此病毒利用了替换服务等方式启动自身,利用SoundMan.exe这样比较熟悉的程序迷惑人。并具有结束杀毒软件和下载病毒的功能。
病毒释放如下文件
%SystemRoot%system32ineters.exe
%SystemRoot%system32SoundMan.exe(伪SoundMan.exe,且图标与真实的SoundMan.exe相同)
%SystemRoot%system32tthh3.ini
所有文件的数字签名均为番茄花园
如果有新的可移动存储接入则写入auto.exe和autorun.inf文件
调用cmd通过netstop命令关闭多个服务
sharedaccess
KPfwSvc
KWatchsvc
McShield
NotronAntiVirusServer
结束如下进程
shstat.exe
runiep.exe
ras.exe
MPG4C32.exe
imsins.exe
Iparmor.exe
360safe.exe
360tray.exe
kmailmon.exe
kavstart.exe
avp.exe
ccenter.exe
修改
HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolder
HiddenSHOWALLCheckedValue值为0x00000006屏蔽显示隐藏文件
删除如下文件(为了删除旧版本的病毒文件)
%SystemRoot%system32updeta.exe
%SystemRoot%system32ineters.exe
%SystemRoot%system32SoundMan.exe
%SystemRoot%system32ttzhh.ini
%SystemRoot%system32hz3.ini
%SystemRoot%system32hz2.ini
%SystemRoot%system321035.ini
%SystemRoot%system32tthh.ini
%SystemRoot%system32tthh1.ini
%SystemRoot%system32tthh2.ini
%SystemRoot%system32alcwzrd.exe
%SystemRoot%system32notepd.exe
激活电脑中的guest账户
并且添加一个名为microsoft的账户
将如下信息写入%SystemRoot%1.inf中
[Version]
Signature="$WINDOWSNT$"
[DefaultInstall.Services]
AddService=helpsvc,,My_AddService_Name
[My_AddService_Name]
DisplayName=HelpandSupport
Description=启用在此计算机上运行帮助和支持中心。如果停止服务,帮助和支
持中心将不可用。如果禁用服务,任何直接依赖于此服务的服务将无法启动。
ServiceType=0x10
StartType=2
ServiceBinary=%11%ineters.exe
ErrorControl=0
并且安装该服务
使得原先的helpsvc(帮助中心)服务的映像文件被替换为病毒%SystemRoot%system32ineters.exe
删除如下安全软件的启动项目
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun360Safetray
HKEY_LOCALMACHINESOFTWAREMicrosoftWindowsCurrentVersionRunKavStart
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRunKavPFW
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunvptray
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunkav
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunruneip
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunRavTask
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunRfwMain
在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionImageFileExecutionOptions下面添加映像劫持项目
RavStub.exe
RavMON.exe
RfwMain.exe
rfwsrv.exe
McAgent.exe
mctskshd.exe
mcupdmgr.exe
rtvscan.exe
DefWatch.exe
ccSetMgr.exe
ccEvtMgr.exe
ccSetApp.exe
nod32kui.exe
nod32krn.exe
KWatch.exe
KPfwSvc.exe
KMaiMon.exe
KAVStart.exe
KVWSC.exe
kvsrvxp.exe
PFW.exe
连接网络下载其他病毒
下载地址如下
http://www.*.cn/tthh3/gx.jpg
http://www.*.cn/tthh3/qq.jpg
http://www.*.cn/tthh3/omin.jpg
http://www.*.cn/tthh3/crt.jpg
http://www.*.cn/tthh3/f1.jpg
http://www.*.cn/tthh3/f2.jpg
http://www.*.cn/tthh3/f3.jpg
(实质上均为exe文件,但部分链接已失效)
连接http://www.webye163.cn/ip/ip.asp获得被感染机器的ip地址
并且通过route.exeprint命令获得默认网关地址
将其一并写入c:ip.txt中
之后可能利用这些信息进行arp欺骗等操作...
下载的几个病毒里面有蠕虫病毒,该蠕虫病毒可以扫描附近网段内的135端口..(
具体该病毒的行为没怎么看)
下载完毕后扫描的sreng日志如下
启动项目
注册表
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
[1]
==================================
服务
[HelpandSupport/helpsvc][Stopped/AutoStart]
%WINDIR%
PCHealthHelpCtrBinariespchsvc.dll>
增加的文件可能有
%SystemRoot%system32Alcmtr.exe
%SystemRoot%system32alcwzrd.exe
%SystemRoot%system32qoq.exe
解决方法:
一、清除病毒文件和其创建的注册表项目
1.打开sreng
启动项目注册表删除如下项目
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
[1]
2.打开Icesword
点击左下角的文件按钮
删除如下文件
%SystemRoot%system32ineters.exe
%SystemRoot%system32SoundMan.exe
%SystemRoot%system32tthh3.ini
%SystemRoot%system32Alcmtr.exe
%SystemRoot%system32alcwzrd.exe
%SystemRoot%system32qoq.exe
二、修复系统
1.请把下面的代码拷入记事本中然后另存为1.reg文件
WindowsRegistryEditorVersion5.00
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorer
AdvancedFolderHiddenSHOWALL]
"RegPath"="SoftwareMicrosoftWindowsCurrentVersionExplorerAdva
nced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
双击1.reg把这个注册表项导入
2.开始-运行输入regedit
展开HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceshelpsvc
双击Imagepath编辑数值数据为
%systemroot%system32svchost.exe-knetsvcs
确定
注意:SoundMan.exe只有在%SystemRoot%(亦即Windows/WinNT目录下)才为正常的程序,如果在system32文件夹下,那么多半为病毒,请大家注意甄别。真SoundMan.exe:
伪SoundMan.exe: