关于WIN32.EXE变态木马下载器的解决办法

一、WIN32.EXE的来源:http://fdghewrtewrtyrew.biz/adv/130/win32.exe 
二、运行后的表现:此WIN32.EXE通过80和8080端口访问若干个IP,若防火墙不能监测到或令防火墙允许该访问,WIN32.EXE会自动下载木马Kernels8.exe到system32目录下;Kernels8.exe自网络下载1.dlb、2.dlb.....等一堆木马到当前用户文件夹中,并自动运行。下载的木马加载运行后,又从网络上下载其它木马/蠕虫。

木马/蠕虫完全下载并植入系统后,SREng日志可见:

启动项目 
注册表 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] 
<Windows update loader><C:\Windows\xpupdate.exe> [N/A] 
<UpdateService><C:\windows\system32\wservice.exe> [N/A] 
<taskdir><C:\windows\system32\taskdir.exe> [N/A] 
<_mzu_stonedrv3><C:\windows\system32\_mzu_stonedrv3.exe> [N/A] 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] 
<System><C:\windows\system32\testtestt.exe> [N/A] 
<UpdateService><C:\windows\system32\wservice.exe> [N/A] 
<spoolsvv><C:\windows\system32\spoolsvv.exe> [N/A] 
<adir><C:\windows\system32\adirss.exe> [N/A] 
<_mzu_stonedrv3><C:\windows\system32\_mzu_stonedrv3.exe> [N/A] 
<30><C:\windows\system32\30.tmp> [N/A] 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] 
<SystemTools><C:\windows\system32\testtestt.exe> [N/A] 
<_mzu_stonedrv3><C:\windows\system32\_mzu_stonedrv3.exe> [N/A] 
<30><C:\windows\system32\30.tmp> [N/A] 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] 
<sqPIftjYG><C:\windows\system32\rflbg.dll> [N/A] 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rpcc] 
<WinlogonNotify: rpcc><C:\windows\system32\rpcc.dll> [N/A] 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winsys2freg] 
<WinlogonNotify: winsys2freg><C:\Documents and Settings\All Users\Documents\Settings\winsys2f.dll> [N/A] 
================================== 
正在运行的进程 
[PID: 584][\??\C:\windows\system32\winlogon.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] 
[C:\Documents and Settings\All Users\Documents\Settings\winsys2f.dll] [N/A, N/A]  
[PID: 1584][C:\windows\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)] 
[C:\windows\system32\rflbg.dll] [N/A, N/A] 
================================== 
HOSTS 文件 
127.0.0.1 avp.com 
127.0.0.1 ca.com 
127.0.0.1 f-secure.com 
127.0.0.1 housecall.trendmicro.com 
127.0.0.1 kaspersky.com 
127.0.0.1 mcafee.com 
127.0.0.1 my-etrust.com 
127.0.0.1 nai.com 
127.0.0.1 networkassociates.com 
127.0.0.1 secure.nai.com 
127.0.0.1 securityresponse.symantec.com 
127.0.0.1 sophos.com 
127.0.0.1 symantec.com 
127.0.0.1 trendmicro.com 
127.0.0.1 us.mcafee.com 
127.0.0.1 v4.windowsupdate.microsoft.com 
127.0.0.1 v5.windowsupdate.microsoft.com 
127.0.0.1 v5windowsupdate.microsoft.nsatc.net 
127.0.0.1 viruslist.com 
127.0.0.1 windowsupdate.com 
127.0.0.1 windowsupdate.microsoft.com 
127.0.0.1 www.avp.com 
127.0.0.1 www.bitdefender.com 
127.0.0.1 www.ca.com 
127.0.0.1 www.f-secure.com 
127.0.0.1 www.kaspersky.com 
127.0.0.1 www.mcafee.com 
127.0.0.1 www.my-etrust.com 
127.0.0.1 www.nai.com 
127.0.0.1 www.networkassociates.com 
127.0.0.1 www.pandasoftware.com 
127.0.0.1 www.ravantivirus.com 
127.0.0.1 www.sophos.com 
127.0.0.1 www.symantec.com 
127.0.0.1 www.trendmicro.com 
127.0.0.1 www.viruslist.com 
127.0.0.1 www.windowsupdate.com 
127.0.0.1 www3.ca.com 
127.0.0.1 downloads1.kaspersky-labs.com 
127.0.0.1 downloads2.kaspersky-labs.com 
127.0.0.1 downloads3.kaspersky-labs.com 
127.0.0.1 downloads4.kaspersky-labs.com 
127.0.0.1 downloads-us1.kaspersky-labs.com 
127.0.0.1 downloads-eu1.kaspersky-labs.com 
127.0.0.1 kaspersky-labs.com 
127.0.0.1 mast.mcafee.com 
127.0.0.1 dispatch.mcafee.com 
127.0.0.1 update.symantec.com 
127.0.0.1 liveupdate.symantec.com 
127.0.0.1 customer.symantec.com 
127.0.0.1 rads.mcafee.com 
127.0.0.1 liveupdate.symantecliveupdate.com 
127.0.0.1 download.mcafee.com 
127.0.0.1 updates.symantec.com

