一、WIN32.EXE的來源：http://fdghewrtewrtyrew.biz/adv/130/win32.exe
二、運行后的表現(xiàn)：此WIN32.EXE通過80和8080端口訪問若干個IP，若防火墻不能監(jiān)測到或令防火墻允許該訪問，WIN32.EXE會自動下載木馬Kernels8.exe到system32目錄下；Kernels8.exe自網(wǎng)絡(luò)下載1.dlb、2.dlb.....等一堆木馬到當前用戶文件夾中，并自動運行。下載的木馬加載運行后，又從網(wǎng)絡(luò)上下載其它木馬/蠕蟲。

木馬/蠕蟲完全下載并植入系統(tǒng)后，SREng日志可見：

啟動項目
注冊表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<Windows update loader><C:\Windows\xpupdate.exe> [N/A]
<UpdateService><C:\windows\system32\wservice.exe> [N/A]
<taskdir><C:\windows\system32\taskdir.exe> [N/A]
<_mzu_stonedrv3><C:\windows\system32\_mzu_stonedrv3.exe> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<System><C:\windows\system32\testtestt.exe> [N/A]
<UpdateService><C:\windows\system32\wservice.exe> [N/A]
<spoolsvv><C:\windows\system32\spoolsvv.exe> [N/A]
<adir><C:\windows\system32\adirss.exe> [N/A]
<_mzu_stonedrv3><C:\windows\system32\_mzu_stonedrv3.exe> [N/A]
<30><C:\windows\system32\30.tmp> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
<SystemTools><C:\windows\system32\testtestt.exe> [N/A]
<_mzu_stonedrv3><C:\windows\system32\_mzu_stonedrv3.exe> [N/A]
<30><C:\windows\system32\30.tmp> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
<sqPIftjYG><C:\windows\system32\rflbg.dll> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rpcc]
<WinlogonNotify: rpcc><C:\windows\system32\rpcc.dll> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winsys2freg]
<WinlogonNotify: winsys2freg><C:\Documents and Settings\All Users\Documents\Settings\winsys2f.dll> [N/A]
==================================
正在運行的進程
[PID: 584][\??\C:\windows\system32\winlogon.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\Documents and Settings\All Users\Documents\Settings\winsys2f.dll] [N/A, N/A] 
[PID: 1584][C:\windows\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\windows\system32\rflbg.dll] [N/A, N/A]
==================================
HOSTS 文件
127.0.0.1 avp.com
127.0.0.1 ca.com
127.0.0.1 f-secure.com
127.0.0.1 housecall.trendmicro.com
127.0.0.1 kaspersky.com
127.0.0.1 mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 nai.com
127.0.0.1 networkassociates.com
127.0.0.1 secure.nai.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 sophos.com
127.0.0.1 symantec.com
127.0.0.1 trendmicro.com
127.0.0.1 us.mcafee.com
127.0.0.1 v4.windowsupdate.microsoft.com
127.0.0.1 v5.windowsupdate.microsoft.com
127.0.0.1 v5windowsupdate.microsoft.nsatc.net
127.0.0.1 viruslist.com
127.0.0.1 windowsupdate.com
127.0.0.1 windowsupdate.microsoft.com
127.0.0.1 www.avp.com
127.0.0.1 www.bitdefender.com
127.0.0.1 www.ca.com
127.0.0.1 www.f-secure.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.mcafee.com
127.0.0.1 www.my-etrust.com
127.0.0.1 www.nai.com
127.0.0.1 www.networkassociates.com
127.0.0.1 www.pandasoftware.com
127.0.0.1 www.ravantivirus.com
127.0.0.1 www.sophos.com
127.0.0.1 www.symantec.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.viruslist.com
127.0.0.1 www.windowsupdate.com
127.0.0.1 www3.ca.com
127.0.0.1 downloads1.kaspersky-labs.com
127.0.0.1 downloads2.kaspersky-labs.com
127.0.0.1 downloads3.kaspersky-labs.com
127.0.0.1 downloads4.kaspersky-labs.com
127.0.0.1 downloads-us1.kaspersky-labs.com
127.0.0.1 downloads-eu1.kaspersky-labs.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 mast.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 update.symantec.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 download.mcafee.com
127.0.0.1 updates.symantec.com

==================================

HijackThis v1.99.1日志可見：

O4 - HKLM\..\Run: [System] C:\windows\system32\testtestt.exe
O4 - HKLM\..\Run: [UpdateService] C:\windows\system32\wservice.exe
O4 - HKLM\..\Run: [spoolsvv] C:\windows\system32\spoolsvv.exe
O4 - HKLM\..\Run: [adir] C:\windows\system32\adirss.exe
O4 - HKLM\..\Run: [_mzu_stonedrv3] C:\windows\system32\_mzu_stonedrv3.exe
O4 - HKLM\..\Run: [30] C:\windows\system32\30.tmp
O4 - HKLM\..\RunServices: [SystemTools] C:\windows\system32\testtestt.exe
O4 - HKLM\..\RunServices: [_mzu_stonedrv3] C:\windows\system32\_mzu_stonedrv3.exe
O4 - HKLM\..\RunServices: [30] C:\windows\system32\30.tmp
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O4 - HKCU\..\Run: [UpdateService] C:\windows\system32\wservice.exe
O4 - HKCU\..\Run: [taskdir] C:\windows\system32\taskdir.exe
O4 - HKCU\..\Run: [_mzu_stonedrv3] C:\windows\system32\_mzu_stonedrv3.exe
O4 - HKCU\..\Run: [WinMedia] C:\windows\loader622535.exe
O4 - HKCU\..\Run: [Winstx] C:\windows\loader628714.exe

O20 - Winlogon Notify: rpcc - C:\windows\system32\rpcc.dll
O20 - Winlogon Notify: winsys2freg - C:\Documents and Settings\All Users\Documents\Settings\winsys2f.dll
O21 - SSODL: sqPIftjYG - {F4233280-5E89-982A-A244-6D00C3A79C12} - C:\windows\system32\rflbg.dll

其中，C:\Documents and Settings\All Users\Documents\Settings\winsys2f.dll插入winlogon.exe進程。這個.dll處理起來較難。原因在于：
1、這個dll位于隱藏文件夾中，須用IceSword或WINRAR等工具才能看到。
2、因為它插入了winlogon.exe進程，這個dll不能直接刪除。
3、不知這堆木馬/蠕蟲中的哪幾個開啟了IE進程若干（并無IE窗口打開）。WINDOWS的“任務管理器”被禁；用其它工具，表面上雖可進行結(jié)束IE進程的操作，但無論用什么工具結(jié)束IE進程后，病毒又試圖通過winlogon.exe啟動IE進程（SSM可監(jiān)控到此過程）；此時，如果用較低版本的SSM禁止winlogon.exe啟動IE進程，則系統(tǒng)崩潰，重啟。用最新版本的SSM 2.2.0.595可以禁止winlogon.exe啟動IE進程而無副作用。

這堆病毒的處理難點還有：
1、病毒感染系統(tǒng)時，已經(jīng)在系統(tǒng)相關(guān)目錄（有.exe文件的目錄）以及系統(tǒng)分區(qū)以外的其它分區(qū)目錄（有.exe文件的目錄）下釋放了大量.t文件。以后，凡運行相關(guān)的.exe時，須先執(zhí)行這個.t文件；此過程可被SSM監(jiān)控到，也可被SSM禁止。然而，若用SSM禁止這個.t運行，則你要運行的那個.exe也同樣被SSM禁止了。中招后用殺毒軟件殺毒就是一個例子（卡巴斯基最新病毒庫只能檢出其中部分病毒）。一旦允許卡巴斯基目錄下的.t運行，kav.exe即被感染（MD5值改變）。收拾干凈系統(tǒng)后，我只好卸載卡巴斯基，重新安裝。我的Tiny防火墻也是同樣下場。為了看全這“西洋景”，我關(guān)閉了Tiny。染毒/系統(tǒng)重啟后，Tiny自動加載時amon.exe被感染。
2、如果沒有完全禁止所有的病毒程序運行，就在普通WINDOWS模式下刪除木馬/蠕蟲文件，刪除操作時會在同一位置生成數(shù)目不等的、文件名后綴為.t的文件，文件名為隨機排列的8個小寫英文字母。

三、我的處理辦法：
1、用最新版SSM2.2結(jié)束上述病毒進程，并將其歸入blocked組。將SSM設(shè)置為“自動運行”。
2、重啟系統(tǒng)。
3、重啟系統(tǒng)后，SSM還報病毒程序試圖加載（木馬通過SSM安裝文件夾中的.t實現(xiàn)啟動加載），可用SSM禁止它，并歸入blocked組。
4、刪除病毒的加載項（見前面的SREng以及HijackThis日志）。
5、顯示隱藏文件。刪除病毒文件（圖1－圖6）。要刪除的病毒文件太多，做為例子，圖中顯示的只是這堆病毒中的主要文件以及刪除病毒文件時生成的部分.t文件（如果將刪除到回收站的病毒文件全部顯示出來，則需要18張圖）。
染毒后生成的.t文件的多寡目及分布范圍取決于（1）系統(tǒng)啟動時加載運行的程序數(shù)目；（2）染毒后未處理干凈前在WINDOWS下操作步驟的多寡；（3）系統(tǒng)分區(qū)以外的其它分區(qū)各目錄下的文件夾中是否包含.exe文件（文件夾中若不包含.exe文件，則無病毒.t文件生成）。
6、修復HOSTS文件。
7、卸載、重新安裝被感染的應用程序（MD5值改變的那些）。

圖1

最新評論