[分享]病毒分析案例
案例<1>朋友查资料,进了个333292.com的网,然后KV提示有病毒并查杀至隔离,接着连任务管理器也打不开,说被系统管理员停用,首页也并改成333292,开QQ提示QQ医生可能已被木马屏蔽要手工收复,我D盘的凡属于shockwave flash object文件全部丢失,C盘好像也少了许多,而原来我的WINDOWS提示下载更新的黄色三角形也不见了,而右击我得电脑的自动更新也被停用。我是菜鸟啊,这是怎么回事,该怎么办呢??请教各位大虾了
问题补充:D盘的凡属于shockwave flash object文件现在又有了,就只丢了我胡乱写的一篇小说,我有没备份,几万字,该不是黑客巴?另外我用KV的进程查看器发现有一个Idle占CPU的90%,可又找不到路径。KV显示病毒是autorun.inf和trojan.
解答:该病毒属蠕虫类。病毒运行后,复制自身到各驱动器根目录下并衍生配置文件,实现双击盘幅运行病毒。在%ProgramFiles%目录和部分附属
目录下复制自身并衍生病毒文件;修改注册表,添加启动项,对大量反病 毒工具和软件映像劫持,隐藏受保护的系统文件,并删除文件夹选项中的 是否隐藏受保护文件的修改项;禁用系统防火墙服务、自动更新服务、入 侵保护服务、帮助服务;删除注册表中安全模式启动需要加载的驱动文件,
使用户无法进入安全模式;开启自动播放功能,感染连接到中毒机器的移 动磁盘,该病毒主要通过移动磁盘进行传播。
行为分析:
本地行为:
1、文件运行后会释放以下文件:
%HomeDrive%\autorun.inf
%HomeDrive%\ncltkyp.exe
%DriveLetter%\autorun.inf
%DriveLetter%\ncltkyp.exe
%ProgramFiles%\Common Files\Microsoft Shared\huatatq.exe
%ProgramFiles%\Common Files\Microsoft Shared\kljimyq.inf
%ProgramFiles%\Common Files\System\kljimyq.inf
%ProgramFiles%\Common Files\System\qjineui.exe
%ProgramFiles%\meex.exe
2、新增注册表:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run]
注册表值: "kljimyq"
类型: REG_SZ
值:"C:\Program Files\Common Files
\System\qjineui.exe"
描述: 启动项,使病毒文件在当该系统的所有用户登陆
该系统时,运行病毒文件。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run]
注册表值: "ncltkyp"
类型: REG_SZ
值: "C:\Program Files\Common Files
\Microsoft Shared\huatatq.exe"
描述: 启动项,使病毒文件在当该系统的所有用户登陆
该系统时,运行病毒文件。
3、新建注册表,添加映像劫持项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\WindowsNT\CurrentVersion\Image File
Execution Options\被映像劫持的文件名称
注册表值: "Debugger"
类型: REG_SZ
值:"C:\Program Files\Common Files\
Microsoft Shared\huatatq.exe"
描述: 映像劫持项,当系统执行被映像劫持的文件名称时,
将不执行该文件,而是执行映像文件。
被映像劫持的文件名称列表如下:
360rpt.exe、360Safe.exe、360tray.exe、adam.exe、
AgentSvr.exe、AppSvc32.exe、ArSwp.exe、AST.exe、
autoruns.exe、AvastU3.exe、avconsol.exe、avgrssvc.exe、
AvMonitor.exe、avp.com、avp.exe、CCenter.exe、
ccSvcHst.exe、EGHOST.exe、FileDsty.exe、FTCleanerShell.exe、
FYFireWall.exe、ghost.exe、HijackThis.exe、IceSword.exe、
iparmo.exe、Iparmor.exe、irsetup.exe、isPwdSvc.exe、
kabaload.exe、KaScrScn.SCR、KASMain.exe、KASTask.exe、
KAV32.exe、KAVDX.exe、KAVPF.exe、KAVPFW.exe、KAVSetup.exe、
KAVStart.exe、KISLnchr.exe、KMailMon.exe、KMFilter.exe、
KPFW32.exe、KPFW32X.exe、KPfwSvc.exe、KRegEx.exe、
KRepair.com、KsLoader.exe、KVCenter.kxp、KvDetect.exe、
KvfwMcl.exe、KVMonXP.kxp、KVMonXP_1.kxp、kvol.exe、
kvolself.exe、KvReport.kxp、KVScan.kxp、KVSrvXP.exe、
KVStub.kxp、kvupload.exe、kvwsc.exe、KvXP.kxp、KvXP_1.kxp、
KWatch.exe、KWatch9x.exe、KWatchX.exe、loaddll.exe、
MagicSet.exe、mcconsol.exe、mmqczj.exe、mmsk.exe、