==================================

HijackThis v1.99.1日志可见:

O4 - HKLM\..\Run: [System] C:\windows\system32\testtestt.exe 
O4 - HKLM\..\Run: [UpdateService] C:\windows\system32\wservice.exe 
O4 - HKLM\..\Run: [spoolsvv] C:\windows\system32\spoolsvv.exe 
O4 - HKLM\..\Run: [adir] C:\windows\system32\adirss.exe 
O4 - HKLM\..\Run: [_mzu_stonedrv3] C:\windows\system32\_mzu_stonedrv3.exe 
O4 - HKLM\..\Run: [30] C:\windows\system32\30.tmp 
O4 - HKLM\..\RunServices: [SystemTools] C:\windows\system32\testtestt.exe 
O4 - HKLM\..\RunServices: [_mzu_stonedrv3] C:\windows\system32\_mzu_stonedrv3.exe 
O4 - HKLM\..\RunServices: [30] C:\windows\system32\30.tmp 
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe 
O4 - HKCU\..\Run: [UpdateService] C:\windows\system32\wservice.exe 
O4 - HKCU\..\Run: [taskdir] C:\windows\system32\taskdir.exe 
O4 - HKCU\..\Run: [_mzu_stonedrv3] C:\windows\system32\_mzu_stonedrv3.exe 
O4 - HKCU\..\Run: [WinMedia] C:\windows\loader622535.exe 
O4 - HKCU\..\Run: [Winstx] C:\windows\loader628714.exe

O20 - Winlogon Notify: rpcc - C:\windows\system32\rpcc.dll 
O20 - Winlogon Notify: winsys2freg - C:\Documents and Settings\All Users\Documents\Settings\winsys2f.dll 
O21 - SSODL: sqPIftjYG - {F4233280-5E89-982A-A244-6D00C3A79C12} - C:\windows\system32\rflbg.dll

其中,C:\Documents and Settings\All Users\Documents\Settings\winsys2f.dll插入winlogon.exe进程。这个.dll处理起来较难。原因在于: 
1、这个dll位于隐藏文件夹中,须用IceSword或WINRAR等工具才能看到。 
2、因为它插入了winlogon.exe进程,这个dll不能直接删除。 
3、不知这堆木马/蠕虫中的哪几个开启了IE进程若干(并无IE窗口打开)。WINDOWS的“任务管理器”被禁;用其它工具,表面上虽可进行结束IE进程的操作,但无论用什么工具结束IE进程后,病毒又试图通过winlogon.exe启动IE进程(SSM可监控到此过程);此时,如果用较低版本的SSM禁止winlogon.exe启动IE进程,则系统崩溃,重启。用最新版本的SSM 2.2.0.595可以禁止winlogon.exe启动IE进程而无副作用。

这堆病毒的处理难点还有: 
1、病毒感染系统时,已经在系统相关目录(有.exe文件的目录)以及系统分区以外的其它分区目录(有.exe文件的目录)下释放了大量.t文件。以后,凡运行相关的.exe时,须先执行这个.t文件;此过程可被SSM监控到,也可被SSM禁止。然而,若用SSM禁止这个.t运行,则你要运行的那个.exe也同样被SSM禁止了。中招后用杀毒软件杀毒就是一个例子(卡巴斯基最新病毒库只能检出其中部分病毒)。一旦允许卡巴斯基目录下的.t运行,kav.exe即被感染(MD5值改变)。收拾干净系统后,我只好卸载卡巴斯基,重新安装。我的Tiny防火墙也是同样下场。为了看全这“西洋景”,我关闭了Tiny。染毒/系统重启后,Tiny自动加载时amon.exe被感染。 
2、如果没有完全禁止所有的病毒程序运行,就在普通WINDOWS模式下删除木马/蠕虫文件,删除操作时会在同一位置生成数目不等的、文件名后缀为.t的文件,文件名为随机排列的8个小写英文字母。

三、我的处理办法: 
1、用最新版SSM2.2结束上述病毒进程,并将其归入blocked组。将SSM设置为“自动运行”。 
2、重启系统。 
3、重启系统后,SSM还报病毒程序试图加载(木马通过SSM安装文件夹中的.t实现启动加载),可用SSM禁止它,并归入blocked组。 
4、删除病毒的加载项(见前面的SREng以及HijackThis日志)。 
5、显示隐藏文件。删除病毒文件(图1-图6)。要删除的病毒文件太多,做为例子,图中显示的只是这堆病毒中的主要文件以及删除病毒文件时生成的部分.t文件(如果将删除到回收站的病毒文件全部显示出来,则需要18张图)。 
染毒后生成的.t文件的多寡目及分布范围取决于(1)系统启动时加载运行的程序数目;(2)染毒后未处理干净前在WINDOWS下操作步骤的多寡;(3)系统分区以外的其它分区各目录下的文件夹中是否包含.exe文件(文件夹中若不包含.exe文件,则无病毒.t文件生成)。 
6、修复HOSTS文件。 
7、卸载、重新安装被感染的应用程序(MD5值改变的那些)。

图1

时间: 2024-08-01 14:50:46

关于WIN32.EXE变态木马下载器的解决办法的相关文章

VS2003"无法启动调试 没有正确安装调试器"的解决办法

VS2003"无法启动调试 没有正确安装调试器"的解决方法 在用VS2003做项目的时候,经常调试程序,但是有时候回出现如下问题"无法启动调试,没有正确安装调试器,请运行安装程序或修复调试器".第一次碰到还以为是运气不好,就重新用vs2003安装程序重新修复了这个工具,可以使用了.但是运行了一段时间又出现了如上这种问题,郁闷了我很久.因为修复一下这个工具要花费很多时间的,于是从网上找了资料,把问题给解决了. 主要原因:大部分问题都是因为,mdm被损坏了导致的. 解决

STM32使用cube生成的程序后在keil5编译后首次SWD可以下载再次下载不行的解决办法。

使用cube配置导出工程在keil5编译后首次SWD下载可以再次下载不行的解决办法. 1原因: cube使用的是HAL库,初始化语句里面禁用了调试功能. 在stm32f1xx_hal_msp.c中 __HAL_AFIO_REMAP_SWJ_DISABLE();  就是这句禁了. 2解决: 在stm32f1xx_hal_msp.c中改为 __HAL_AFIO_REMAP_SWJ_ENABLE();    这句启用调试功能. 下载办法:按住开发板的复位按钮(一直到点击下载)后松开,就可以下载成功.

