1.病毒运行后,释放如下文件或副本
%systemroot%system32configsystemprofilevista.exe
%systemroot%system32a.jpg
%systemroot%system32Flower.dll
%systemroot%system32vista.exe
各个分区下面释放test.exe和autorun.inf
2.通过查找softwareMicrosoftWindowsCurrentVersionApp PathsIEXPLORE.EXE的键值获得IEXPLORE.EXE路径,之后调用IE连接http://www.3940*.cn/tj.asp进行感染统计
3.提升自身权限,关闭如下进程
360tray.exe
360safe.exe
关闭如下进程的句柄
avp.exe
4.启动一个spoolsv.exe进程,把Flower.dll注入进去,并调用urlmon.dll进行下载操作
下载http://www.*/muma935474/q.exe
http://www.*/muma935474/w.exe
http://www.*/muma935474/e.exe
http://www.*/muma935474/r.exe
http://www.*/muma935474/t.exe
http://www.*/muma935474/y.exe
http://www.*/muma935474/u.exe
http://www.*/muma935474/i.exe
http://www.*/muma935474/o.exe
http://www.*/muma935474/10.exe~http://www.*/muma935474/36.exe
http://www.*/muma.exe
http://www.*/muma1.exe
http://www.*/muma2.exe
http://www.*/muma3.exe
到C:Documents and Settings下面 分别命名为taga.exe~tagg.exe tagaa.exe~taggg.exe tagaaa.exe~tagggg.exe tagaaaa.exe~tagcccc.exe md5a.exe~md5g.exe md5aa.exe~md5gg.exe md5aaa.exe~md5bbb.exe
下载间隔2000ms
但下载链接几乎都已失效,几个下载来的病毒也都是鸽子
5.关闭带有如下字样的窗口
防火墙
杀毒
江民
金山
木马
超级巡警
NOD32
安全
主线程
微点
6.添加映像劫持项目劫持某些杀毒软件,安全工具和某些流行病毒指向%systemroot%system32vista.exe
360rpt.exe
360Safe.exe
360tray.exe
adam.exe
AgentSvr.exe
appdllman.exe
AppSvc32.exe
auto.exe
AutoRun.exe
autoruns.exe
avgrssvc.exe
AvMonitor.exe
avp.com
avp.exe
CCenter.exe
ccSvcHst.exe
FileDsty.exe
FTCleanerShell.exe
guangd.exe
HijackThis.exe
IceSword.exe
iparmo.exe
Iparmor.exe
isPwdSvc.exe
kabaload.exe
KaScrScn.SCR
KASMain.exe
KASTask.exe
KAV32.exe
KAVDX.exe
KAVPFW.exe
KAVSetup.exe
KAVStart.exe
kernelwind32.exe
KISLnchr.exe
KMailMon.exe
KMFilter.exe
KPFW32.exe
KPFW32X.exe
KPFWSvc.exe
KRegEx.exe
KRepair.COM
KsLoader.exe
KVCenter.kxp
KvDetect.exe
KvfwMcl.exe
KVMonXP.kxp
KVMonXP_1.kxp
kvol.exe
kvolself.exe
KvReport.kxp
KVSrvXP.exe
KVStub.kxp
kvupload.exe
kvwsc.exe
KvXP.kxp
KWatch.exe
KWatch9x.exe
KWatchX.exe
loaddll.exe
logogo.exe
MagicSet.exe
mcconsol.exe
mmqczj.exe
mmsk.exe
NAVSetup.exe
nod32krn.exe
nod32kui.exe
PFW.exe
PFWLiveUpdate.exe
QHSET.exe
Ras.exe
Rav.exe
RavMon.exe
RavMonD.exe
RavStub.exe
RavTask.exe
RegClean.exe
rfwcfg.exe
RfwMain.exe
rfwProxy.exe
rfwsrv.exe
RsAgent.exe
Rsaupd.exe
runiep.exe
safelive.exe
scan32.exe
shcfg32.exe
SmartUp.exe
sos.exe
SREng.exe
symlcsvc.exe
SysSafe.exe
taskmgr.exe
TrojanDetector.exe
Trojanwall.exe
TrojDie.kxp
UFO.exe
UIHost.exe
UmxAgent.exe
UmxAttachment.exe
UmxCfg.exe
UmxFwHlp.exe
UmxPol.exe
UpLive.EXE
WoptiClean.exe
XP.exe
zxsweep.exe
7.破坏显示隐藏文件
HKUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedHidden的值修改为0x00000002
木马病毒植入完毕以后的sreng日志如下:
启动项目
注册表
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options360rpt.exe]
<IFEO[360rpt.exe]><C:WINDOWSsystem32vista.exe> [Microsoft Corporation]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options360Safe.exe]
<IFEO[360Safe.exe]><C:WINDOWSsystem32vista.exe> [Microsoft Corporation]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options360tray.exe]
<IFEO[360tray.exe]><C:WINDOWSsystem32vista.exe> [Microsoft Corporation]…
==================================
服务
[windows / windows][Running/Disabled]
<C:WINDOWSwindows.exe><N/A>
解决方法:
下载srengIcesword:可到down.45it.com下载
1.解压Icesword,把Icesword改名1.com 运行
点击 左下角文件按钮
删除如下文件%systemroot%system32configsystemprofilevista.exe
%systemroot%system32a.jpg
%systemroot%system32Flower.dll
%systemroot%system32vista.exe
%systemroot%windows.exe
以及各个分区下的test.exe和autorun.inf
2.打开sreng
启动项目 注册表
删除所有红色的IFEO项目
系统修复 - Windows Shell/IE 全选 修复
以上就是【test.exe,vista.exe,a.jpg,Flower.dll病毒分析解决】的全部内容了,欢迎留言评论进行交流!
2. 分享目的仅供大家学习和交流,您必须在下载后24小时内删除!
3. 不得使用于非法商业用途,不得违反国家法律。否则后果自负!
4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
5. 如有链接无法下载、失效或广告,请联系管理员处理!
6. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需!
7. 如遇到加密压缩包,请使用WINRAR解压,如遇到无法解压的请联系管理员!
8. 精力有限,不少源码未能详细测试(解密),不能分辨部分源码是病毒还是误报,所以没有进行任何修改,大家使用前请进行甄别
丞旭猿论坛
暂无评论内容