查看: 2111|回复: 2
收起左侧

[已解决] 可恶的S168.exe

[复制链接]
aoyabing
发表于 2007-8-26 19:54:47 | 显示全部楼层 |阅读模式
无语了``又是S168.exe

这次做了另类的"免杀"

通过载体(Dropper)解析主体S168.exe连接地址,反弹下载。

这个载体大小不过1K。。。。

瑞星、卡吧等都没有报。。

文件名称:S168.exe
文件大小:22575 bytes
AV命名:DLOADER.Trojan(DrWeb)
加壳方式:UPX
编写语言:Borland Delphi 6.0 - 7.0
病毒类型:下载者、后门
文件MD5:D5E38B721DF2F0ABFDB6B12F38D6B5A6
文件SHA1:40044A3F55B5DE23512ED71DA35CDAC6B9D07FED

行为分析:

1、释放病毒文件:

C:\Program Files\Internet Explorer\rksldk.bak   22575 字节

C:\Program Files\Internet Explorer\rksldk.dll   13871 字节

C:\Program Files\Common Files\goskdl.dll   13871 字节

PS:文件名可能不同,注意文件大小。

2、查找江民、360、瑞星等安装目录,在其目录生成:

ws2_32.dll或MFC42.dll的文件夹,导致其监控失效。

3、删除Hosts解析域名文件,防止木马下载网站被屏蔽。

4、rksldk.dll写入注册表,开机自行注入。

5、反向连接66.186.33.**(XXX.9168a.com),下载木马,30多个吧。。。


解决方法一:

[url=http://free.ys168.com/?gudugengkekao]http://free.ys168.com/?gudugengkekao[/url]下载:

[size=+0]sreng2.5.zip 780KB

[size=+0]把要删除的拖给我.bat KB

1、打开SREng,删除启动项:

注册表:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
     <asgfdjs2><C:\winnt\system32\vbsdaas2.exe>   []

这个注意不要漏了,它会关瑞星、过卡吧主动)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
     <{DC7596CB-D6CC-DCA3-DE52-DEEA63F6C61D}><C:\Program Files\Internet Explorer\rksldk.dll>

2、显示所有隐藏文件:

控制面板-文件夹选项-查看-选中显示所有文件和文件夹

去掉“隐藏受保护的系统文件”的勾

到杀软或安全工具打不开的目录下,查找ws2_32.dll或MFC42.dll的文件夹。

把ws2_32.dll或MFC42.dll的文件夹拖到“把要删除的拖给我.bat”。它会自动删除。

删除不掉的话自己找冰刃或UNlocker删```

3、重启后杀软监控应该可以开启了,记得升级杀软,全盘扫。。



解决方法二:

[url=http://free.ys168.com/?gudugengkekao1]http://free.ys168.com/?gudugengkekao1[/url]下载

[size=+0]冰刃.rar 2,110KB

[size=+0]sreng2.5.zip 780KB

[size=+0]把要删除的拖给我.bat KB

执行下面操作前最好全面清理电脑所有临时文件夹。

1、打开冰刃,设置进程线程创建,确定。

2、冰刃“文件”选项,删除:

C:\Program Files\Internet Explorer\rksldk.bak   22575 字节

C:\Program Files\Internet Explorer\rksldk.dll   13871 字节

C:\Program Files\Common Files\goskdl.dll   13871 字节

PS:以上3个是主体,不要漏了。文件名可能会不同,注意文件大小。

其他的木马:

C:\Windows\System32\mhdoor0.dll
C:\Windows\System32\vbsdaas2.exe
C:\Windows\System32\xk1s0.dll
C:\Windows\System32\ztdoor0.dll
C:\Windows\System32\jtdoor0.dll
C:\Windows\System32\wldoor0.dll
C:\Windows\System32\qjdoor0.dll
C:\Windows\System32\rxdoor0.dll
C:\Windows\System32\tldoor0.dll
C:\Windows\System32\dadoor0.dll
C:\Windows\System32\mydoor0.dll
C:\Windows\System32\qhdoor0.dll
C:\Windows\System32\Packet.dll
C:\Windows\System32\WanPacket.dll
C:\Windows\System32\wpcap.dll
C:\Program Files\Common Files\Setup.exe
C:\Program Files\Common Files\svchost.exe

3、设置冰刃,重启并监视。

4、重启后打开SREng,删除:

注册表:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
     <asgfdjs2><C:\winnt\system32\vbsdaas2.exe>   []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
     <{DC7596CB-D6CC-DCA3-DE52-DEEA63F6C61D}><C:\Program Files\Internet Explorer\rksldk.dll>   [Microsoft Corporation]
     <{5731EA1D-6AAF-4DE9-BDDA-7B390A75B286}><C:\winnt\system32\xk1s0.dll>   []
     <{3422FB0F-95EB-458A-8B56-39552017A4EF}><C:\winnt\system32\mhdoor0.dll>   []
     <{71046DD5-E136-4C4B-A6B5-91C30CB15291}><C:\winnt\system32\jtdoor0.dll>   []
     <{E952B8F8-D91A-4EDD-851C-EE1A0F944469}><C:\winnt\system32\ztdoor0.dll>   []
     <{E03C23BD-35B7-49C2-BBCA-6D8CEC2507E3}><C:\winnt\system32\wldoor0.dll>   []
     <{6826A3DB-EA8E-4E67-880D-53D04C7C0BD8}><C:\winnt\system32\qjdoor0.dll>   []
     <{A3C95A74-638D-4C6B-A856-4B27664A7F47}><C:\winnt\system32\wgdoor0.dll>   []
     <{68F7767A-090C-4BBF-A015-720ACC6706E2}><C:\winnt\system32\wddoor0.dll>   []
     <{EDFF29C1-5A70-4460-AC1D-16DCB4B672F0}><C:\winnt\system32\rxdoor0.dll>   []
     <{08E909A4-B236-48DD-8BCC-90A604B93E68}><C:\winnt\system32\tldoor0.dll>   []
     <{D8CC4845-441C-44F8-9053-28F2EF67655B}><C:\winnt\system32\dadoor0.dll>   []
     <{781FBCC1-99C7-4AE0-95F7-66EA49E86DD7}><C:\winnt\system32\zxdoor0.dll>   []
     <{4E3FBFA4-F1CC-4B66-B333-B9F0FF4B4748}><C:\winnt\system32\mydoor0.dll>   []
     <{ABD0935D-B35A-47BD-BA9A-81678DDE74DD}><C:\winnt\system32\qhdoor0.dll>   []

PS:也可以第一步就用SREng删除这些启动项,然后重启再删除对应的文件。

5、显示所有隐藏文件:

控制面板-文件夹选项-查看-选中显示所有文件和文件夹~

去掉“隐藏受保护的系统文件”的勾

到杀软或安全工具打不开的目录下,查找ws2_32.dll或MFC42.dll的文件夹。

把ws2_32.dll或MFC42.dll的文件夹拖到把要删除的拖给我.bat。它会自动删除。

删除不掉的话自己找冰刃或UNlocker删```

6、重启后杀软监控应该可以开启了,记得升级杀软,全盘扫。。




评分

参与人数 1经验 +3 收起 理由
ALEXBLAIR + 3 感谢提供分享

查看全部评分

shenrenrenren
头像被屏蔽
发表于 2007-8-26 21:09:50 | 显示全部楼层
样本发到样本区
lengxue624
发表于 2007-8-27 10:31:23 | 显示全部楼层
转的孤独的贴
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-24 00:29 , Processed in 0.128692 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表