Worm.DlOnlineGames.g
Worm.DlOnlineGames.g的处理
最近很多人中了这个病毒,今天刚拿到样本,分析了一下,其实这个病毒就是原先sysload3.exe的一个变种。
病毒行径:
1.感染exe
2.修改hosts
3.下载木马群
样本运行后
释放
C:Program FilesCommon FilesSystemwab32res.exe
C:Program FilesCommon FilesSystemdirectdb.exe
创建服务
Hello Download
涉及到该服务的相关注册表项目如下
HKLMSYSTEMCurrentControlSetServicesHello DownloadType: 0x00000010
HKLMSYSTEMCurrentControlSetServicesHello DownloadStart: 0x00000002
HKLMSYSTEMCurrentControlSetServicesHello DownloadErrorControl: 0x00000001
HKLMSYSTEMCurrentControlSetServicesHello DownloadImagePath: "C:Program FilesCommon FilesSystemwab32res.exe"
HKLMSYSTEMCurrentControlSetServicesHello DownloadDisplayName: "TCP/IP Check"
HKLMSYSTEMCurrentControlSetServicesHello DownloadObjectName: "LocalSystem"
调用ie 和 notepad进程
ie 进程负责连接到59.34.197.169:80 下载木马群
notepad.exe负责感染文件,感染除系统分区外其它分区的exe文件。并负责启动那些被下载的木马
下载到的木马分别为C:Program FilesCommon FilesSystemTempA.exe~C:Program FilesCommon FilesSystemTempH.exe
TempA.exe释放文件iexpl0re.exe和LgSy0.dll到临时文件夹
在HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
添加注册表项目<st8wq><C:Documents and Settings用户名Local SettingsTempiexpl0re.exe>
TempB.exe释放文件crasos.exe和Msxo0.dll到临时文件夹
在HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
添加注册表项目<iwssd497q><C:Documents and Settings用户名Local SettingsTempcrasos.exe>
TempC.exe释放文件1explore.exe到临时文件夹
在HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
添加注册表项目<j9mef8vhcj1dc><C:Documents and Settings用户名Local SettingsTemp1explore.exe>
TempD.exe释放文件Servera.exe和Kavs0.dll到临时文件夹
在HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
添加注册表项目<jjj394srv69x><C:Documents and Settings用户名Local SettingsTempServera.exe>
TempF.exe释放文件winlog0n.exe和LgSy1.dll到临时文件夹
在HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
添加注册表项目<uvu><C:Documents and Settings用户名Local SettingsTempwinlog0n.exe>
TempG.exe释放文件C:WINDOWScmdbcs.exe和C:WINDOWSsystem32cmdbcs.dll
在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
添加注册表项目<cmdbcs><C:WINDOWScmdbcs.exe>
TempH.exe释放文件rundl132.exe和Rav20.dll到临时文件夹
在HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
添加注册表项目<hygrl2><C:Documents and Settings用户名Local SettingsTemp
undl132.exe>
修改hosts文件
添加
127.0.0.1 mmm.caifu18.net
127.0.0.1 www.18dmm.com
127.0.0.1 d.qbbd.com
127.0.0.1 www.5117music.com
127.0.0.1 www.union123.com
127.0.0.1 www.wu7x.cn
127.0.0.1 www.54699.com
127.0.0.1 60.169.0.66
127.0.0.1 60.169.1.29
127.0.0.1 www.97725.com
127.0.0.1 down.97725.com
127.0.0.1 ip.315hack.com
127.0.0.1 ip.54liumang.com
127.0.0.1 www.41ip.com
127.0.0.1 xulao.com
127.0.0.1 www.heixiou.com
127.0.0.1 www.9cyy.com
127.0.0.1 www.hunll.com
127.0.0.1 www.down.hunll.com
127.0.0.1 do.77276.com
127.0.0.1 www.baidulink.com
127.0.0.1 adnx.yygou.cn
127.0.0.1 222.73.220.45
127.0.0.1 www.f5game.com
127.0.0.1 www.guazhan.cn
127.0.0.1 wm,103715.com
127.0.0.1 www.my6688.cn
127.0.0.1 i.96981.com
127.0.0.1 d.77276.com
127.0.0.1 www1.cw988.cn
127.0.0.1 cool.47555.com
127.0.0.1 www.asdwc.com
127.0.0.1 55880.cn
127.0.0.1 61.152.169.234
127.0.0.1 cc.wzxqy.com
127.0.0.1 www.54699.com
127.0.0.1 t.gcuj.com
127.0.0.1 www.puma163.com
127.0.0.1 ceoww.com
帮我们屏蔽了一些恶意网站 呵呵...
以上现象在sreng日志中 显示如下
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
<st8wq><C:Documents and Settings用户名Local SettingsTempiexpl0re.exe> []
<iwssd497q><C:Documents and Settings用户名Local SettingsTempcrasos.exe> []
<j9mef8vhcj1dc><C:Documents and Settings用户名Local SettingsTemp1explore.exe> []
<jjj394srv69x><C:Documents and Settings用户名Local SettingsTempServera.exe> []
<uvu><C:Documents and Settings用户名Local SettingsTempwinlog0n.exe> []
<hygrl2><C:Documents and Settings用户名Local SettingsTemp
undl132.exe> []
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
<cmdbcs><C:WINDOWScmdbcs.exe> []
服务
[TCP/IP Check / Hello Download][Stopped/Auto Start]
<C:Program FilesCommon FilesSystemwab32res.exe><N/A>
进程中
[PID: 1396][C:WINDOWSExplorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:WINDOWSsystem32cmdbcs.dll] [N/A, ]
[C:Documents and Settings用户名Local SettingsTempLgSy0.dll] [N/A, ]
[C:Documents and Settings用户名Local SettingsTempRav20.dll] [N/A, ]
[C:Documents and Settings用户名Local SettingsTempKavs0.dll] [N/A, ]
[C:Documents and Settings用户名Local SettingsTempMsxo0.dll] [N/A, ]
清除步骤如下:
1.清除木马群(此时不要打开其他磁盘分区点那些被感染的exe文件)
安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)
启动项目 注册表 删除如下项目
包括但不限于
<st8wq><C:Documents and Settings用户名Local SettingsTempiexpl0re.exe> []
<iwssd497q><C:Documents and Settings用户名Local SettingsTempcrasos.exe> []
<j9mef8vhcj1dc><C:Documents and Settings用户名Local SettingsTemp1explore.exe> []
<jjj394srv69x><C:Documents and Settings用户名Local SettingsTempServera.exe> []
<uvu><C:Documents and Settings用户名Local SettingsTempwinlog0n.exe> []
<hygrl2><C:Documents and Settings用户名Local SettingsTemp
undl132.exe> []
(只要是在临时文件夹下的文件添加的启动都去掉)
<cmdbcs><C:WINDOWScmdbcs.exe> []
(以及我所说那个木马群中所有涉及到的启动项目)
“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”,
选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:
TCP/IP Check / Hello Download
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
然后删除C:Documents and Settings用户名Local SettingsTemp 下面所有文件(主要是扩展名为dll和exe的文件)
C:WINDOWScmdbcs.exe
C:WINDOWSsystem32cmdbcs.dll
C:Program FilesCommon FilesSystemwab32res.exe
C:Program FilesCommon FilesSystemdirectdb.exe
以及我所说那个木马群中所有涉及到的文件
2.修复hosts
还是使用sreng 系统修复 hosts文件 点击下面的重置 在弹出的窗口中点击是 然后点击保存
3.修复exe文件
安全模式下使用反病毒软件进行全盘扫描,清除被感染的exe