运行样本..
释放文件
C:WINDOWSsystemlogo_1.exe
C:WINDOWSsystemSYSTEM32.vxd
C:WINDOWSsystemSYSTEM32.dat
每个盘根目录下生成
X:go.exe
X:autorun.inf
写入注册表
[HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun]
"ntaskldr"="C:WINDOWSsystemlogo_1.exe"
[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun]
"ntaskldr"="C:WINDOWSsystemlogo_1.exe"
最恶心的部分介绍下..
logo_1.exe 运行后 调用 cmd.exe 执行命令 cmd.exe /c dir X:*.exe /s /b >>C:WINDOWSsystemSYSTEM32.vxd.dat
X为某个盘..
运行命令后感染X盘里的所有 .exe 文件...
感染后还会释放一个同名文件后辍为 .exe.tmp
system volume information
recycled
这俩个文件夹内的.exe文件..感染后释放的同名文件后辍为 .exe.dat
如果中毒的电脑打开 我的电脑 时.. logo_1.exe 会连网下载⒏个木马程序..
分别为:
C:WINDOWSsystemjwm.exe
C:WINDOWSsystemmhh.exe
C:WINDOWSsystemztd.exe
C:WINDOWSsystemmir.exe
C:WINDOWSsystemwo3.exe
C:WINDOWSsystemienet.exe
C:WINDOWSsystemwol.exe
C:WINDOWSsystemwll.exe
被感染的文件..头部写入: 19,738 字节 尾部写入:5 字节
地址=00407F80
反汇编=MOV EDX,2_.0040847C
文本字串=瑞星 卡巴 金山 诺盾 爱老虎油!!!!!!
作者留下的..
作者:mopery
清除指南:
1. 杀毒前关闭系统还原(Win2000系统可以忽略):右键 我的电脑 ,属性,系统还原,在所有驱动器上关闭系统还原 打勾即可。
清除IE的临时文件:打开IE 点工具-->Internet选项 : Internet临时文件,点“删除文件”按钮 ,将 删除所有脱机内容 打勾,点确定删除。
2.用强制删除工具 PowerRMV
分别填入下面的文件(包括完整的路径) ,勾选“抑止杀灭对象再次生成”,点杀灭
C:WINDOWSsystemlogo_1.exe
C:WINDOWSsystemSYSTEM32.vxd
C:WINDOWSsystemSYSTEM32.dat
C:WINDOWSsystemjwm.exe
C:WINDOWSsystemmhh.exe
C:WINDOWSsystemztd.exe
C:WINDOWSsystemmir.exe
C:WINDOWSsystemwo3.exe
C:WINDOWSsystemienet.exe
C:WINDOWSsystemwol.exe
C:WINDOWSsystemwll.exe
C:Autorun.inf
C:go.exe
D:Autorun.inf
D:go.exe
E:Autorun.inf
E:go.exe
F:Autorun.inf
F:go.exe
如果还有G H盘等依次输入
G:autorun.inf
G:go.exe 等。不再赘述。
重启计算机 然后再进入安全模式执行如下的操作
--------------------------------------------------------------
以下的操作都要求安全模式下进行。
[安全模式?重启电脑时按住F8 选择进入安全模式]
--------------------------------------------------------------
3. 用工具 SREng 删除如下各项
【如下操作有风险,必须看懂上面的方法再操作。】
启动项目 -->注册表 的如下项
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
<ntaskldr><C:WINDOWSsystemlogo_1.exe> [N/A]
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun]
<ntaskldr><C:WINDOWSsystemlogo_1.exe> [N/A]
4、EXE被感染的文件的专杀(修复)工具制作中,将第一时间发布。
请收藏本网址,以备查看。