IO.pif变种分析清除(兼答avzx*,kvdx*,等随机7位字母的dll木马群的方法
IO.pif变种分析清除(兼答avzx*,kvdx*,等随机7位字母的dll木马群的方法
发布时间:2016-12-26 来源:查字典编辑
摘要:File:IO.pifSize:19456bytesMD5:90C509FA6A6C2FA798DBE1CFD7F0E4F1SHA1:DBF...

File:IO.pif

Size:19456bytes

MD5:90C509FA6A6C2FA798DBE1CFD7F0E4F1

SHA1:DBF721F48369CFBB2B88D0F5D707924A7FE185EC

CRC32:9822E714

生成如下文件:

%ProgramFiles%CommonFilesServicessvchost.exe

%system32%DirectX10.dll

在每个分区下面生成一个autorun.inf和IO.pif

达到通过U盘等移动存储传播的目的

调用Cmd利用netstop命令停止以下服务

mcshield

NortonAntivirusAutoProtectService

WindowsFirewall/InternetConnectionSharing(ICS)

SystemRestoreService

结束如下进程

regedit.exe

taskgmr.exe

360tray.exe

360safe.exe

噬菌体

木马克星

WoptiClean.exe

EGHOST.exe

Iparmor.exe

MAILMON.EXE

KAVPFW.exe

RogueCleaner.exe

顺序查找以下注册表键值

?.S-1-5-21-1801674531-1645522239-725345543-1003SoftwareJetCarJetCarGeneral的AppPath键值

SOFTWAREThunderNetworkThunderOemthunder_backwnd里面的Path键值

?.SoftwareMicrosoftWindowsCurrentVersionAppPathsMSMSGS.EXE

?.SoftwareMicrosoftWindowsCurrentVersionAppPathsIEXPLORE.EXE

?.SoftwareTENCENTPLATFORM_TYPE_LIST1的TypePath键值

以分别获得网际快车,迅雷,MSN,IE,QQ的安装路径

如果查找到了那么即启动相应的文件

(查找方式为顺序查找,如果查找到安装了网际快车,则启动网际快车,不再往下查找)

启动相应的文件以后把自身注入到该进程空间之中,连接网络,下载木马。

http://*.cn/hz/1.exe~http://*.cn/hz/20.exe

到%ProgramFiles%InternetExplorerPLUGINS下面

命名为随机8位字母和数字组合。

木马植入完毕以后主要生成如下文件(包括但不限于)

%ProgramFiles%InternetExplorerPLUGINSSysWin64.Jmp

%ProgramFiles%InternetExplorerPLUGINSWinSys64.Sys

%ProgramFiles%NetMeetingavpms.dat

%ProgramFiles%NetMeetingavpms.exe

%ProgramFiles%NetMeetingrav*mon.dat(*为随机两位字母)

%ProgramFiles%NetMeetingrav*mon.exe(*为随机两位字母)

%systemroot%ifc222.dll

%systemroot%qiji.dll

%systemroot%rx.dll

%systemroot%sourro.exe

%systemroot%winlogor.exe

%systemroot%Winnt.exe

%SystemRoot%intent.exe

以及以下这些随机7位字母组合文件名的一些盗号木马

%system32%avwlain.dll

%system32%avwlamn.dll

%system32%avwlast.exe

%system32%avzxain.dll

%system32%avzxamn.dll

%system32%avzxast.exe

%system32%kaqhacs.dll

%system32%kaqhcaz.exe

%system32%kaqhczy.dll

%system32%kvdxacf.dll

%system32%kvdxbis.exe

%system32%kvdxbma.dll

%system32%kvmxacf.dll

%system32%kvmxcis.exe

%system32%kvmxcma.dll

%system32%rsjzafg.dll

%system32%rsjzapm.dll

%system32%rsjzasp.exe

%system32%rsmyafg.dll

%system32%rsmyapm.dll

%system32%rsmyasp.exe

其中的盗号木马会盗取如下网络游戏帐号和密码(包括但不限于)

大话西游II

魔域

完美世界

机战

华夏

魔兽世界

问道

征途

热血江湖

奇迹世界

QQ

下载的木马有禁止自动更新和微软的防火墙的作用

并且会把时间修改成2099年1月1日

sreng日志反映如下(本文转载时略,详细见下文)

清除办法:

