类熊猫感染下载者Worm.Delf.yrj(IO.pif)的分析 - 华夏黑客同盟

| 网站首页 | 资讯 | Hack | 漏洞 | 网管 | 编程 | 培训 | 品黑页 | 软件 | 论坛 | 动画 | 视频 | 经典 | 教学站 | 黑客点睛 |

免费服务	我要发布	在线破解	黑客游戏	精华收集	免费空间	网络硬盘	独家报道	黑器点播	免费 FTP	交换资源
收费服务	黑客培训	光盘刻录	黑客书籍	视频下载	主力频道	空间域名	网站建设	特色服务	解决方案	我要投诉

您现在的位置：华夏黑客同盟 >> Hack >> 病毒知识 >> 正文

用户登录

新用户注册

类熊猫感染下载者Worm.Delf.yrj(IO.pif)的分析

荐 ★★★

【字体：小大】

类熊猫感染下载者Worm.Delf.yrj(IO.pif)的分析

作者：清新阳光文章来源：华盟收集点击数：更新时间：2007-8-4

今天接到一个样本是感染文件的，行为比较恶劣，类似熊猫，测试结果如下：
File: IO.pif
Size: 18944 bytes
MD5: CB37B09FA8926D8E00E8DB306DFE5693
SHA1: 8AA9148DB8875DD4EB601F6B7551394D642FAF33
CRC32: 13DE07DC
生成如下文件
C:\Program Files\Common Files\Services\svchost.exe
C:\WINDOWS\system32\DirectX9.dll

删除C:\WINDOWS\system32\verclsid.exe

调用cmd利用net stop命令结束以下服务
norton antivirus auto protect service
mcshield
windows filewall/internet connection sharing(ics)
system restore service
windows security center

结束以下进程或者关闭窗口
regedit.exe
msconfig.exe
taskmgr.exe
360tray.exe
360safe.exe
wopticlean.exe
eghost.exe
iparmor.exe
mailmon.exe
kavpfw.exe
roguecleaner.exe
噬菌体
木马克星

从最后一个盘开始遍历磁盘分区
在每个磁盘根目录下生成io.pif 和autorun.inf

感染除系统分区外的exe文件，并跳过感染如下文件
qq.exe
msmsgs.exe
flashget.exe
thunder5.exe

连接网络下载木马下载器到c盘下
命名为WINDOWSXXXXXX.exe
XXXXXX为随机数字

由于下载的都是些木马下载器，所以这些木马下载器又会下载其他一些木马和病毒，下面是最后木马都植入完毕后壮观的sreng日志

启动项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<><C:\Program Files\Common Files\Services\svchost.exe> []
<upxdnd><C:\WINDOWS\upxdnd.exe> []
<MsIMMs32><C:\WINDOWS\MsIMMs32.exe> []
<RAV008C><C:\WINDOWS\system32\RAV008C.exe> []
<RAV00B2><C:\WINDOWS\system32\RAV00B2.exe> []
<runner1><C:\WINDOWS\retadpu20.exe 61A847B5BBF72810328B2B27128065E9C084320161C4661227A755E9C2933154389A> [N/A]
<A><C:\WINDOWS\system32\rundll32.exe 1.1 s> [N/A]
<RAV00A0><C:\WINDOWS\system32\RAV00A0.exe> []
<RAV009B><C:\WINDOWS\system32\RAV009B.exe> []
<RAV00AE><C:\WINDOWS\system32\RAV00AE.exe> []
<WinForm><C:\WINDOWS\WinForm.exe> []
<System><C:\WINDOWS\system32\kernelwind32.exe> []
<cmdbcs><C:\WINDOWS\cmdbcs.exe> []
<WinDCP32><C:\WINDOWS\WinDCP32.exe> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<Userinit><rundll32.exe C:\WINDOWS\system32\winsys16_070731.dll start> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<Userinit><C:\WINDOWS\system32\userinit.exe,c:\WINDOWS\WINDOWS200789.exe> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><wgdpri.dll> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}><C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys> []
<{252D2432-37A2-324F-2A54-21BF5CF2F1A2}><C:\WINDOWS\system32\jhapri.dll> []
<{425AB2F3-234A-7469-2F43-E341713ABFA4}><C:\WINDOWS\system32\wgdpri.dll> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Explorer.exe]
<IFEO[Explorer.exe]><C:\WINDOWS\system32\netdde32.exe> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Launcher.exe]
<IFEO[Launcher.exe]><C:\WINDOWS\system\7.exe> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\my.exe]
<IFEO[my.exe]><C:\WINDOWS\system\2.exe> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WoW.exe]
<IFEO[WoW.exe]><C:\WINDOWS\system\7.exe> []
服务
[2BB181CE / 2BB181CE][Stopped/Auto Start]
<C:\WINDOWS\system32\AC254E44.EXE -a><Microsoft Corporation>
[3B4DE84B / 3B4DE84B][Stopped/Auto Start]
<C:\WINDOWS\system32\88E97D63.EXE -d><Microsoft Corporation>
[3FC3578B / 3FC3578B][Stopped/Auto Start]
<C:\WINDOWS\system32\AC254E44.EXE -k><Microsoft Corporation>
[8401A2CA / 8401A2CA][Stopped/Auto Start]
<C:\WINDOWS\system32\6B07F274.EXE -g><Microsoft Corporation>
[Windows dcwd RunThem / dcwd][Running/Auto Start]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\PROGRA~1\yxry\ihbi.dll>< >
[E539E00C / E539E00C][Stopped/Auto Start]
<C:\WINDOWS\system32\B96A05C.EXE -p><Microsoft Corporation>
[husjdd8s / husjdd8s][Stopped/Auto Start]
<C:\WINDOWS\system32\husjdd8s.exe -j><Microsoft Corporation>
[Fax 2Client / ms_2fax][Running/Auto Start]
<C:\WINDOWS\system32\60e41.exe><N/A>
[Remote Debug Service / RemoteDbg][Stopped/Auto Start]
<C:\WINDOWS\system32\rundll32.exe RemoteDbg.dll,input><Microsoft Corporation>
[WebPrint / WebPrint][Stopped/Auto Start]
<c:\windows\system32\webprint.exe><>
驱动
[2lqs / 2lqs5][Running/Boot Start]
<\SystemRoot\System32\DRIVERS\2lqs5.sys><N/A>
[acpidisk / acpidisk][Running/Auto Start]
<\??\C:\WINDOWS\system32\drivers\acpidisk.sys><N/A>
[msnc / msnc][Running/Auto Start]
<system32\DRIVERS\msnc.sys><N/A>
[mszstb / mszstb][Running/Auto Start]
<\??\C:\WINDOWS\system32\drivers\mszstb.sys><N/A>
[q4so0z1 / q4so0z1][Running/Auto Start]
<\??\C:\WINDOWS\system32\drivers\q4so0z1.sys><N/A>
进程
[PID: 1780 / Administrator][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\wgdpri.dll] [N/A, ]
[C:\WINDOWS\KB908023.log] [N/A, ]
[C:\WINDOWS\netdde32.exe] [N/A, ]
[C:\WINDOWS\system32\netdde32.exe] [N/A, ]
[C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys] [N/A, ]
[C:\WINDOWS\system32\jhapri.dll] [N/A, ]
[C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Sys] [N/A, ]
[C:\WINDOWS\system32\8ejtzrrmip.dll] [N/A, ]
[C:\WINDOWS\system32\RAV008C.DAT] [N/A, ]
[C:\WINDOWS\system32\RAV00B2.DAT] [N/A, ]
[C:\WINDOWS\system32\RAV00A0.DAT] [N/A, ]
[C:\WINDOWS\system32\RAV009B.DAT] [N/A, ]
[C:\WINDOWS\system32\RAV00AE.DAT] [N/A, ]
[C:\WINDOWS\system32\upxdnd.dll] [N/A, ]
[C:\WINDOWS\system32\mszstb.dll] [N/A, ]
[C:\WINDOWS\system32\WinForm.dll] [N/A, ]
[C:\WINDOWS\system32\WinDCP32.dll] [N/A, ]
[C:\WINDOWS\system32\MsIMMs32.dll] [N/A, ]
[C:\WINDOWS\system32\cmdbcs.dll] [N/A, ]
[C:\WINDOWS\system32\107E7AF5.DLL] [Microsoft Corporation, ]
[C:\WINDOWS\system32\9CFB5320.DLL] [Microsoft Corporation, ]
[C:\WINDOWS\system32\47CC2193.DLL] [Microsoft Corporation, ]
[C:\WINDOWS\system32\F7F735F8.DLL] [Microsoft Corporation, ]
[c:\progra~1\yxry\lkel.dll] [, 5, 0, 0, 4]
[c:\progra~1\yxry\qpjq.dll] [ , 5, 0, 0, 4]
[C:\WINDOWS\system32\osiesd3.dll] [Microsoft Corporation, ]
[C:\WINDOWS\system32\b601.dll] [TOD <公司名>, 1.0.0.1]
[C:\WINDOWS\system32\adlyhucztyvge.dll] [, 1.0.0.0]
...

具体的清除木马的方法估计应该会写上千字吧，而且每次下载的木马不尽相同，所以这里就不详述了。
看了下里面有我分析过的一些病毒，如劫持explorer.exe的netdde32.exe,还有上篇分析的那个恶性类AV终结者病毒...
中了这样的病毒的最好的办法就是重装系统，因为那样会更省时间
不过在重装系统以后需要注意以下问题
重装系统后，要做的几项工作如下
1.双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定
点击菜单栏下方的文件夹按钮（搜索右边的按钮）
从左边的资源管理器进入其他分区
删除autorun.inf和Io.pif
2.把杀毒软件装到系统盘里，升级至最新版本，全盘杀毒，清除其他分区受感染的exe文件
切记不要双击打开其他分区，不要打开其他分区的exe文件！！！

责任编辑：朱倩　　联系方式　Email：朱倩

电话：51228163

上一篇黑客：局域网病毒的七大特点

下一篇黑客：恶搞病毒分析

【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】

（只显示最新5条。评论内容只代表网友观点，与本站立场无关！）

姓名：	* 游客填写　·注册用户
主页：
评分：	1分 2分 3分 4分 5分
评论内容：
验证码： *

请遵守《互联网电子公告服务管理规定》及中华人民共和国其他各项有关法律法规。严禁发表危害国家安全、损害国家利益、破坏民族团结、破坏国家宗教政策、破坏社会稳定、侮辱、诽谤、教唆、淫秽等内容的评论。用户需对自己在使用本站服务过程中的行为承担法律责任（直接或间接导致的）。本站管理员有权保留或删除评论内容。评论内容只代表网友个人观点，与本网站立场无关。

最新hack更新

最新推荐资讯

最新会员软件

最新推荐视频

最新推荐动画

mailto:webmaster@77169.net
咨询QQ号:836982 / 59280880
联系站长 QQ38588913