Android - Studio Gradle下载缓慢的解决办法 (Mac)

Studio Gradle下载缓慢的解决办法 (Mac) 本文地址: http://blog.csdn.net/caroline_wendy 时间:2014.10.31 Android Studio 升级版本之后,gradle经常需要其他版本,完成App架构. 如果使用默认下载非常缓慢,即使VPN也无法提高. 可以直接把下载好的gradle压缩文件拷贝进下载目录,隐藏目录使用"ls -a"查看: /Users/wangchenlong/.gradle/wrapper/dists/gra

Visual Studio 2003“无法启动调试 没有正确安装调试器“请修复调试器的解决办法

在用VS2003做项目的时候,经常调试程序,但是有时候回出现如下问题"无法启动调试,没有正确安装调试器,请运行安装程序或修复调试器".第一次碰到还以为是运气不好,就重新用vs2003安装程序重新修复了这个工具,可以使用了.但是运行了一段时间又出现了如上这种问题,郁闷了我很久.因为修复一下这个工具要花费很多时间的,于是从网上找了资料,把问题给解决了. 主要原因:大部分问题都是因为,mdm被损坏了导致的. 解决办法: 先查看本地服务(在运行处输入:services.msc 命令启动)是否有

Jquery form.js文件上传返回JSON数据,在IE下提示下载文件的解决办法,并对返回数据进行正确的解析

Jquery from.js插件上传文件非常方便,但是在ie10以下的版本会弹出下载文件对话框 解决方法: 1.在服务端设置response.setContentType("text/plain"); 2.对返回数据正确解析                这时返回的数据不再是json,不能使用解析json的方法进行解析                       var data1=eval("(" + data+ ")");  //将返回的字符

git代码冲突,导致分支pull下载不了解决办法?

开发找我说git的自动化上线用不了了,使用git下载分支然后报错如下: git pull origin shk-master From ssh://git.ihangmei.com:65022/H5-web/portal_train  * branch            shk-master -> FETCH_HEAD *** Please tell me who you are. Run   git config --global user.email "[email protect

关于asp.net执行exe程序时权限不够的解决办法

一,本文背景 长话短说:asp.net项目中需要用到PDF转换成SWF文件,用户上传后自动调用pdf2swf.exe转换. 但有个问题,执行时权限不够,导致一直报错(滚动条一直在往下滚,刷屏中),见下图 二,解决办法 百度了一堆答案,很多说是要改IIS执行环境的,但我的情况不是这样,因为我是在VS中执行的,还没部署就已经出现错误了. 出去上了个厕所,回来无意中把进度的执行目录改成了pdf2swf.exe所在的目录,竟然一下子好了,(见下图) 其中 pdf2FlashPath 就是 pdf2swf

python安装pymssql等包时出现microsoft visual c++ 14.0 is required问题无需下载visualcppbuildtools的解决办法

如题,在练习python安装一些包时,出现了microsoft visual c++ 14.0 is required问题.网上有很多资料:一是下载对应的.whl文件,然后pip install安装:二是下载安装一个visualcppbuildtools+full.exe安装程序(其实就是安装VS工具).第一种方法在我的电脑上没有成功,第二种方法看起来就是麻烦不断,而且我电脑本身已经安装了vs2015,安装程序竟然要求我卸载以前的版本,直接忽略! 下面提供一个无需下载VS工具的方法: 1.下载对

HTML 感染 DropFileName = “svchost.exe” Ramnit 蠕虫病毒 查杀解决办法

参考: https://www.cnblogs.com/wuhairui/p/8297614.htmlhttp://www.guopingblog.com/post/100.html 最近发现vps流量疯长 看了下统计 也没看到网站有大流量,查看源码才发现网页被添加了一段很长的js 内容大概是这样 <SCRIPT  Language=VBScript> DropFileName = “svchost.exe” WriteData = “4D5A0000200000000400000F00FFF