0
2007/10/21 
10:44 
665
“梦中情人sbl”病毒sbl.exe新变种的分析
从生成的文件和病毒体内发现了病毒作者的对于某个女孩的仰慕之情,因此起名“梦中情人sbl”病毒。并且该病毒应该与最近疯狂流行的QQ尾巴病毒“极速工作室”有关。
File: sbl.exe
Size: 22891 bytes
Modified: 2007年10月19日, 14:26:41
MD5: 834875D1CF0EF17EE99EBC9FF21D7E21
SHA1: E980D6662A586134C5585B01C0197B9570E40849
CRC32: 03DC4D4A
技术细节:
1、释放病毒副本:
%systemroot%\system32\1.inf
%systemroot%\system32\dream.exe
%systemroot%\system32\plmmsbl.dll
各个分区释放autorun.inf和sbl.exe
%systemroot%\system32\1.inf与autorun.inf内容相同
病毒现象:
各磁盘发区发现图标为蘑菇的病毒文件,运行时该程序的标题栏显示为金山网镖。
蘑菇样本的简单分析以及处理意见
病毒行为:
病毒修改注册表并开机弹出“我的文档”:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\winlogon /shell
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\run / server
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\run /explorer
各个盘符下生成:
Autorun.inf
[X:\]
[AutoRun]
open=explorer.exe
shellexecute=explorer.exe
shell\Auto\command=explorer.exe
shell=Auto
释放并修改文件关联到%systemroot%\system32\explorer.exe
修改了以下格式文件关联:*.exe *.ini *.inf *.txt
如题,在我的C盘WINDOWS根目录下多了一个MDM.EXE文件,每次删除之后会自动生成,并产生一个名为SVCHOST的进程,而且自从中了这个以后,我的所有文件夹都不可见了,即使在设置中选择"显示所有文件和文件夹",关掉"隐藏受保护的系统文件"也没用.这是怎么回事?
这个病毒我昨天遇倒了!最后问题解决了(当然不是格式化硬盘哈)
中了这个病毒以后,在各个分区的根目录下会生成两个文件,分别是autorun.inf 和ravmon.exe(这个文件比较大的)并且属性为隐藏属性,且在c:\windows下会生成MDM.exe 和svchost.exe,svchost.ini,(有些在c:\windows\system32下会生成一个skvp.sys的文件)同时,会在启动项里添加自启动和添加成系统服务实现自启动.并在注册表里写入至少3个键值!
此时你的计算机有可能"显示所有文件选项"无效(我的电脑就是这样了),好了现在说说清除的方法:
首先要把进程svchost.exe结束(一定要先把SVCHOST.EXE进程结束,不结束的话,你删除注册表的键值或者启动项里的键值在不到一分钟后会自动恢复的)。然后就可以进入命令提示符(“开始”菜单的“程序”-->“附件”-->“命令提示符”),然后运行下面的命令
cd c:\windows
然后attrib c:\windows\svchost.exe -r -h -a -s然后del c:\windows\svchost.exe /f/q/a/s
然后attrib c:\windows\svhost.ini -r -h -a -s 然后del c:\windows\svchost.ini /f/q/a/s
这个病毒我昨天遇倒了!最后问题解决了(当然不是格式化硬盘哈)
中了这个病毒以后,在各个分区的根目录下会生成两个文件,分别是autorun.inf 和ravmon.exe(这个文件比较大的)并且属性为隐藏属性,且在c:\windows下会生成MDM.exe 和svchost.exe,svchost.ini,(有些在c:\windows\system32下会生成一个skvp.sys的文件)同时,会在启动项里添加自启动和添加成系统服务实现自启动.并在注册表里写入至少3个键值!
