| 当前位置:首页">"网络安全学苑">"正文 |
番茄花园病毒rising.exe的清除
今天发现此种病毒求助者见多,收到样本后,利马测试了一下。该病毒就是前些日子流行的“修改系统时间”的病毒之变种。此次变种可谓是集N种破坏性病毒之大成了。主要破坏功能有:1.感染exe 并使得被感染的exe的公司等属性变为“番茄花园”
2.感染html asp 等文件 插入恶意代码
3.通过双击磁盘启动
4.下载木马,盗取网游帐号
5.修改注册表 使系统无法显示隐藏文件
6.通过hook API 函数 导致任务管理器中 无法看见其进程
分析报告如下:
| File: rising.exe Size: 64775 bytes File Version: 1.00 MD5: 86311B37D938BB35645E7B092014DD63 SHA1: 47C324A5A691DD31DC0410E51ADBD35065E6C7C3 CRC32: 88ABBD9B rising.exe 运行后 首先释放一个rising.eve的文件 然后由rising.exe启动他 释放rising.exe 和autorun.inf 到每个分区 使得双击磁盘启动 修改系统时间 随机把年份往前调 月,日不变 rising.exe 还会hook 多个 API函数 使其进程在任务管理器中隐藏 使用Explorer.exe连接网络 61.152.92.98:80下载木马 由于 每台机器上下载的木马的名称不同 但最后结果相同 所以中间释放的过程省略 C:\WINDOWS\system32\cmdbs.dll C:\WINDOWS\system32\Kvsc3.dll C:\WINDOWS\system32\mppds.dll C:\WINDOWS\system32\msccrt.dll C:\WINDOWS\system32\winsock.exe 临时文件夹下 释放upxdnd.exe和upxdnd.dll |
解决办法:
安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)
首先把系统日期 改回来
然后打开sreng(可到www.91now.com下载)
启动项目 注册表 删除如下项目
| <upxdnd><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\upxdnd.exe> [] <msccrt><C:\WINDOWS\msccrt.exe> [] <cmdbs><C:\WINDOWS\cmdbs.exe> [] <mppds><C:\WINDOWS\mppds.exe> [] <Kvsc3><C:\WINDOWS\Kvsc3.exe> [] <winform><C:\WINDOWS\winform.exe> [] |
“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”,
选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:
| 139CA82A / 139CA82A Wireless Zero Conflguration / inetsvr |
把下面的 代码拷入记事本中然后另存为1.reg文件
| Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] |