File:IO.pif
Size:19456bytes
MD5:90C509FA6A6C2FA798DBE1CFD7F0E4F1
SHA1:DBF721F48369CFBB2B88D0F5D707924A7FE185EC
CRC32:9822E714
生成如下文件:
%ProgramFiles%CommonFilesServicessvchost.exe
%system32%DirectX10.dll
在每个分区下面生成一个autorun.inf和IO.pif
达到通过U盘等移动存储传播的目的
调用Cmd利用netstop命令停止以下服务
mcshield
NortonAntivirusAutoProtectService
WindowsFirewall/InternetConnectionSharing(ICS)
SystemRestoreService
结束如下进程
regedit.exe
taskgmr.exe
360tray.exe
360safe.exe
噬菌体
木马克星
WoptiClean.exe
EGHOST.exe
Iparmor.exe
MAILMON.EXE
KAVPFW.exe
RogueCleaner.exe
顺序查找以下注册表键值
?.S-1-5-21-1801674531-1645522239-725345543-1003SoftwareJetCarJetCarGeneral的AppPath键值
SOFTWAREThunderNetworkThunderOemthunder_backwnd里面的Path键值
?.SoftwareMicrosoftWindowsCurrentVersionAppPathsMSMSGS.EXE
?.SoftwareMicrosoftWindowsCurrentVersionAppPathsIEXPLORE.EXE
?.SoftwareTENCENTPLATFORM_TYPE_LIST1的TypePath键值
以分别获得网际快车,迅雷,MSN,IE,QQ的安装路径
如果查找到了那么即启动相应的文件
(查找方式为顺序查找,如果查找到安装了网际快车,则启动网际快车,不再往下查找)
启动相应的文件以后把自身注入到该进程空间之中,连接网络,下载木马。
http://*.cn/hz/1.exe~http://*.cn/hz/20.exe
到%ProgramFiles%InternetExplorerPLUGINS下面
命名为随机8位字母和数字组合。
木马植入完毕以后主要生成如下文件(包括但不限于)
%ProgramFiles%InternetExplorerPLUGINSSysWin64.Jmp
%ProgramFiles%InternetExplorerPLUGINSWinSys64.Sys
%ProgramFiles%NetMeetingavpms.dat
%ProgramFiles%NetMeetingavpms.exe
%ProgramFiles%NetMeetingrav*mon.dat(*为随机两位字母)
%ProgramFiles%NetMeetingrav*mon.exe(*为随机两位字母)
%systemroot%ifc222.dll
%systemroot%qiji.dll
%systemroot%rx.dll
%systemroot%sourro.exe
%systemroot%winlogor.exe
%systemroot%Winnt.exe
%SystemRoot%intent.exe
以及以下这些随机7位字母组合文件名的一些盗号木马
%system32%avwlain.dll
%system32%avwlamn.dll
%system32%avwlast.exe
%system32%avzxain.dll
%system32%avzxamn.dll
%system32%avzxast.exe
%system32%kaqhacs.dll
%system32%kaqhcaz.exe
%system32%kaqhczy.dll
%system32%kvdxacf.dll
%system32%kvdxbis.exe
%system32%kvdxbma.dll
%system32%kvmxacf.dll
%system32%kvmxcis.exe
%system32%kvmxcma.dll
%system32%rsjzafg.dll
%system32%rsjzapm.dll
%system32%rsjzasp.exe
%system32%rsmyafg.dll
%system32%rsmyapm.dll
%system32%rsmyasp.exe
其中的盗号木马会盗取如下网络游戏帐号和密码(包括但不限于)
大话西游II
魔域
完美世界
机战
华夏
魔兽世界
问道
征途
热血江湖
奇迹世界
下载的木马有禁止自动更新和微软的防火墙的作用
并且会把时间修改成2099年1月1日
sreng日志反映如下(本文转载时略,详细见下文)
清除办法:
一、清除病毒主程序:
首先把系统时间改正确
下载Sreng,下载地址:down.45it.com
重启计算机进入安全模式(重启系统长按F8直到出现提示,然后选择进入安全模式)
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹"并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示
确定更改时,单击“是”然后确定
右键点击C盘(系统盘)点击右键菜单中的“打开”打开磁盘
删除
C:Io.pif
C:autorun.inf
%ProgramFiles%CommonFilesServicessvchost.exe
%system32%DirectX10.dll
同样右键点击其他盘点击右键菜单中的“打开”打开磁盘
删除Io.pif和autorun.inf
二、清除下载的木马
1.还是在安全模式下
打开sreng
启动项目注册表删除如下项目
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun]
<w><%SystemRoot%WinRaR.exe>[N/A]
<wm><%SystemRoot%winlogor.exe>[]
<wl><%SystemRoot%intent.exe>[N/A]
<mm><%SystemRoot%sourro.exe>[]
<zx><%SystemRoot%winadr.exe>[N/A]
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
<ravztmon><C:ProgramFilesNetMeetingravztmon.exe>[]
<avpms><C:ProgramFilesNetMeetingavpms.exe>[]
<ravwdmon><C:ProgramFilesNetMeetingravwdmon.exe>[]
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹"并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示
确定更改时,单击“是”然后确定
删除如下文件%ProgramFiles%InternetExplorerPLUGINSSysWin64.Jmp
%ProgramFiles%InternetExplorerPLUGINSWinSys64.Sys
%ProgramFiles%NetMeetingavpms.dat
%ProgramFiles%NetMeetingavpms.exe
%ProgramFiles%NetMeetingrav*mon.dat(*为随机两位字母)
%ProgramFiles%NetMeetingrav*mon.exe(*为随机两位字母)
%systemroot%ifc222.dll
%systemroot%qiji.dll
%systemroot%rx.dll
%systemroot%sourro.exe
%systemroot%winlogor.exe
%systemroot%Winnt.exe
%SystemRoot%intent.exe
2.清除随机7位的dll盗号木马
(其实这些就是*pri.dll的变种,仍可以采用重命名方法清除)
仍然是在安全模式下
打开sreng启动项目注册表
查看[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks]下面的随机7位字母的dll文件,记住他们的名字
然后
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹"并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是”然后确定
打开C:windowssystem32文件夹单击上面的搜索按钮
更多高级选项中要钩选搜索隐藏的文件和文件夹
分别搜索你记下来的那些随机7位的dll
右键分别把这些文件重命名命名的名字自己要记住最好有规律
重启计算机后
打开sreng
启动项目注册表删除如下项目(即你刚才在启动项目中看见的所有随机7位字母dll的项目)
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks]
<{1E32FA58-3453-FA2D-BC49-F340348ACCE1}><C:WINDOWSsystem32rsmyapm.dll>[]
<{2C87A354-ABC3-DEDE-FF33-3213FD7447C2}><C:WINDOWSsystem32kvdxbma.dll>[]
<{3D47B341-43DF-4563-753F-345FFA3157D3}><C:WINDOWSsystem32kvmxcma.dll>[]
<{1960356A-458E-DE24-BD50-268F589A56A1}><C:WINDOWSsystem32avwlamn.dll>[]
<{12FAACDE-34DA-CCD4-AB4D-DA34485A3421}><C:WINDOWSsystem32rsjzapm.dll>[]
<{1859245F-345D-BC13-AC4F-145D47DA34F1}><C:WINDOWSsystem32avzxamn.dll>[]
<{37D81718-1314-5200-2597-587901018073}><C:WINDOWSsystem32kaqhczy.dll>[]
双击AppInit_DLLs把器键值改为空
并删除刚才重命名的那些dll文件
注:%System32%是一个可变路径。
Windows2000/NT中默认的安装路径是C:WinntSystem32,windows95/98/me中默认的安装路径是C:WindowsSystem,windowsXP中默认的安装路径是C:WindowsSystem32。
%SystemRoot%/WINDODWS所在目录
%ProgramFiles%系统程序默认安装目录