Navapsvc.exe、Navapw32.exe、nod32.exe、nod32krn.exe、
nod32kui.exe、NPFMntor.exe、PFW.exe、PFWLiveUpdate.exe、
QHSET.exe、QQDoctor.exe、QQKav.exe、QQSC.exe、Ras.exe、
Rav.exe、RavMon.exe、RavMonD.exe、RavStub.exe、RavTask.exe、
RegClean.exe、rfwcfg.exe、rfwmain.exe、rfwsrv.exe、
RsAgent.exe、Rsaupd.exe、rstrui.exe、runiep.exe、
safelive.exe、scan32.exe、shcfg32.exe、SmartUp.exe、
SREng.EXE、symlcsvc.exe、SysSafe.exe、TrojanDetector.exe、
Trojanwall.exe、TrojDie.kxp、UIHost.exe、UmxAgent.exe、
UmxAttachment.exe、UmxCfg.exe、UmxFwHlp.exe、UmxPol.exe、
upiea.exe、UpLive.exe、USBCleaner.exe、vsstat.exe、
webscanx.exe、WoptiClean.exe、zjb.exe。
4、修改注册表,隐藏受保护的系统文件,禁用服务,开启自动播放
[HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Explorer\Advanced]
新建键值:DWORD:"ShowSuperHidden"="0"
原键值:DWORD:"ShowSuperHidden"="1"
描述:隐藏受保护的系统文件
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
新建键值:字串:"Type"="checkbox2"
原键值:字串:"Type"="checkbox"
描述:删除文件夹选项中的是否隐藏受保护文件的修改项
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\helpsvc]
新建键值:DWORD:"Start"="4"
原键值:DWORD:"Start"="2"
描述:禁用系统帮助服务,修改启动方式“自动”为“禁用”
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
\Services\SharedAccess]
新建键值:DWORD:"Start"="4"
原键值:DWORD:"Start"="2"
描述:禁用入侵保护服务,修改启动方式“自动”为“禁用”
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
\Services\wscsvc]
新建键值:DWORD:"Start"="4"
原键值:DWORD:"Start"="2"
描述:禁用系统防火墙服务,修改启动方式“自动”为“禁用”
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
\Services\wuauserv]
新建键值:DWORD:"Start"="4"
原键值:DWORD:"Start"="2"
描述:禁用系统自动更新服务,修改启动方式“自动”为“禁用”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\policies\Explorer]
新建键值:DWORD:"NoDriveTypeAutoRun"="145"
原键值:DWORD:" NoDriveTypeAutoRun"="0"
描述:开启自动播放功能。
5、删除注册表,无法进入安全模式
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control
\SafeBoot\Minimal\{ 4D36E967-E325-11CE-BFC1-08002BE10318 }]
注册表值: "@"
类型: REG_SZ
字符串:"DiskDrive"
描述:删除注册表中进入安全模式需要加载驱动文件的相关信息,
使用户无法进入安全模式。
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control
\SafeBoot\Network\{ 4D36E967-E325-11CE-BFC1-08002BE10318 }]
注册表值: "@"
类型: REG_SZ
字符串:"DiskDrive"
描述:删除注册表中进入安全模式需要加载驱动文件的相关信息,
使用户无法进入安全模式。
注: %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的
位置。
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% \Documents and Settings
\当前用户\Local Settings\Temp
%System32% 系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\Winnt\System32
windows95/98/me中默认的安装路径是C:\Windows\System
windowsXP中默认的安装路径是C:\Windows\System32
---------------------------------------------------------------清除方案:
