SHA-160 : 79462300E3B85583FC87CBB56936719B6CC0616E
MD5 : C8C1710C47B42258023F620D0C047F36
RIPEMD-160 : 12F704DDE477151503ED35290AF1DA05C53E3593
HAVAL-3-128 : ECD9D1037E743CBCD2796996A25F14FF
CRC-32 : 0F6AC47C
2.病毒类型: 木马程序 Backdoor.Win32.Agent.ahj (卡巴斯基)
3.分析工具: SSM (附部分日志)
进程:
路径: C:\Documents and Settings\Administrator\桌面\auto.exe
PID: 1060
信息: (Microsoft Corporation)
注册表群组: Services
对象:
注册表键: HKLM\SYSTEM\CurrentControlSet\Services\5A36FBC1
注册表值: Description
类型: REG_SZ
值: 6394B135
-------------------------------------------------------------------------------------------------
父级进程:
路径: C:\WINDOWS\system32\services.exe
PID: 644
信息: Services and Controller app (Microsoft Corporation)
子级进程:
路径: C:\WINDOWS\system32\8D159B5D.EXE
信息: (Microsoft Corporation)
命令行:C:\windows\system32\8D159B5D.EXE -k
-------------------------------------------------------------------------------------------------
进程:
路径: C:\WINDOWS\system32\8D159B5D.EXE
PID: 4048
信息: (Microsoft Corporation)
对象:
路径: C:\WINDOWS\system32\winlogon.exe
信息: Windows NT Logon Application (Microsoft Corporation)
此项允许程序执行其代码于另一程序上(DLL注入)。
4.病毒行为:
4.1 注册表
添加服务: 5A36FBC1 (随机8位字母和数字组合)
文件: %systemroot%\system32\8d159b5d.exe (随机8位字母和数字组合)
4.2 病毒相关文件
%systemroot%\system32\6394B135.DLL (随机8位字母和数字组合)
DLL注入系统和用户所有进程.
%systemroot%\system32\8d159b5d.exe (随机8位字母和数字组合) (作为服务调用)
x:\auto.exe
x:\autorun.inf
附录:
c8c1710c47b42258023f620d0c047f36 8d159b5d.exe
c8c1710c47b42258023f620d0c047f36 auto.exe
4.3 下载木马:读取 http://count.fuckunion.com/cnzz//update.txt下载木马
5.病毒清除方法:
首先要断开Internet网络
1.使用 SREng / autoruns删除病毒添加的服务,手动删除服务所指向的随机8位字母和数字组合病毒文件
2.删除各分区下auto.exe和autorun.inf
3.使用xdelbox或者Wsyscheck DOS级别删除病毒DLL文件
(或者删除病毒添加的服务后进安全模式删除) killbox未测试
清除下载的木马:(推荐使用工具)
下载windows清理助手清理恶意软件
http://www.arswp.com
使用SREng分析和处理。
您的位置: