Settings->?:Documents and Settings*.dll
释放exe
创建文件
进程路径:F:Once1212.exe
文件路径:C:windowssystem32System.exe
触发规则:所有程序规则->文件阻止及保护->?:*.exe
调用rundll32
运行应用程序
进程路径:F:Once1212.exe
文件路径:C:WINDOWSsystem32
undll32.exe
命令行:C:DOCUME~1ADMINI~1LOCALS~1TempHBSelfDel.dll,MagicDelete F:Once1212.exe
触发规则:所有程序规则->阻止运行->%windir%*
rundll32加载病毒dll
加载库文件
进程路径:C:WINDOWSsystem32
undll32.exe
文件路径:C:Documents and SettingsAdministratorLocal SettingsTempHBSelfDel.dll
触发规则:所有程序规则->阻止运行->?:Documents and Settings*Local SettingsTemp*
调用exe
运行应用程序
进程路径:F:Once1212.exe
文件路径:C:WINDOWSsystem32System.exe
触发规则:所有程序规则->阻止运行->%windir%*
安装钩子
安装全局钩子
进程路径:C:WINDOWSsystem32System.exe
文件路径:HBmhly.dll,HB1000Y.dll,HBWOOOL.dll,HBXY2.dll,HBJXSJ.dll,HBSO2.dll,HBFS2.dll,HBXY3.dll,HBSHQ.dll,HBFY.dll,HBWULIN2.dll,HBW2I.dll,HBKDXY.dll,HBWORLD2.dll,HBASKTAO.dll,HBZHUXIAN.dll,HBWOW.dll,HBZERO.dll,HBBO.dll,HBCONQUER.dll,HBSOUL.dll,HBCHIBI.dll,HBDNF.dll,HBWARLORDS.dll,HBTL.dll,HBPICKCHINA.dll,HBCT.dll,HBGC.dll,HBHM.dll,HBHX2.dll,HBQQHX.dll,HBTW2.dll,HBQQSG.dll,HBQQFFO.dll,HBZT.dll,HBMIR2.dll,HBRXJH.dll,HBYY.dll,HBMXD.dll,HBSQ.dll,HBTJ.dll,HBFHZL.dll,HBWLQX.dll,HBLYFX.dll,HBR2.dll,HBCHD.dll,HBTZ.dll,HBQQXX.dll,HBWD.dll,HBZG.dll,HBPPBL.dll,HBXMJ.dll,HBJTLQ.dll,HBQJSJ.dll
钩子类型:WH_JOURNALRECORD
触发规则:所有程序规则->*
安装全局钩子
进程路径:C:WINDOWSsystem32System.exe
文件路径:C:windowssystem32HBCONQUER.dll
钩子类型:WH_MOUSE
触发规则:所有程序规则->阻止运行->%windir%*
病毒特征下载并运行的木马很多,还会修改主页,并且通过一些技术来保护主页不被用户或其它软件再次修改,以达到长期占有的目的。
主页改完又接着大量安装插件了。
伪装QQ系统消息进行钓鱼。
开机大量弹出广告窗口,占用大量系统资源。
解决办法中了蝗虫军团后.木马生成启动项system.exe和一个恶意驱动.在系统进程中加载大量dll.监视DLL组件是否被调用,如果发现不存在(发现被关闭掉)则重新调用,达到自我保护的目的和躲避安全软件主动防御和监控等,达到自我保护的目的。通过调用“sfc_os.dll”来躲避系统“Windows 文件保护”功能对“C:WINDOWSsystem32
pcss.dll”文件的监视保护.病毒会下载大量木马.给用户处理带来难度。
用户查杀后容易导致无法复制、粘贴、任务栏出现异常。主要是rpc服务没有启动。此病毒会替换系统文件userinit.exe rpcss.dll。下面是简单的处理方法。每个人的情况不同,应根据诊断报告做出不同的处理。
1、结束userinit.exe进程。从光盘中解压出此文件,放在C:WINDOWSsystem32下面。rpcss.dll也可以从光盘中解压放在C:WINDOWSsystem32下面。或是找到C:WINDOWSsystem32srpcss.dll或是C:WINDOWSsystem32spcss.dll。将其改名为rpcss.dll。主要是病毒用“MoveFileExA”将其移动这两处。
2、首先删除病毒文件“C:DOCUME~1ADMINI~1LOCALS~1Temp路径下的文件。
3、做好以上步骤后。根据诊断报告中反映的情况粉碎病毒加载的模块。使用工具可以上网下载。
4、重启后,暂时不要上网。打开注册表,找到把注册表“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices
pcssObjectName”键值改为“NT AUTHORITYNetworkService”。(提升该DLL所在的服务的权限,把原权限“NT AUTHORITYNetworkService”提升为系统最高权限“LocalSystem”)
5、显示隐藏文件,把C:WINDOWSsystem32下面可疑的,具有隐藏属性的文件找到后删除掉。不熟悉的可以上网搜索一下。数字加字母后缀名为cfg的要删除掉。
6、下载Dr.Web CureIt到桌面杀毒 下载地址:
ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe
7、重新启动计算机系统,系统杀毒完毕,系统重新启动后就可以上网了,粘贴功能有效了,同时任务栏的显示也正常了。
8、有不少网友反映查杀后,只要一上QQ就会重新下载这些病毒.请检查一一QQ安装目录x:Program FilesTencentQQPSAPI.DLL有无这个文件.请删除掉。
病毒总结“蝗虫军团”是一个很邪恶的下载者,其下载的木马数量之多,涉及方面之广,手段之恶劣,已经达到令人发指的程度。并具有自我更新,U盘传播,大有赶超“机器狗”和“磁碟机”之势。
请大家擦亮双眼,把这邪恶的“蝗虫军团”请出系统吧。
最后,再复述一下清除“蝗虫军团”的要点:
1.下载最新版的木马专杀大全或杀毒软件,断开网络进行查杀。
2.使用360安全卫士或杀毒软件进行木马的查杀和恶评插件的查杀。
3.经常使用360安全卫士并修复系统漏洞。
4.安装好防火墙。