1 、使用安天木马防线可彻底清除此病毒(推荐)。
下载地址:http://www.net-hacker.com/download/index.htm
2 、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)使用安天木马防线“进程管理”关闭病毒进程
(2)恢复注册表,显示隐藏的系统文件
[HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Explorer\Advanced]
新建键值:DWORD:"ShowSuperHidden"="0"
原键值:DWORD:"ShowSuperHidden"="1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
新建键值:字串:"Type"="checkbox2"
原键值:字串:"Type"="checkbox"
(3)删除病毒文件:
%HomeDrive%\autorun.inf
%HomeDrive%\ncltkyp.exe %DriveLetter%\autorun.inf
%DriveLetter%\ncltkyp.exe
%ProgramFiles%\CommonFiles
\MicrosoftShared\huatatq.exe
%ProgramFiles%\Common Files
\Microsoft Shared\kljimyq.inf
%ProgramFiles%\Common Files
\System\kljimyq.inf
%ProgramFiles%\Common Files
\System\qjineui.exe
%ProgramFiles%\meex.exe
(4)删除病毒添加的注册表项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run]
注册表值: "kljimyq"
类型: REG_SZ
值:"C:\Program Files\Common Files
\System\qjineui.exe"
描述: 启动项,使病毒文件在当该系统的所有
用户登陆该系统时,运行病毒文件。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run]
注册表值: "ncltkyp"
类型: REG_SZ
值: "C:\Program Files\Common Files
\Microsoft Shared\huatatq.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows NT\CurrentVersion\
Image File Execution Options\被映像劫持的文件名称
注册表值: "Debugger"
类型: REG_SZ
值:"C:\Program Files\Common Files
\Microsoft Shared\huatatq.exe"
(5)恢复病毒修改的注册表项目:
[HKEY_LOCAL_MACHINE\SYSTEM
\ControlSet001\Services\helpsvc]
新建键值:DWORD:"Start"="4"
原键值:DWORD:"Start"="2"
[HKEY_LOCAL_MACHINE\SYSTEM
\ControlSet001\Services\SharedAccess]
新建键值:DWORD:"Start"="4"
原键值:DWORD:"Start"="2"
[HKEY_LOCAL_MACHINE\SYSTEM
\ControlSet001\Services\wscsvc]
新建键值:DWORD:"Start"="4"
原键值:DWORD:"Start"="2"
[HKEY_LOCAL_MACHINE\SYSTEM
\ControlSet001\Services\wuauserv]
新建键值:DWORD:"Start"="4"
原键值:DWORD:"Start"="2"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\policies\Explorer]
新建键值:DWORD:"NoDriveTypeAutoRun"="145"
原键值:DWORD:" NoDriveTypeAutoRun"="0"
(6)恢复病毒删除的注册表项目:
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
\Control\SafeBoot\Minimal
\{ 4D36E967-E325-11CE-BFC1-08002BE10318 }]
注册表值: "@"
类型: REG_SZ
字符串:"DiskDrive"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
\Control\SafeBoot\Network
\{ 4D36E967-E325-11CE-BFC1-08002BE10318 }]
注册表值: "@"
类型: REG_SZ
字符串:"DiskDrive"
参考资料:http://www.net-hacker.com/download/index.htm
[refer=1,liulanggougou]案例<1>朋友查资料,进了个333292.com的网,然后KV提示有病毒并查杀至隔离,接着连任务管理器也打不开,说...[/refer]
[nquote=2007-12-17 08:45,liulanggougou]案例<1>朋友查资料,进了个333292.com的网,然后KV提示有病毒并查杀至隔离,接着连任务管理器也打不开,说...[/nquote]
|
