RSS订阅
服安最新信息资讯
- 卡巴斯基挡不住 手工来清除
- 病毒喜欢伪装成的一些常用程序
- 病毒进化进入驱动级 与杀毒软件争
- 盗号木马新“突破” 酷狮子攻破魔
- 美评选出25年八大计算机病毒排行
- 最新nod32升级id nod32升级序列号
服安资讯热点推荐
- 如何查杀未知病毒
- 安装NOD32后图标不显示的解决办法
- 五步远离机器狗病毒侵扰
- 美评选出25年八大计算机病毒排行
- 系统安全模式下另类查杀病毒方法
- 用Nod32在安全模式下查杀病毒
- 详细ESET NOD32安全套装设置教程
- 40个免费在线杀毒网站集锦
- 反病毒技巧:针对插入式木马的清除
- 邮件病毒入侵后清除步骤与正确查
- 服安专家教你六个步骤防范ARP病毒
- 另类方法查杀自我保护性强的顽固
- Windows系统安全模式下另类查杀病毒
- 穿透冰点5.7--6.2机器狗病毒解决办法
- 需要解压缩后删除的病毒该怎么杀
- 禁用U盘自动播放 打倒“磁碟机”!
- ARP病毒专杀工具以及ARP病毒入侵原
- 使用ARP防火墙查杀ARP病毒的防御措
服安资讯阅览排行
- 瑞星杀毒软件免费下载
- Win32/TrojanDownloader.Ani.Gen 病毒查杀方
- IO.pif新变种分析及查杀方案
- 40个免费在线杀毒网站集锦
- U盘病毒查杀专用工具 USBCleaner 6.0
- infostealer.Gampass 清除方法
- 穿透冰点5.7--6.2机器狗病毒解决办法
- ARP病毒专杀工具以及ARP病毒入侵原
- 最新nod32升级id nod32升级序列号
- 盗号木马新“突破” 酷狮子攻破魔
- 金刚大战机器狗 机房机器狗病毒清
- 电脑菜鸟必备 三步轻松查杀病毒、
- 巧抓罪魁ARP病毒 局域网不再频繁断
- 美评选出25年八大计算机病毒排行
- 瑞星杀毒软件2008免费下载|升级包下
- 病毒进化进入驱动级 与杀毒软件争
信息安全法律法规
- 信息安全等级保护管理办法
- 广东省计算机信息系统安全保护条
- 中国国家信息安全等级保护制度开
- 欧盟网络和信息安全法律规制及其
- 互联网电子公告服务管理规定
- 互联网上网服务营业场所管理条例
- 浪潮服务器安全技术要求成为国家
- 计算机信息网络国际联网安全保护
服务器安全技术资讯
- 深入挖掘Oracle内部SQL注入
- 什么是MPLS中的FEC?
- 如何让域控DC的AD更加安全
- 实例:Linux中如何查看服务及监听端
- 服务器安全检查十大要素
- 什么叫0day?0day是什么?
- Windows 2003下如何提高FSO安全性
- 计算机网络安全的六大指标详述
服安解决方案
IO.pif新变种分析及查杀方案
来源:中国服务器安全网 时间:2007-09-28 作者: 点击:次 责任编辑:Flyfox
TAG:
IO.pi
f新变种分析
查杀方案
服务器安全应急处理中心:让您的服务器更安全! 进入安全讨论社区
IO.pif新变种分析及查杀方案
File: IO.pif
Size: 19456 bytes
MD5: 90C509FA6A6C2FA798DBE1CFD7F0E4F1
SHA1: DBF721F48369CFBB2B88D0F5D707924A7FE185EC
CRC32: 9822E714
生成如下文件:
| %Program Files%\Common Files\Services\svchost.exe %system32%\DirectX10.dll |
在每个分区下面生成一个autorun.inf和IO.pif
达到通过U盘等移动存储传播的目的
调用Cmd利用net stop命令停止以下服务
| mcshield Norton Antivirus Auto Protect Service Windows Firewall/Internet Connection Sharing (ICS) System Restore Service |
结束如下进程
|
regedit.exe 噬菌体 木马克星 WoptiClean.exe EGHOST.exe Iparmor.exe MAILMON.EXE KAVPFW.exe RogueCleaner.exe
|
顺序查找以下注册表键值
| ?.S-1-5-21-1801674531-1645522239-725345543-1003\Software\JetCar\JetCar\General的AppPath键值 SOFTWARE\Thunder Network\ThunderOem\thunder_backwnd里面的Path键值 ?.Software\Microsoft\Windows\CurrentVersion\App Paths\MSMSGS.EXE ?.Software\Microsoft\Windows\CurrentVersion\App Paths\IEXPLORE.EXE ?.Software\TENCENT\PLATFORM_TYPE_LIST\1 的TypePath键值 |
以分别获得网际快车,迅雷,MSN,IE,QQ的安装路径
如果查找到了那么即启动相应的文件
(查找方式为顺序查找,如果查找到安装了网际快车,则启动网际快车,不再往下查找)
启动相应的文件以后把自身注入到该进程空间之中,连接网络,下载木马。
http://*.cn/hz/1.exe~http://*.cn/hz/20.exe
到%Program Files%\Internet Explorer\PLUGINS下面
命名为随机8位字母和数字组合。
木马植入完毕以后主要生成如下文件(包括但不限于)
| %Program Files%\Internet Explorer\PLUGINS\SysWin64.Jmp %Program Files%\Internet Explorer\PLUGINS\WinSys64.Sys %Program Files%\NetMeeting\avpms.dat %Program Files%\NetMeeting\avpms.exe %Program Files%\NetMeeting\rav*mon.dat(*为随机两位字母) %Program Files%\NetMeeting\rav*mon.exe(*为随机两位字母) %systemroot%\ifc222.dll %systemroot%\qiji.dll %systemroot%\rx.dll %systemroot%\sourro.exe %systemroot%\winlogor.exe %systemroot%\Winnt.exe %SystemRoot%\intent.exe |
以及以下这些随机7位字母组合文件名的一些盗号木马
%system32%\avwlain.dll
%system32%\avwlamn.dll
%system32%\avwlast.exe
%system32%\avzxain.dll
%system32%\avzxamn.dll
%system32%\avzxast.exe
%system32%\kaqhacs.dll
%system32%\kaqhcaz.exe
%system32%\kaqhczy.dll
%system32%\kvdxacf.dll
%system32%\kvdxbis.exe
%system32%\kvdxbma.dll
%system32%\kvmxacf.dll
%system32%\kvmxcis.exe
%system32%\kvmxcma.dll
%system32%\rsjzafg.dll
%system32%\rsjzapm.dll
%system32%\rsjzasp.exe
%system32%\rsmyafg.dll
%system32%\rsmyapm.dll
%system32%\rsmyasp.exe
大话西游II
魔域
完美世界
机战
华夏
魔兽世界
问道
征途
热血江湖
奇迹世界
下载的木马有禁止自动更新和微软的防火墙的作用
并且会把时间修改成2099年1月1日
sreng日志反映如下:
启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<w><%SystemRoot%\WinRaR.exe> [N/A]
<wm><%SystemRoot%\winlogor.exe> []
<wl><%SystemRoot%\intent.exe> [N/A]
<mm><%SystemRoot%\sourro.exe> []
<zx><%SystemRoot%\winadr.exe> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<ravztmon><C:\Program Files\NetMeeting\ravztmon.exe> []
<avpms><C:\Program Files\NetMeeting\avpms.exe> []
<ravwdmon><C:\Program Files\NetMeeting\ravwdmon.exe> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{1E32FA58-3453-FA2D-BC49-F340348ACCE1}><C:\WINDOWS\system32\rsmyapm.dll> []
<{2C87A354-ABC3-DEDE-FF33-3213FD7447C2}><C:\WINDOWS\system32\kvdxbma.dll> []
<{3D47B341-43DF-4563-753F-345FFA3157D3}><C:\WINDOWS\system32\kvmxcma.dll> []
<{1960356A-458E-DE24-BD50-268F589A56A1}><C:\WINDOWS\system32\avwlamn.dll> []
<{12FAACDE-34DA-CCD4-AB4D-DA34485A3421}><C:\WINDOWS\system32\rsjzapm.dll> []
<{1859245F-345D-BC13-AC4F-145D47DA34F1}><C:\WINDOWS\system32\avzxamn.dll> []
<{37D81718-1314-5200-2597-587901018073}><C:\WINDOWS\system32\kaqhczy.dll> []
==================================
上一篇:瑞星杀毒软件免费下载 下一篇:没有了
正在运行的进程
[PID: *][C:\WINDOWS\Explorer.EXE]
[C:\WINDOWS\system32\avwlamn.dll] [N/A, ]
[C:\WINDOWS\system32\rsmyapm.dll] [N/A, ]
[C:\WINDOWS\system32\kvdxbma.dll] [N/A, ]
[C:\WINDOWS\system32\kvmxcma.dll] [N/A, ]
[C:\WINDOWS\system32\rsjzapm.dll] [N/A, ]
[C:\WINDOWS\system32\avzxamn.dll] [N/A, ]
服务器安全资讯网(Fuancn.CN)登载此文仅为传递更多信息之目的,并不意味着赞同其观点或证实其描述。
相关文章列表
相关图片列表