此时你的计算机有可能"显示所有文件选项"无效(我的电脑就是这样了),好了现在说说清除的方法:
首先要把进程svchost.exe结束(一定要先把SVCHOST.EXE进程结束,不结束的话,你删除注册表的键值或者启动项里的键值在不到一分钟后会自动恢复的)。然后就可以进入命令提示符(“开始”菜单的“程序”-->“附件”-->“命令提示符”),然后运行下面的命令
cd c:\windows
然后attrib c:\windows\svchost.exe -r -h -a -s然后del c:\windows\svchost.exe /f/q/a/s
然后attrib c:\windows\svhost.ini -r -h -a -s 然后del c:\windows\svchost.ini /f/q/a/s
“落雪”木马也叫“游戏大盗”( Trojan/PSW.GamePass),由VB 程序语言编写,通过 nSPack 3.1 加壳处理(即通常所说的“北斗壳”North Star),该木马文件图标一般是红色的图案,伪装成网络游戏的登陆器。
“落雪”木马可以盗取包括魔兽世界、传奇世界、征途、梦幻西游、边锋游戏在内的多款网络游戏的帐号和密码,对网络游戏玩家的游戏装备构成了极大的威胁。
病毒运行后,在C盘program file以及windows目录下生成winlogon.exe、regedit.com等14个病毒文件,病毒文件之多比较少见,,事实上这14个不同文件名的病毒文件系同一种文件,“落雪”之名亦可能由此而来。病毒文件名被模拟成正常的系统工具名称,但是文件扩展名变成了 .com。江民反病毒工程师分析,这是病毒利用了Windows操作系统执行.com文件的优先级比EXE文件高的特性,这样,当用户调用系统配置文件 Msconfig.exe的时候,一般习惯上输入 Msconfig,而这是执行的并不是微软的Msconfig.exe程序,而是病毒文件 Msconfig.com ,病毒作者的“良苦用心”由此可见。病毒另一狡诈之处还有,病毒还创建一名为winlogon.exe的进程,并把 winlogon.exe 的路径指向c:\windows\winlogon.exe,而正常的系统进程路径是C:\WINDOWS\system32\ winlogon.exe,以此达到迷惑用户的目的。
除了在C盘下生成很多病毒文件外,病毒还修改注册表文件关联,每当用户点击 html文件时,都会运行病毒。此外,病毒还在D盘下生成一个自动运行批处理文件,这样即使C盘目录下的病毒文件被清除,当用户打开D盘时,病毒仍然被激活运行。这也是许多用户反映病毒屡杀不绝的原因。
针对“落雪”病毒,江民杀毒软件KV系列产品已及时升级,用户只需升级病毒库到最新状态、开启病毒实时监控即可有效防杀该病毒,亦可使用江民未知病毒检测功能处理该病毒。没有安装杀毒软件的用户,也可以下载使用江民“落雪”木马专杀工具进行杀毒,以免遭“落雪”病毒侵害。
“落雪”木马可以盗取包括魔兽世界、传奇世界、征途、梦幻西游、边锋游戏在内的多款网络游戏的帐号和密码,对网络游戏玩家的游戏装备构成了极大的威胁。
病毒运行后,在C盘program file以及windows目录下生成winlogon.exe、regedit.com等14个病毒文件,病毒文件之多比较少见,,事实上这14个不同文件名的病毒文件系同一种文件,“落雪”之名亦可能由此而来。病毒文件名被模拟成正常的系统工具名称,但是文件扩展名变成了 .com。江民反病毒工程师分析,这是病毒利用了Windows操作系统执行.com文件的优先级比EXE文件高的特性,这样,当用户调用系统配置文件 Msconfig.exe的时候,一般习惯上输入 Msconfig,而这是执行的并不是微软的Msconfig.exe程序,而是病毒文件 Msconfig.com ,病毒作者的“良苦用心”由此可见。病毒另一狡诈之处还有,病毒还创建一名为winlogon.exe的进程,并把 winlogon.exe 的路径指向c:\windows\winlogon.exe,而正常的系统进程路径是C:\WINDOWS\system32\ winlogon.exe,以此达到迷惑用户的目的。
除了在C盘下生成很多病毒文件外,病毒还修改注册表文件关联,每当用户点击 html文件时,都会运行病毒。此外,病毒还在D盘下生成一个自动运行批处理文件,这样即使C盘目录下的病毒文件被清除,当用户打开D盘时,病毒仍然被激活运行。这也是许多用户反映病毒屡杀不绝的原因。
针对“落雪”病毒,江民杀毒软件KV系列产品已及时升级,用户只需升级病毒库到最新状态、开启病毒实时监控即可有效防杀该病毒,亦可使用江民未知病毒检测功能处理该病毒。没有安装杀毒软件的用户,也可以下载使用江民“落雪”木马专杀工具进行杀毒,以免遭“落雪”病毒侵害。
病毒名称: Trojan-PSW.Win32.OnLineGames.cc
病毒类型: 木马
感染系统: windows98以上版本
开发工具: Borland Delphi 5.0
加壳类型: 无
病毒描述:
该病毒属木马类,病毒运行后衍生病毒文件,修改注册表,添加启动项,以达到随机启动的目的,该病毒盗取用户敏感信息,包括网络游戏的账号与密码等。
行为分析:
1、病毒运行后衍生病毒文件:
C:\WINDOWS\system32\dt.dll 其中dt.dll由rundll32.exe释放
C:\WINDOWS\Microsoft\rundll32.exe
C:\program files\internet explorer\use6.dll
各个分区(除C盘以外)根目录下:Autorun.inf及mplay.com
2、修改C:\\WINDOWS\system32\drivers\etc\hosts,添加如下规则:
病毒类型: 木马
感染系统: windows98以上版本
开发工具: Borland Delphi 5.0
加壳类型: 无
病毒描述:
该病毒属木马类,病毒运行后衍生病毒文件,修改注册表,添加启动项,以达到随机启动的目的,该病毒盗取用户敏感信息,包括网络游戏的账号与密码等。
行为分析:
1、病毒运行后衍生病毒文件:
C:\WINDOWS\system32\dt.dll 其中dt.dll由rundll32.exe释放
C:\WINDOWS\Microsoft\rundll32.exe
C:\program files\internet explorer\use6.dll
各个分区(除C盘以外)根目录下:Autorun.inf及mplay.com
2、修改C:\\WINDOWS\system32\drivers\etc\hosts,添加如下规则:
