病毒生成如下文件:
Code:
C:WINDOWSsystem321.inf
C:WINDOWSsystem32chostbl.exe
C:WINDOWSsystem32lovesbl.dll
在每个分区下面创建autorun.inf和sbl.exe,并不断检测chostbl.exe的属性是否为隐藏
注册服务AnHao_VIP_CAHW指向C:WINDOWSsystem32chostbl.exe,达到开机启动的目的.
启动类型:自动
显示名称:AGooDDownLoadCAHW
调用TerminateProcess函数关闭如下进程
Code:
360safe.exe
360tray.exe
runiep.exe
avp.exe
调用GetWindowsTextA函数获得当前窗口标题,并调用PostMessageA函数试图发送WM_CLOSE,WM_DESTROY,WM_QUIT指令关闭带有如下字样的窗口
Quote:
卡卡
江民
金山
任务管理器
木马清道夫
木马克星
超级巡警
NOD32核心
安全
安全卫士
木马杀客
NOD32
内核
OD
微点
调用FindWindowA函数查找如下窗口并试图调用PostMessageA函数向其发送WM_CLOSE指令关闭窗口
Quote:
AVP.AlertDialog
AVP.Product_Notification
AVP.Product_Noti
调用cmd.exe执行netstopsharedaccess命令关闭Windows自带的防火墙服务
C:WINDOWSsystem32lovesbl.dll插入svchost.exe进程
利用svchost.exe执行下载木马操作
Code:
下载http://218.61.18.*/hao.exe
http://218.61.18.*/wei.exe
http://218.61.18.*/haowei.exe
(ip地址为辽宁大连网通)
到C:DocumentsandSettings下面并分别命名为servciesa.exe~servciesc.exe,下载间隔200ms
测试中http://218.61.18.*/haowei.exe(servciesc.exe)链接已失效
servciesa.exe为一感染下载者
下载http://rrr.*.cn/m1.exe~http://rrr.*.cn/m3.exe,但下载链接已失效
感染除以下文件夹下的exe文件
Quote:
WINDOWS
WINNT
RECYCLE
SystemVolumeInformation
InternetExplorer
OutlookExpress
NetMeeting
CommonFiles
Messenger
WindowsMediaPlayer
WinRAR
MSOCache
DocumentsandSettings
被感染文件被加入593字节的内容图表不变感染方式还得请高手来指教...
servciesb.exe
注册服务WindowsRemote
启动类型:自动
显示名称:WindowsAccountsDriver
也是一个木马下载者但下载链接失效
病毒全部动作完毕以后,sreng日志如下:
服务
Code:
[AGooDDownLoadCAHW/AnHao_VIP_CAHW][Running/AutoStart]
[WindowsAccountsDriver/WindowsRemote][Stopped/AutoStart]
==================================
Autorun.inf
[C:]
[autorun]
OPEN=sbl.exe
shellexecute=sbl.exe
shellAutocommand=sbl.exe
shell=open
[D:]
[autorun]
OPEN=sbl.exe
shellexecute=sbl.exe
shellAutocommand=sbl.exe
shell=open
...
手动解决方法:
下载sreng打开解压后运行srengps.exe
“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”,
选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:
Code:
AGooDDownLoadCAHW/AnHao_VIP_CAHW
WindowsAccountsDriver/WindowsRemote
重启计算机
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹"并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示
确定更改时,单击“是”然后确定
点击菜单栏下方的文件夹按钮(搜索右边的按钮)