这是新版的Anhao木马下载器,与原先的“
梦中情人sbl”是同一病毒的不同变种
样本信息:File: Xue.exe
Size: 31405 bytes
File Version: 6.00.2900.3156 (xpsp_sp2_gdr.070613-1234)
Modified: 2008年4月25日, 17:00:32
MD5: FC52FFC0F13A9582A4109AE35CF15634
SHA1: FA694730FAC8E35420703E84CC07FD8F16AA0D08
CRC32: 62C35E12
1.病毒运行后释放如下文件或者副本
%systemroot%\system32\drivers\Sbl.sys
%systemroot%\system32\Xue.exe
2.释放的sbl.sys注册服务XueLuo
创建设备XueLuo
该驱动加载后会恢复SSDT,使得杀毒软件的钩子失效,许多基于SSDT挂钩的杀毒软件会因此失效。
3.添加注册表启动项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<LoveHebe><%systemroot%\system32\Xue.exe> [Microsoft Corporation]
达到开机启动自身的目的
4.连接网络,加载urlmon.dll调用URLDownloadToFileA函数下载木马和病毒
http://www.hackceo.com/xzea.exe
http://www.hackceo.com/xzeb.exe
http://www.hackceo.com/xzec.exe
到%Program Files%\jjueA.exe
%Program Files%\jjueB.exe
%Program Files%\jjueC.exe
但下载链接均已经失效
解决方法:
下载sreng:
/Anti-virus/anti_virus_2292.html1.打开任务管理器,结束进程Xue.exe
2.打开sreng
注册表 启动项目
删除如下项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<LoveHebe><%systemroot%\system32\Xue.exe> [Microsoft Corporation]
在“启动项目”-“服务”-“驱动程序”中点“隐藏经认证的微软项目”,
选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:
HackCeo_AnHao / XueLuo
3.建议屏蔽如下网址
http://www.hackceo.com
www.newjian.com
您的位置: