首页    新闻    下载    文档    论坛     最新漏洞    黑客教程    数据库    搜索    小榕软件实验室怀旧版    星际争霸WEB版    最新IP准确查询   
名称: 密码:      忘记密码  马上注册
安全知识 :: 专题文章

“禽兽病毒”新变种nx.exe systom.exe 的分析及专杀方案


http://www.gipsky.com/
作者:清新阳光 ( http://hi.baidu.com/newcenturysun)

日期:2007/10/19 (转载请保留此申明)



最近接到一些网友反映中了U盘病毒nx.exe,今天拿到了样本,发现他就是原来的禽兽病毒的变种,分析和查杀方法如下:



File: nx.exe

Size: 28160 bytes

Modified: 2007年10月15日, 23:05:30

MD5: 3C35C8AEC2D8DAA9ECDC026C2600141A

SHA1: C230D86618F3D6758E30F4933225A93C3E705DF2

CRC32: C6E542DB



技术细节:

1.病毒运行后,释放如下副本:

%systemroot%\system32\Systom.exe

在每个分区下面生成autorun.inf 和nx.exe



2.调用reg.exe进行如下操作:



添加自身启动项目

ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /V crsss /T REG_SZ /D



禁用windows自动更新

add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate /v DisableWindowsUpdateAccess /t REG_dword /d 00000001 /f

禁用任务治理器

add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_dword /d 00000001 /f

破坏显示隐藏文件

将HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL 的值设置为0

add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN /v Text /t REG_SZ /d 显示所有文件和文件夹 /f

add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN /v CheckedValue /t REG_dword /d 00000002 /



破坏安全模式

delete HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} /f

delete HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} /f

delete HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} /f

delete HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} /f



3.向HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\下面添加如下映像劫持项目指向%systemroot%\system32\Systom.exe(篇幅所限,仅贴图示意)

[img width=500]http://www.neeao.com/blog/attachments/200710/20_100529_1.jpg[/img]http://www.neeao.com/blog/attachments/200710/20_100529_1.jpg" onload="(script removed)DrawImage(this);" />

4.遍历各个分区删除.GHO文件

5.感染各个分区的INDEX.ASP,.HTM,INDEX.PHP,DEFAULT.ASP,DEFAULT.PHP,CONN.ASP文件

6.连接http://www.88baobaomm.bj.cn/tj.asp做感染统计

7.读取http://www.88baobaomm.bj.cn1.txt~http://www.88baobaomm.bj.cn3.txt中的内容 进行下载木马,锁定主页或者根据文本文档中的内容关闭指定窗口等破坏操作。

但所有链接已失效。

8.病毒体内有字样“niux”

清除办法:

一、清除病毒主程序

下载冰刃 http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip

sreng http://download.kztechs.com/files/sreng2.zip

1.解压IceSword122cn.zip把Icesword.exe改名为1.com

运行 切换到进程窗口

结束%systemroot%\system32\Systom.exe进程

[img width=500]http://www.neeao.com/blog/attachments/200710/20_100548_2.jpg[/img]http://www.neeao.com/blog/attachments/200710/20_100548_2.jpg" onload="(script removed)DrawImage(this);" />

2.点击左下角文件按钮 删除如下文件

%systemroot%\system32\Systom.exe

和每个分区下的nx.exe和autorun.inf

[img width=500]http://www.neeao.com/blog/attachments/200710/20_100603_3.jpg[/img]http://www.neeao.com/blog/attachments/200710/20_100603_3.jpg" onload="(script removed)DrawImage(this);" />

二、修复被病毒破坏的系统

1.打开sreng

启动项目 注册表

删除所有红色的IFEO映像劫持项目

并删除[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]下的

<crsss><C:\WINDOWS\system32\Systom.exe> []

2.还是sreng中

系统修复-Windows Shell/IE

勾选如下项目

答应在Windows 2000/XP/Server 2003中使用任务治理器

然后点击修复

3.sreng中

系统修复-高级修复

修复安全模式

4.找一台未被感染病毒的与中毒电脑系统相同的电脑导出未中毒电脑的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Explorer\Advanced\Folder\Hidden整个键的内容

并在中毒电脑中导入

XP系统可以把下列文字拷入记事本 然后重命名为1.reg

双击导入注册表即可

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden]

"Text"="@shell32.dll,-30499"

"Type"="group"

"Bitmap"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\

00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53,00,\

48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,34,00,00,\

00

"HelpID"="shell.hlp#51131"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]

"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"

"Text"="@shell32.dll,-30501"

"Type"="radio"

"CheckedValue"=dword:00000002

"ValueName"="Hidden"

"DefaultValue"=dword:00000002

"HKeyRoot"=dword:80000001

"HelpID"="shell.hlp#51104"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"

"Text"="@shell32.dll,-30500"

"Type"="radio"

"CheckedValue"=dword:00000001

"ValueName"="Hidden"

"DefaultValue"=dword:00000002

"HKeyRoot"=dword:80000001

"HelpID"="shell.hlp#51105"

由于测试样本的下载链接已失效,所以无法分析其下载的木马的查杀。
<< Microsoft Windows XP/2003 secdrv.sys 0day权限提升漏洞 配合XSS工具SessionIE的php脚本 >>
评分
10987654321
API:
gipsky.com& 安信网络
网友个人意见,不代表本站立场。对于发言内容,由发表者自负责任。

系统导航

 

Copyright © 2001-2010 安信网络. All Rights Reserved
京ICP备14013333号-8