关于WIN32.EXE变态木马下载器的解决办法
一、WIN32.EXE的来源:http://fdghewrtewrtyrew.biz/adv/130/win32.exe
二、运行后的表现:此WIN32.EXE通过80和8080端口访问若干个IP,若防火墙不能监测到或令防火墙允许该访问,WIN32.EXE会自动下载木马Kernels8.exe到system32目录下;Kernels8.exe自网络下载1.dlb、2.dlb.....等一堆木马到当前用户文件夹中,并自动运行。下载的木马加载运行后,又从网络上下载其它木马/蠕虫。
木马/蠕虫完全下载并植入系统后,SREng日志可见:
启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<Windows update loader><C:\Windows\xpupdate.exe> [N/A]
<UpdateService><C:\windows\system32\wservice.exe> [N/A]
<taskdir><C:\windows\system32\taskdir.exe> [N/A]
<_mzu_stonedrv3><C:\windows\system32\_mzu_stonedrv3.exe> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<System><C:\windows\system32\testtestt.exe> [N/A]
<UpdateService><C:\windows\system32\wservice.exe> [N/A]
<spoolsvv><C:\windows\system32\spoolsvv.exe> [N/A]
<adir><C:\windows\system32\adirss.exe> [N/A]
<_mzu_stonedrv3><C:\windows\system32\_mzu_stonedrv3.exe> [N/A]
<30><C:\windows\system32\30.tmp> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
<SystemTools><C:\windows\system32\testtestt.exe> [N/A]
<_mzu_stonedrv3><C:\windows\system32\_mzu_stonedrv3.exe> [N/A]
<30><C:\windows\system32\30.tmp> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
<sqPIftjYG><C:\windows\system32\rflbg.dll> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rpcc]
<WinlogonNotify: rpcc><C:\windows\system32\rpcc.dll> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winsys2freg]
<WinlogonNotify: winsys2freg><C:\Documents and Settings\All Users\Documents\Settings\winsys2f.dll> [N/A]
==================================
正在运行的进程
[PID: 584][\??\C:\windows\system32\winlogon.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\Documents and Settings\All Users\Documents\Settings\winsys2f.dll] [N/A, N/A]
[PID: 1584][C:\windows\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\windows\system32\rflbg.dll] [N/A, N/A]
==================================
HOSTS 文件
127.0.0.1 avp.com
127.0.0.1 ca.com
127.0.0.1 f-secure.com
127.0.0.1 housecall.trendmicro.com
127.0.0.1 kaspersky.com
127.0.0.1 mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 nai.com
127.0.0.1 networkassociates.com
127.0.0.1 secure.nai.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 sophos.com
127.0.0.1 symantec.com
127.0.0.1 trendmicro.com
127.0.0.1 us.mcafee.com
127.0.0.1 v4.windowsupdate.microsoft.com
127.0.0.1 v5.windowsupdate.microsoft.com
127.0.0.1 v5windowsupdate.microsoft.nsatc.net
127.0.0.1 viruslist.com
127.0.0.1 windowsupdate.com
127.0.0.1 windowsupdate.microsoft.com
127.0.0.1 www.avp.com
127.0.0.1 www.bitdefender.com
127.0.0.1 www.ca.com
127.0.0.1 www.f-secure.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.mcafee.com
127.0.0.1 www.my-etrust.com
127.0.0.1 www.nai.com
127.0.0.1 www.networkassociates.com
127.0.0.1 www.pandasoftware.com
127.0.0.1 www.ravantivirus.com
127.0.0.1 www.sophos.com
127.0.0.1 www.symantec.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.viruslist.com
127.0.0.1 www.windowsupdate.com
127.0.0.1 www3.ca.com
127.0.0.1 downloads1.kaspersky-labs.com
127.0.0.1 downloads2.kaspersky-labs.com
127.0.0.1 downloads3.kaspersky-labs.com
127.0.0.1 downloads4.kaspersky-labs.com
127.0.0.1 downloads-us1.kaspersky-labs.com
