挖到进程会隐身的病毒文件Update.exe（第1版）

endurer原创

2005.12.2第1版

以前在一些朋友发的HijackThis发现过这个东东的启动项。

今天在一位网友的电脑上，抓到了这个东东的文件。

HijackThis扫描的LOG为：

Logfile of HijackThis v1.99.1

Scan saved at 17:27:26, on 2005-12-21

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\KAV6\KWatch.EXE

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Common Files\Real\Update_OB\realsched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\KAV6\KPfwSvc.EXE

C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Common Files\SAN\diskman.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\conime.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\WINDOWS\system32\dllcache\msconfig.exe

C:\Program Files\WinRAR\WinRAR.exe

F:\TOOLS\HijackThis.exe

O2 - BHO: std software - {6A512BF7-EC78-4e8d-9841-6C02E8FA9838} - C:\WINDOWS\SYSTEM32\stdup.dll

O4 - HKLM\..\Run: [Update] C:\WINDOWS\system32\Update.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O9 - Extra button: (no name) - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra 'Tools' menuitem: MMSAssist工具条设置 - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:\WINDOWS\system32\shdocvw.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{088BD62C-53AD-4F5F-A8D6-26C35D3CE233}: NameServer = 202.103.224.68,202.103.225.68

O17 - HKLM\System\CS1\Services\Tcpip\..\{088BD62C-53AD-4F5F-A8D6-26C35D3CE233}: NameServer = 202.103.224.68,202.103.225.68

O17 - HKLM\System\CS2\Services\Tcpip\..\{088BD62C-53AD-4F5F-A8D6-26C35D3CE233}: NameServer = 202.103.224.68,202.103.225.68

O23 - Service: Kingsoft Personal Firewall Service (KPfwSvc) - Kingsoft Corporation - C:\KAV6\KPfwSvc.EXE

O23 - Service: Kingsoft Antivirus KWatch Service (KWatchSvc) - Kingsoft Corporation - C:\KAV6\KWatch.EXE

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: Universal Disk Manager - Unknown owner - C:\Program Files\Common Files\SAN\diskman.exe

注意：LOG中的进程列表中没有C:\WINDOWS\system32\Update.exe，在Windows的任务管理器中也看不到名为Update.exe的进程。

不过在IceSword中可以看到C:\WINDOWS\system32\Update.exe。

《您可以到http://endurer.ys168.com 的 tools＼在系统分析和修复 里下载到IceSword。》

把此电脑上的金山毒霸升级到最新版本，再扫描C:\WINDOWS\system32\Update.exe此文件，没有反应。

多引擎扫描上传文件1 http://virusscan.jotti.org/扫描的结果：

File:

update.exe

Status:

INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)

MD5

54f60d32855b1d26f57de353936fde62

Packers detected:

-

Scanner results

AntiVir

Found Trojan/Dldr.QQHelpe.c.1

ArcaVir

Found Trojan.Downloader.Qqhelper.H

Avast

Found nothing

AVG Antivirus

Found Downloader.Generic.NDM

BitDefender

Found nothing

ClamAV

Found Trojan.Downloader.Agent-208

Dr.Web

Found Trojan.StartPage.1178

F-Prot Antivirus

Found nothing

Fortinet

Found Dloader.AD!tr

Kaspersky Anti-Virus

Found Trojan-Downloader.Win32.QQHelper.h

NOD32

Found nothing

Norman Virus Control

Found nothing

UNA

Found nothing

VBA32

Found Trojan-Downloader.Win32.QQHelper.h

因为时间关系，此病毒的一些相关文件还没有挖完。

• ·给出一个表达式以及表达式里面所有变量的值。求出
• ·全静态生成的CMS系统
• ·oracle中如何删除重复数据
• ·无权运行 CDONTS 应用程序
• ·CVSNT使用中的问题 --------
• ·又杀了一批病毒（第2版）
• ·味精使用七禁忌 用法不当损健康 生活_美丽顾问
• ·亲密爱侣常做7个健康互动 生活_美丽顾问
• ·吃坚果延寿！各国专家经验 让你多活22年 生活
• ·某政府网站被加入自动下载病毒文件的代码（第2版