一、清除病毒主程序:

首先把系统时间改正确

下载Sreng,下载地址:down.45it.com

重启计算机进入安全模式(重启系统长按F8直到出现提示,然后选择进入安全模式)

双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹"并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示

确定更改时,单击“是”然后确定

右键点击C盘(系统盘)点击右键菜单中的“打开”打开磁盘

删除

C:Io.pif

C:autorun.inf

%ProgramFiles%CommonFilesServicessvchost.exe

%system32%DirectX10.dll

同样右键点击其他盘点击右键菜单中的“打开”打开磁盘

删除Io.pif和autorun.inf

二、清除下载的木马

1.还是在安全模式下

打开sreng

启动项目注册表删除如下项目

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun]

<w><%SystemRoot%WinRaR.exe>[N/A]

<wm><%SystemRoot%winlogor.exe>[]

<wl><%SystemRoot%intent.exe>[N/A]

<mm><%SystemRoot%sourro.exe>[]

<zx><%SystemRoot%winadr.exe>[N/A]

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]

<ravztmon><C:ProgramFilesNetMeetingravztmon.exe>[]

<avpms><C:ProgramFilesNetMeetingavpms.exe>[]

<ravwdmon><C:ProgramFilesNetMeetingravwdmon.exe>[]

双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹"并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示

确定更改时,单击“是”然后确定

删除如下文件%ProgramFiles%InternetExplorerPLUGINSSysWin64.Jmp

%ProgramFiles%InternetExplorerPLUGINSWinSys64.Sys

%ProgramFiles%NetMeetingavpms.dat

%ProgramFiles%NetMeetingavpms.exe

%ProgramFiles%NetMeetingrav*mon.dat(*为随机两位字母)

%ProgramFiles%NetMeetingrav*mon.exe(*为随机两位字母)

%systemroot%ifc222.dll

%systemroot%qiji.dll

%systemroot%rx.dll

%systemroot%sourro.exe

%systemroot%winlogor.exe

%systemroot%Winnt.exe

%SystemRoot%intent.exe

2.清除随机7位的dll盗号木马

(其实这些就是*pri.dll的变种,仍可以采用重命名方法清除)

仍然是在安全模式下

打开sreng启动项目注册表

查看[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks]下面的随机7位字母的dll文件,记住他们的名字

然后

双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹"并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是”然后确定

打开C:windowssystem32文件夹单击上面的搜索按钮

更多高级选项中要钩选搜索隐藏的文件和文件夹

分别搜索你记下来的那些随机7位的dll

右键分别把这些文件重命名命名的名字自己要记住最好有规律

重启计算机后

打开sreng

启动项目注册表删除如下项目(即你刚才在启动项目中看见的所有随机7位字母dll的项目)

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks]

<{1E32FA58-3453-FA2D-BC49-F340348ACCE1}><C:WINDOWSsystem32rsmyapm.dll>[]

<{2C87A354-ABC3-DEDE-FF33-3213FD7447C2}><C:WINDOWSsystem32kvdxbma.dll>[]

<{3D47B341-43DF-4563-753F-345FFA3157D3}><C:WINDOWSsystem32kvmxcma.dll>[]

<{1960356A-458E-DE24-BD50-268F589A56A1}><C:WINDOWSsystem32avwlamn.dll>[]

<{12FAACDE-34DA-CCD4-AB4D-DA34485A3421}><C:WINDOWSsystem32rsjzapm.dll>[]

<{1859245F-345D-BC13-AC4F-145D47DA34F1}><C:WINDOWSsystem32avzxamn.dll>[]

<{37D81718-1314-5200-2597-587901018073}><C:WINDOWSsystem32kaqhczy.dll>[]

双击AppInit_DLLs把器键值改为空

并删除刚才重命名的那些dll文件

注:%System32%是一个可变路径。

Windows2000/NT中默认的安装路径是C:WinntSystem32,windows95/98/me中默认的安装路径是C:WindowsSystem,windowsXP中默认的安装路径是C:WindowsSystem32。

%SystemRoot%/WINDODWS所在目录

%ProgramFiles%系统程序默认安装目录

推荐文章
猜你喜欢
附近的人在看
推荐阅读
拓展阅读
相关阅读
网友关注
最新病毒查杀学习
热门病毒查杀学习
实用技巧子分类