127.0.0.1 downloads-eu1.kaspersky-labs.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 mast.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 update.symantec.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 download.mcafee.com
127.0.0.1 updates.symantec.com
==================================
HijackThis v1.99.1日志可见:
O4 - HKLM\..\Run: [System] C:\windows\system32\testtestt.exe
O4 - HKLM\..\Run: [UpdateService] C:\windows\system32\wservice.exe
O4 - HKLM\..\Run: [spoolsvv] C:\windows\system32\spoolsvv.exe
O4 - HKLM\..\Run: [adir] C:\windows\system32\adirss.exe
O4 - HKLM\..\Run: [_mzu_stonedrv3] C:\windows\system32\_mzu_stonedrv3.exe
O4 - HKLM\..\Run: [30] C:\windows\system32\30.tmp
O4 - HKLM\..\RunServices: [SystemTools] C:\windows\system32\testtestt.exe
O4 - HKLM\..\RunServices: [_mzu_stonedrv3] C:\windows\system32\_mzu_stonedrv3.exe
O4 - HKLM\..\RunServices: [30] C:\windows\system32\30.tmp
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O4 - HKCU\..\Run: [UpdateService] C:\windows\system32\wservice.exe
O4 - HKCU\..\Run: [taskdir] C:\windows\system32\taskdir.exe
O4 - HKCU\..\Run: [_mzu_stonedrv3] C:\windows\system32\_mzu_stonedrv3.exe
O4 - HKCU\..\Run: [WinMedia] C:\windows\loader622535.exe
O4 - HKCU\..\Run: [Winstx] C:\windows\loader628714.exe
O20 - Winlogon Notify: rpcc - C:\windows\system32\rpcc.dll
O20 - Winlogon Notify: winsys2freg - C:\Documents and Settings\All Users\Documents\Settings\winsys2f.dll
O21 - SSODL: sqPIftjYG - {F4233280-5E89-982A-A244-6D00C3A79C12} - C:\windows\system32\rflbg.dll
其中,C:\Documents and Settings\All Users\Documents\Settings\winsys2f.dll插入winlogon.exe进程。这个.dll处理起来较难。原因在于:
1、这个dll位于隐藏文件夹中,须用IceSword或WINRAR等工具才能看到。
2、因为它插入了winlogon.exe进程,这个dll不能直接删除。
3、不知这堆木马/蠕虫中的哪几个开启了IE进程若干(并无IE窗口打开)。WINDOWS的“任务管理器”被禁;用其它工具,表面上虽可进行结束IE进程的操作,但无论用什么工具结束IE进程后,病毒又试图通过winlogon.exe启动IE进程(SSM可监控到此过程);此时,如果用较低版本的SSM禁止winlogon.exe启动IE进程,则系统崩溃,重启。用最新版本的SSM 2.2.0.595可以禁止winlogon.exe启动IE进程而无副作用。
这堆病毒的处理难点还有:
1、病毒感染系统时,已经在系统相关目录(有.exe文件的目录)以及系统分区以外的其它分区目录(有.exe文件的目录)下释放了大量.t文件。以后,凡运行相关的.exe时,须先执行这个.t文件;此过程可被SSM监控到,也可被SSM禁止。然而,若用SSM禁止这个.t运行,则你要运行的那个.exe也同样被SSM禁止了。中招后用杀毒软件杀毒就是一个例子(卡巴斯基最新病毒库只能检出其中部分病毒)。一旦允许卡巴斯基目录下的.t运行,kav.exe即被感染(MD5值改变)。收拾干净系统后,我只好卸载卡巴斯基,重新安装。我的Tiny防火墙也是同样下场。为了看全这“西洋景”,我关闭了Tiny。染毒/系统重启后,Tiny自动加载时amon.exe被感染。
2、如果没有完全禁止所有的病毒程序运行,就在普通WINDOWS模式下删除木马/蠕虫文件,删除操作时会在同一位置生成数目不等的、文件名后缀为.t的文件,文件名为随机排列的8个小写英文字母。
三、我的处理办法:
1、用最新版SSM2.2结束上述病毒进程,并将其归入blocked组。将SSM设置为“自动运行”。
2、重启系统。
3、重启系统后,SSM还报病毒程序试图加载(木马通过SSM安装文件夹中的.t实现启动加载),可用SSM禁止它,并归入blocked组。
4、删除病毒的加载项(见前面的SREng以及HijackThis日志)。
5、显示隐藏文件。删除病毒文件(图1-图6)。要删除的病毒文件太多,做为例子,图中显示的只是这堆病毒中的主要文件以及删除病毒文件时生成的部分.t文件(如果将删除到回收站的病毒文件全部显示出来,则需要18张图)。
染毒后生成的.t文件的多寡目及分布范围取决于(1)系统启动时加载运行的程序数目;(2)染毒后未处理干净前在WINDOWS下操作步骤的多寡;(3)系统分区以外的其它分区各目录下的文件夹中是否包含.exe文件(文件夹中若不包含.exe文件,则无病毒.t文件生成)。
6、修复HOSTS文件。
7、卸载、重新安装被感染的应用程序(MD5值改变的那些)。
图1





关于WIN32.EXE变态木马下载器的解决办法的更多相关文章
- ubuntu Linux 测试PHP却提示下载文件的解决办法
ubuntu Linux 测试PHP却提示下载文件的解决办法 一般这种情况都是在刚刚开始配置环境时出现的, 输入 sudo a2enmod php5 看提示如果出现“$ This module ...
- STM32使用cube生成的程序后在keil5编译后首次SWD可以下载再次下载不行的解决办法。
使用cube配置导出工程在keil5编译后首次SWD下载可以再次下载不行的解决办法. 1原因: cube使用的是HAL库,初始化语句里面禁用了调试功能. 在stm32f1xx_hal_msp.c中 _ ...
