NOVOTS KMS 词汇表 Glossary    联系我们 Contact Us
查询 Search  
   
按类别浏览 Browse by Category
NOVOTS KMS .: 病毒安全 .: 对于U盘感染OSO.exe病毒的正确分析

对于U盘感染OSO.exe病毒的正确分析

病毒启动后
用explorer打开:
d:\
e:\
f:\
g:\
h:\
i:\
system32下:
随机名.exe
随机名.dll

severe.exe
hx1.bat
noruns.reg
drivers目录下:
conime.exe
随机名.exe

各盘符下:
OSO.exe
autorun.inf
运行:
system32下 随机.exe
severe.exe
drivers\conime.exe
创建线程:
sub_404958
生成hx1.bat
内容:
@echo off
set date=2004-1-22
ping ** localhost > nul
date %date%
del %0
bat的手段及习惯和ASN.2相似,可能同一作者

修改注册表:
1.software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall
下CheckedValue为0(old=1)

2.Software\Microsoft\Windows\CurrentVersion\Run
下启动项(随机)
3.Software\Microsoft\Windows\CurrentVersion\Run
下启动项(severe.exe)
4.SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
下启动项
Shell = Explorer.exe  %System32%\drivers\conime.exe
5.Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\*
下Debugger=随机名.exe
*为被屏蔽的软件
屏蔽次序如下:
MagicSet.exe
Rav.exe
avp.com
avp.exe
KRegEx.exe
KvDetect.exe
KvXP.kxp
TrojDie.kxp
KVMonXP.kxp
IceSword.exe
mmsk.exe
WoptiClean.exe
kabaload.exe
360Safe.exe
runiep.exe
iparmo.exe
adam.exe
RavMon.exe
QQDoctor.exe
SREng.exe
Ras.exe
msconfig.exe
regedit.exe
regedit.com
msconfig.com
PFW.exe
PFWLiveUpdate.exe
EGHOST.exe
NOD32.exe
该串屏蔽列表和ASN.2的比较相似
随机名生成字串: @#Z!$/kqj


每隔1800秒创建线程sub_40B950
将自己copy到drivers目录下conime.exe
执行drivers\conime.exe
每隔1500秒创建线程
将自己copy到system32目录下随机名.exe
执行随机名.exe
每隔1500秒释放autorun.inf到各盘下
copy/执行drivers下conime.exe
创建自己的互斥对象 Q X-1,QX-2,QX-3
分别是3个EXE相互识别的方法
其实3个运行中EXE是同一个文件,只是运行次序不同,使用多个不同的互斥对象进行协作


创建线程:
sub_4097C0:
1.运行noruns.reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:b5
2.删除kakatool.dll
  删除dqhx2.txt,dqhx3.txt
  结束进程:NTdhcp.exe, SVCHOXT.EXE

  修改hosts表,添加:
127.0.0.1       localhost
127.0.0.1       mmsk.cn
127.0.0.1       ikaka.com
127.0.0.1       safe.qq.com
127.0.0.1       360safe.com
127.0.0.1      
www.mmsk.cn
127.0.0.1       www.ikaka.com
127.0.0.1       tool.ikaka.com
127.0.0.1       tool.ikaka.com
127.0.0.1      
www.360safe.com
127.0.0.1       zs.kingsoft.com
127.0.0.1       forum.ikaka.com
127.0.0.1       up.rising.com.cn
127.0.0.1       scan.kingsoft.com
127.0.0.1       kvup.jiangmin.com
127.0.0.1       reg.rising.com.cn
127.0.0.1       update.rising.com.cn
127.0.0.1       update7.jiangmin.com
127.0.0.1       download.rising.com.cn
127.0.0.1       dnl-us1.kaspersky-labs.com
127.0.0.1       dnl-us2.kaspersky-labs.com
127.0.0.1       dnl-us3.kaspersky-labs.com
127.0.0.1       dnl-us4.kaspersky-labs.com
127.0.0.1       dnl-us5.kaspersky-labs.com
127.0.0.1       dnl-us6.kaspersky-labs.com
127.0.0.1       dnl-us7.kaspersky-labs.com
127.0.0.1       dnl-us8.kaspersky-labs.com
127.0.0.1       dnl-us9.kaspersky-labs.com
127.0.0.1       dnl-us10.kaspersky-labs.com
127.0.0.1       dnl-eu1.kaspersky-labs.com
127.0.0.1       dnl-eu1.kaspersky-labs.com
127.0.0.1       dnl-eu2.kaspersky-labs.com
127.0.0.1       dnl-eu3.kaspersky-labs.com
127.0.0.1       dnl-eu4.kaspersky-labs.com
127.0.0.1       dnl-eu5.kaspersky-labs.com
127.0.0.1       dnl-eu6.kaspersky-labs.com
127.0.0.1       dnl-eu7.kaspersky-labs.com
127.0.0.1       dnl-eu8.kaspersky-labs.com
127.0.0.1       dnl-eu9.kaspersky-labs.com
127.0.0.1       dnl-eu10.kaspersky-labs.com
创建线程: sub_40B0C8
1.从
http://www.cd321.net/30w.txt获取更新并下载执行
2.从
http://www.ctv163.com/admin/down.txt获取更新并下载执行
创建线程: sub_40AD14
1.创建互斥体:ExeMutex_QQRobber2.0,DllMutex_QQRobber2.0,阻止QQ大盗运行
2.查找所有窗口标题,找到包含:杀毒,专杀,病毒,木马,注册表的窗口

