校园网病毒风暴 在system32/com下的lsass和smss进程病毒解决方案

dsd1982

是 变身广告a 啦

解决步骤
1 拔网线

2 windows清理助手查杀木马和注册表 改名防止劫持
清楚auto文件 和pagefile。pif

Windows清理助手官方下载 最好是zip包方便使用


http://www.arswp.com/bbs/thread-15760-1-1.html

pe下的杀毒软件就是老毛桃pe 0418版的自带的卡巴司机 到他的论坛里找吧
http://bbs.wuyou.com/forumdisplay.php?fid=39&page=1

3卡巴红伞全盘扫毒 别偷懒 漏一个exe你就白忙了 这步最好在winpe下进行免得他们杀软自身都被感染

4 ok后装彩影的arp防火墙 禁用cmd  修复安全模式

几篇相关帖子

我11月的帖
http://bbs.kafan.cn/viewthread.php?tid=159905&extra=page%3D2
luhaikongzy 19号的帖子

http://bbs.kafan.cn/viewthread.php?tid=173251&extra=page%3D1

hetven 19号的帖
http://bbs.kafan.cn/viewthread.php?tid=173613&extra=page%3D1

smile125121  15号的帖子
http://bbs.kafan.cn/viewthread.php?tid=171311&extra=page%3D1

bluenice  12月21号的帖
http://bbs.kafan.cn/viewthread.php?tid=174355&extra=page%3D1&page=1

此病毒通过 arp+优盘+exe感染 3重传播 非常厉害 解决时这3者必须都要考虑 只装杀软是没有效果的
因为arp本身就是利用协议缺陷

[ 本帖最后由 dsd1982 于 2007-12-24 14:18 编辑 ]

dsd1982

我在网上找到的一篇行为分析 zt的
行为分析：

1、释放病毒副本：

%Systemroot%\system32\Com\lsass.exe 94208 字节
%Systemroot%\system32\Com\smss.exe 9365 字节
%Systemroot%\system32\Com\netcfg.dll 40960 字节

2、添加启动文件夹，开机启动：

C:\Documents and Settings\当前用户名\「开始」菜单\程序\启动\~.pif

另外netcfg.dll尝试加载Shellhooks注册表项，但没有实现。

3、调用cacls，本身不判断文件系统（FAT或NTFS），后解除目录Com的权限，设为完全控制。

参数为：C:\winnt\system32\com /e /t /g admin:F

4、连接网络121.11.245.1**（ 广东省惠州市 电信）下载一个ARP病毒

释放到：%Systemroot%\system32\drivers\alg.exe 15181 字节

5、查找硬盘的文件，如名称里有“360”字样则删除。

6、可能会关闭一些窗口：

"ollydbg"
"softice"
"ida"
"asm"
"360"
"木马"
"清除"
..................

7、另外那个仿系统文件的smss.exe，应该和主体lsass.exe是互斥体，也起着进程守护的作用。

8、查找磁盘，生成Auorun.inf和pagefile.pif。

9、跳过C盘，开始感染EXE文件，但并不全部感染。  

感染时先把文件加载内存中，提取其图标资源，最后删除原文件，把修改过的文件栲贝回去。

因为这样，所以图标会变模糊，可能是无法读32位的....（知道的大牛请指导下）

PS：运行感染的文件，会释放一个filename.exe.log。但是仍无法执行

用PE工具对比下，基本上文件是报废了，区段被覆盖，DOS头、入口等都发生变化``

10、感染文件时如果发现Zip和Rar格式的，则用Rar自解压命令释放EXE文件，感染后重新打包放回原处！

汗一个....高科技了  

11、查找硬盘的htm、html、asp、spx、php、jsp网页文件，插入一段框架代码（16进制加密）

解后得：h**p://js.k0102.com/01.asp。

被和谐了汗，打不开！

james05y

真的好毒啊，恐怕头一次，碰到这么难对付的病毒。机器又不能整硬盘完全格式化重装。

dsd1982

版主能帮忙转到病毒救援区不

y37007

很强 的样子，

[ 本帖最后由 y37007 于 2007-12-27 17:09 编辑 ]

ziyou

  为什么现在才出来~ 我们宿舍N个星期前中的 搞的我们快要死了 最后全部电脑全部格盘
当时卡巴能够发现但是清除还是有 估计就是ARP传播的了 卡巴没有ARP防御功能

dsd1982

原帖由 ziyou 于 2007-12-27 20:19 发表
  为什么现在才出来~ 我们宿舍N个星期前中的 搞的我们快要死了 最后全部电脑全部格盘
当时卡巴能够发现但是清除还是有 估计就是ARP传播的了 卡巴没有ARP防御功能

我们学校11月就出来这问题 解决完以后就觉得这东西非比寻常 结果在卡饭法帖没人相信

huipu

还没有中，不知道啥样的。

ssyknuwyg

感染时先把文件加载内存中，提取其图标资源，最后删除原文件，把修改过的文件栲贝回去。

因为这样，所以图标会变模糊，可能是无法读32位的....（知道的大牛请指导下）

PS：运行感染的文件，会释放一个filename.exe.log。但是仍无法执行

用PE工具对比下，基本上文件是报废了，区段被覆盖，DOS头、入口等都发生变化``

10、感染文件时如果发现Zip和Rar格式的，则用Rar自解压命令释放EXE文件，感染后重新打包放回原处

少有的牛逼的病毒感染方式

xiaosese

原帖由 ziyou 于 2007-12-27 20:19 发表
  为什么现在才出来~ 我们宿舍N个星期前中的 搞的我们快要死了 最后全部电脑全部格盘
当时卡巴能够发现但是清除还是有 估计就是ARP传播的了 卡巴没有ARP防御功能

校园网用户最好搭配款具有防御arp功能的防火墙，或者用arp单机版