- 运行inetmgr提示“找不到文件”无法打开IIS管理器的解决办法
运行inetmgr提示“找不到文件”无法打开IIS管理器的解决办法 不知道什么时候开始运行inetmgr就提示找不到文件了,本以为是IIS坏了,这两天发现IIS服务还是可以运行的,只是运行inetmg ...
- VS2003"无法启动调试 没有正确安装调试器"的解决办法
VS2003"无法启动调试 没有正确安装调试器"的解决方法 在用VS2003做项目的时候,经常调试程序,但是有时候回出现如下问题“无法启动调试,没有正确安装调试器,请运行安装程序或 ...
- EasyUI form ajax submit到MVC后,在IE下提示下载内容的解决办法
问题描述: 项目环境为,.Net Mvc5+EF6……前端框架使用的是EasyUI v1.4.4. 在视图页面中,使用form的submit方法提交表单数据时,如果是使用IE的话,请求成功后IE会提示 ...
- 关于asp.net执行exe程序时权限不够的解决办法(2015.04.17更新)
一,本文背景 长话短说:asp.net项目中需要用到PDF转换成SWF文件,用户上传后自动调用pdf2swf.exe转换. 但有个问题,执行时权限不够,导致一直报错(滚动条一直在往下滚,刷屏中),见下 ...
- 【转】【JLINK下载失败,STLINK下载失败万能解决方案】JLINK和STLINK都无法下载时的解决办法,此时芯片并没有报废
很多时候都会认为这个板子无法下载了,其实不是的,有解决办法. 原因如下: 由于客户设置的晶振频率和PLL配置错误时,就会出现这种问题,下载一次程序锁住一次板子,搞的人痛不欲生. 还有错误的外设配置,S ...
- python安装pymssql等包时出现microsoft visual c++ 14.0 is required问题无需下载visualcppbuildtools的解决办法
如题,在练习python安装一些包时,出现了microsoft visual c++ 14.0 is required问题.网上有很多资料:一是下载对应的.whl文件,然后pip install安装: ...
- SDK Manager.exe 无法启动,一闪而过的解决办法
删掉 C:\Windows\system32\ 下的 java.exe.javaw.exe.javaws.exe 即可解决.(转载)
随机推荐
- python 2.x 与3.x的区别
下载了点python的电子书,有基于3.x的有基于2.x的让我不知道看哪些好,BD一下差别着实很大有木有?print语句变成了函数有木有?之后都得加括号了有木有? 别人整理的成果,我就无耻地搬来借用啦 ...
- 开玩笑html5(五岁以下儿童)---绕地球月球,地球绕太阳运动(canvas实现,同样可以移动哦)
请珍惜劳动小编成果,这篇文章是原来小编,转载请注明出处. 速度的參数与真实速度有点差距.大家能够自行调整 <!DOCTYPE html> <html> <head> ...
- nsis 固定到任务栏
nsis 固定到任务栏 win7以上有效 Name "测试" OutFile "test.exe" Section CreateShortCut "$ ...
- HTML5中类jQuery选择器querySelector的高级使用 document.querySelectorAll.bind(document);
基本用法 querySelector 该方法返回满足条件的单个元素.按照深度优先和先序遍历的原则使用参数提供的CSS选择器在DOM进行查找,返回第一个满足条件的元素. ----> querySe ...
- Codeforces 480C Riding in a Lift dp
主题链接:点击打开链接 意甲冠军: 特定 n a b k 构造一个长度k该序列. 使得序列中 对于随意两个相邻的数 | w[i-1] - w[i] | < | w[i] - b | 且第一个数 ...
- Behavioral模式之Observer模式
1.意图 定义对象间的一种一对多的依赖关系,当一个对象的状态发生改变时,全部依赖于它的对象都得到通知并被自己主动更新. 2.别名 依赖(dependents).公布-订阅(Publish-Subscr ...
- android学习记录(三)百度地图错误---只有一个电话显示帧,没有地图内容。
安卓开发新手百度地图,刚开始碰到一个问题,没有地图信息,还有就是它只有一帧. 如图所示: 上网寻找说是key的问题,然后又一次申请.还是不行. 最后再次看了自己的Manifest文件,发现自己的< ...
- JNLP(Java Web Start )(转)
JNLP(Java Network Launching Protocol )是java提供的一种可以通过浏览器直接执行java应用程序的途径,它使你可以直接通过一个网页上的url连接打开一个java应 ...
- springmvc集成Ueditor插件实现图片上传2、
一.下载Ueditor插件. 地址:http://ueditor.baidu.com/website/download.html 二.环境搭建. 具体可以参看http://fex.baidu.com/ ...
- seaJs组建库
seaJs组建库的使用 原文地址:seaJs学习笔记2 – seaJs组建库的使用 我觉得学习新东西并不是会使用它就够了的,会使用仅仅代表你看懂了,理解了,二不代表你深入了,彻悟了它的精髓. 所以 ...