作者xiaoyao (改变)
看板AntiVirus
标题Re: [中毒] CNN 的邮件 藏木马病毒
时间Mon Aug 11 15:09:20 2008
※ 引述《junorn (威廉华勒斯)》之铭言:
: 终於搞定了0rz
: 这rootkit有够难缠的...
: 大概说明一下
: 那个假CNN 会产生一些档案,但主要的档案是
: WINDOWS\system32\CbEvtSvc.exe
: windows\System32\drivers\33acc6a7.sys
: 然後一个挂载服务 CbEvtSvc
: 一个挂载驱动 33acc6a7
: 难缠的在驱动 33acc6a7 这个上面
: 由於他存取了SSDT,所以部分有主动防御型的防毒会挂点
: 并且利用一些技术将 33acc6a7 这个 挂载的驱动隐藏起来,一般登录编辑器可以看到
: 整段机码,但完全看不到里面的值。
: 然而使用icesword 可以删除,只不过马上再生而已
: 同样该档案用icesword删除後马上再生。
: 使用catchme破坏该档案後马上修复自身0rz
: 基本上光靠Icesword删除已经不够力,必须要靠其他方式处理
: 这边是使用Rename operations pending 的方式成功将档案删除掉 (要两个档一起)
: 删掉之後使用icesword将被存取的SSDT还原
: 并将挂载的驱动登录值删除之後才解除状况0rz
: 一般要碰到的话可能直接重灌会比较快。
: 远端处理...我说实在的,我自己实际处理都弄很久了何况是远端0rz
: ------------------------------------------------------
: 不然就用WinPE那一类的开机光碟删吧,他还没有隐藏档案自身所以还是删的掉
刚刚查了一下登录编辑器
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer
Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRU
名称: 000
类型: REG_SZ
资料: 33acc6a7.sys
名称: 001
类型: REG_SZ
资料: CbEvtSvc
写入登录值
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Value=lphcl76j0eg03
Data= C:\WINDOWS\system32\lphcl76j0eg03.exe
进程
C:\WINDOWS\System32\CbEvtSvc.exe
C:\WINDOWS\system32\lphcl76j0eg03.exe
服务
NAME: CbEvtSvc
DISPLAY: CbEvtSvc
FILE: C:\WINDOWS\System32\CbEvtSvc.exe -k netsvcs
写入档案
C:\Documents and Settings\Administrator\Local Settings\Temp\.tt1.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\.tt1.tmp.vbs
C:\Documents and Settings\Administrator\Local Settings\Temp\.tt7.tmp
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet
Files\Content.IE5\C13NVBMZ\get_flash_update[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet
Files\Content.IE5\C13NVBMZ\index2[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet
Files\Content.IE5\C13NVBMZ\master[1].js
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet
Files\Content.IE5\Q08VKCK4\1[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet
Files\Content.IE5\SEUIMLSE\dnd[1].js
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet
Files\Content.IE5\SEUIMLSE\metai[1].htm
C:\Documents and Settings\Administrator\wXtwRzv.exe
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet
Files\Content.IE5\BJW6A44R\04scan[1].exe
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet
Files\Content.IE5\MMFL79XH\install[1].exe
C:\WINDOWS\system32\blphcl76j0eg03.scr
C:\WINDOWS\system32\CbEvtSvc.exe
C:\WINDOWS\system32\drivers\4e0f5644.sys (Rootkit behaviors)
C:\WINDOWS\system32\lphcl76j0eg03.exe
C:\WINDOWS\system32\phcl76j0eg03.bmp
C:\WINDOWS\Temp\.ttC9.tmp
C:\WINDOWS\Temp\.ttC9.tmp.vbs
C:\WINDOWS\Temp\.ttD0.tmp
C:\WINDOWS\Temp\37D8BF6785C63DB6.tmp
C:\WINDOWS\Temp\4AECE6A407384DE3.tmp
C:\WINDOWS\Temp\92618DBC42FD0246.tmp
C:\WINDOWS\Temp\ACBF1B06A8F8098A.tmp
※ 编辑: xiaoyao 来自: 140.130.189.41 (08/11 15:22)