基本介紹
- 外文名:worm.dlonlinegames.g
- 性質:ANI惡性蠕蟲病毒
- 用途:盜竊網路遊戲資料、帳號密碼
- 症狀:感染exe程式
病毒行徑,清除步驟,
病毒行徑
1.感染exe
2.修改hosts
3.下載木馬群
樣本運行後釋放
C:\Program Files\Common Files\System\wab32res.exe
C:\Program Files\Common Files\System\directdb.exe
創建服務
Hello Download
涉及到該服務的相關註冊表項目如下
HKLM\SYSTEM\CurrentControlSet\Services\Hello Download\Type: 0x00000010
HKLM\SYSTEM\CurrentControlSet\Services\Hello Download\Start: 0x00000002
HKLM\SYSTEM\CurrentControlSet\Services\Hello Download\ErrorControl: 0x00000001
HKLM\SYSTEM\CurrentControlSet\Services\Hello Download\ImagePath: "C:\Program Files\Common Files\System\wab32res.exe"
HKLM\SYSTEM\CurrentControlSet\Services\Hello Download\DisplayName: "TCP/IP Check"
HKLM\SYSTEM\CurrentControlSet\Services\Hello Download\ObjectName: "LocalSystem"
調用ie 和 notepad進程
ie 進程負責連線到59.34.197.169:80 下載木馬群
notepad.exe負責感染檔案,感染除系統分區外其它分區的exe檔案。並負責啟動那些被下載的木馬
下載到的木馬分別為C:\Program Files\Common Files\System\TempA.exe~C:\Program Files\Common Files\System\TempH.exe
TempA.exe釋放檔案iexpl0re.exe和LgSy0.dll到臨時資料夾
在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
添加註冊表項目<st8wq><C:\Documents and Settings\用戶名\Local Settings\Temp\iexpl0re.exe>
TempB.exe釋放檔案crasos.exe和Msxo0.dll到臨時資料夾
在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
添加註冊表項目<iwssd497q><C:\Documents and Settings\用戶名\Local Settings\Temp\crasos.exe>
TempC.exe釋放檔案1explore.exe到臨時資料夾
在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
添加註冊表項目<j9mef8vhcj1dc><C:\Documents and Settings\用戶名\Local Settings\Temp\1explore.exe>
TempD.exe釋放檔案Servera.exe和Kavs0.dll到臨時資料夾
在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
添加註冊表項目<jjj394srv69x><C:\Documents and Settings\用戶名\Local Settings\Temp\Servera.exe>
TempF.exe釋放檔案winlog0n.exe和LgSy1.dll到臨時資料夾
在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
添加註冊表項目<uvu><C:\Documents and Settings\用戶名\Local Settings\Temp\winlog0n.exe>
TempG.exe釋放檔案C:\WINDOWS\cmdbcs.exe和C:\WINDOWS\system32\cmdbcs.dll
在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
添加註冊表項目<cmdbcs><C:\WINDOWS\cmdbcs.exe>
TempH.exe釋放檔案rundl132.exe和Rav20.dll到臨時資料夾
在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
添加註冊表項目<hygrl2><C:\Documents and Settings\用戶名\Local Settings\Temp\rundl132.exe>
修改hosts檔案
以上現象在sreng日誌中 顯示如下
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<st8wq><C:\Documents and Settings\用戶名\Local Settings\Temp\iexpl0re.exe> []
<iwssd497q><C:\Documents and Settings\用戶名\Local Settings\Temp\crasos.exe> []
<j9mef8vhcj1dc><C:\Documents and Settings\用戶名\Local Settings\Temp\1explore.exe> []
<jjj394srv69x><C:\Documents and Settings\用戶名\Local Settings\Temp\Servera.exe> []
<uvu><C:\Documents and Settings\用戶名\Local Settings\Temp\winlog0n.exe> []
<hygrl2><C:\Documents and Settings\用戶名\Local Settings\Temp\rundl132.exe> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<cmdbcs><C:\WINDOWS\cmdbcs.exe> []
服務
[TCP/IP Check / Hello Download][Stopped/Auto Start]
<C:\Program Files\Common Files\System\wab32res.exe><N/A>
進程中
[PID: 1396][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\cmdbcs.dll] [N/A, ]
[C:\Documents and Settings\用戶名\Local Settings\Temp\LgSy0.dll] [N/A, ]
[C:\Documents and Settings\用戶名\Local Settings\Temp\Rav20.dll] [N/A, ]
[C:\Documents and Settings\用戶名\Local Settings\Temp\Kavs0.dll] [N/A, ]
[C:\Documents and Settings\用戶名\Local Settings\Temp\Msxo0.dll] [N/A, ]
清除步驟
1.清除木馬群(此時不要打開其他磁碟分區點那些被感染的exe檔案)
安全模式下(開機後不斷 按F8鍵 然後出來一個高級選單 選擇第一項 安全模式 進入系統)
啟動項目 註冊表 刪除如下項目
包括但不限於
<st8wq><C:\Documents and Settings\用戶名\Local Settings\Temp\iexpl0re.exe> []
<iwssd497q><C:\Documents and Settings\用戶名\Local Settings\Temp\crasos.exe> []
<j9mef8vhcj1dc><C:\Documents and Settings\用戶名\Local Settings\Temp\1explore.exe> []
<jjj394srv69x><C:\Documents and Settings\用戶名\Local Settings\Temp\Servera.exe> []
<uvu><C:\Documents and Settings\用戶名\Local Settings\Temp\winlog0n.exe> []
<hygrl2><C:\Documents and Settings\用戶名\Local Settings\Temp\rundl132.exe> []
(只要是在臨時資料夾下的檔案添加的啟動都去掉)
<cmdbcs><C:\WINDOWS\cmdbcs.exe> []
(以及我所說那個木馬群中所有涉及到的啟動項目)
“啟動項目”-“服務”-“Win32服務應用程式”中點“隱藏經認證的微軟項目”,
選中以下項目,點“刪除服務”,再點“設定”,在彈出的框中點“否”
TCP/IP Check / Hello Download
然後刪除C:\Documents and Settings\用戶名\Local Settings\Temp 下面所有檔案(主要是擴展名為dll和exe的檔案)
C:\WINDOWS\cmdbcs.exe
C:\WINDOWS\system32\cmdbcs.dll
C:\Program Files\Common Files\System\wab32res.exe
C:\Program Files\Common Files\System\directdb.exe
以及我所說那個木馬群中所有涉及到的檔案
2.修復hosts
還是使用sreng 系統修復 hosts檔案 點擊下面的重置 在彈出的視窗中點擊是 然後點擊保存
3.修復exe檔案
安全模式下使用反病毒軟體進行全盤掃描,清除被感染的exe