给它们投递WM_QUIT消息,使之退出

3.运行命令:
net stop srservice
sc config srservice start= disabled
net stop stop sharedaccess
net stop KVWSC
sc config KVWSC start= disabled
net stop KVSrvXP
sc config KVSrvXP start= disabled
net stop kavsvc
sc config kavsvc start= disabled
sc config RsRavMon start= disabled
net stop RsCCenter
sc config RsCCenter start= disabled
net stop RsRavMon
4.找到包含"瑞星提示"的窗口,并在该窗口上使用FindWindowsEx找到标题为"是(&Y)"的按钮,向其投递BM_CLICK消息,自动点击是按钮
5.查找并结束下列进程:
sc.exe
cmd.exe
net.exe
sc1.exe
net1.exe
PFW.exe
Kav.exe
KVOL.exe
KVFW.exe
adam.exe
qqav.exe
qqkav.exe
TBMon.exe
kav32.exe
kvwsc.exe
CCAPP.exe
KRegEx.exe
kavsvc.exe
VPTray.exe
RAVMON.exe
EGHOST.exe
KavPFW.exe
SHSTAT.exe
RavTask.exe
TrojDie.kxp
Iparmor.exe
MAILMON.exe
MCAGENT.exe
KAVPLUS.exe
RavMonD.exe
Rtvscan.exe
Nvsvc32.exe
KVMonXP.exe
Kvsrvxp.exe
CCenter.exe
KpopMon.exe
RfwMain.exe
RfwMain.exe
MCVSESCN.exe
MSKAGENT.exe
kvolself.exe
KVCenter.kxp
kavstart.exe
RAVTIMER.exe
RRfwMain.exe
FireTray.exe
UpdaterUI.exe
KVSrvXp_1.exe
RavService.exe
2.创建互斥体:AntiTrojan3721,ASSISTSHELLMUTEX,SKYNET_PERSONAL_FIREWALL,KingsoftAntivirusScanProgram7Mutex,阻止3721反间谍专家、天网、金山杀毒运行
3.进行镜象劫持、启动项、文件隐藏等的注册表修改,见前
创建线程: sub_40AC8C
该线程在sub_40AD14修改注册表后产生
先sleep 8秒
再使用FindWindowA找到标题为"瑞星注册表监控提示"的窗口,将其带到前台,然后操作鼠标点击关闭之
sleep 1秒
再重复查找/关闭动作,重复9次结束

另外,system32下会有随机(和exe同名).dll,该dll的作用盗取QQ密码
exe运行时会启动dll的HookOn
设置三个钩子

1.键盘钩子:sub_406D68
2.鼠标钩子:sub_407030
3.窗口消息钩子:sub_4083E0
截取QQ密码并发送出去

经过与病毒的几次较量,总算通过几个安全工具搞定了,但是系统仍然会是没有完全的处理好,建议:将数据以上的工作完全的做好后,将需要的数据备份,重新安装系统,系统安装完成后不要点击任何盘符的情况下,急时的打上相关的补丁。通过右击盘符->打开,的方式来打开盘符。盘符打开后点工具->文件夹选项->查看->显示所有文档、显示系统文件夹、显示扩展名的几个项目全部打开。如果你的盘符内存在OSO.EXE;autorun.inf;美女游戏.pif;重要资料.exe ,<--这四个文件的时候请使用我提供的小工具来粉碎它们吧


这篇文章对你多有用?

相关文章

article 鬼影病毒的正确处理方法
先了解什么是MBR!磁盘主引导记录(MBR)简介: ...

  12-15-2010    Views: 1410   
article 更改域控制器IP地址的正确方法

(No rating)  1-21-2013    Views: 836   
article Excel中MATCH函数的正确使用
Excel中MATCH函数是一个很强大的辅助函数,MATCH函...

(No rating)  3-18-2014    Views: 589   

用户评语

添加评语
当前还没有评语.


.: .: .: .: .:
[ 登陆 ]
北京护航科技有限公司 2006

Novots Technologies Limited