通过手机静默感染电脑的流氓软件MyExplorer

尘梦幽然

  检查苦主机器发现的一些文件。苦主主诉无法正常关机并且出现电脑被安装“简单拼音”无法卸载的情况。
  通过苦主机器上的腾讯电脑管家查杀，发现文件myexplorer.exe、tcjcio.sys、wysykk.sys和KDXZHMKGMHVGKIQX.exe。
  其中myexplorer.exe和KDXZHMKGMHVGKIQX.exe都位于用户文件夹中的临时文件夹中。tcjcio.sys、wysykk.sys在drivers文件夹下。
  再进一步排查发现存在于用户临时文件夹的DDVQPPFRMUXPUHYLCIDHRWFQHI.exe，会在myexplorer.exe同目录释放WBYn.exe、libxl.dll、MyIE.dll和MyHookLib.dll。
  但是截止目前无法判断myexplorer.exe、tcjcio.sys、wysykk.sys、DDVQPPFRMUXPUHYLCIDHRWFQHI.exe和KDXZHMKGMHVGKIQX.exe文件源在哪、所有文件有什么样的行为也尚不清楚。各位可以细细探究。
  因为苦主表示电脑是在插了手机以后出现这种情况，因此病毒源需要通过排查手机来确定。但是我没有时间排查了。

附上样本链接：http://yunpan.cn/c3r6Nw9fKmvc5  提取码 54d3
解压缩密码：infected

诺顿和大部分杀毒软件能够检测MyExplorer.exe。

诺顿通过SONAR主防可以拦截WBYn.exe系列。

莒县小哥

狐狸糊涂

BD杀1个

欧阳宣

mcafee杀一个
"D:\Virus\myexplorer.exe"        "Artemis!431BDD02AD0C"

XywCloud

应该不止被装上那个简单拼音了吧？还有大天使之剑

aboringman

AVG：

扫描：kill 1 file（KDXZHMKGMHVGKIQX.exe）.

"";"Found Win32/DH{ZwkD?}, c:\Users\Killer\Desktop\KDXZHMKGMHVGKIQX.exe";"Healed, Moved to Virus Vault";"File or Directory";"2015/12/6, 15:37:33"

双击：

如下，

myexplorer.exe：报缺少文件，无法运行。

DDVQPPFRMUXPUHYLCIDHRWFQHI.exe：人脑启发击杀【Adware】。

KDXZHMKGMHVGKIQX.exe：关闭监控双击（入沙），IDP击杀之。

"";"IDP.Trojan.E13F31C, C:\Users\Killer\Desktop\新建文件夹\KDXZHMKGMHVGKIQX.exe";"Deleted, Moved to Virus Vault";"File or Directory";"2015/12/6, 15:49:49"
"";", C:\Sandbox\Killer\DefaultBox\user\current\AppData\Roaming\KDXZHMKGMHVGKIQX.exe";"Deleted, Moved to Virus Vault";"File or Directory";"2015/12/6, 15:49:49"
"";", C:\Sandbox\Killer\DefaultBox\user\all\Microsoft\Windows\Start Menu\Programs\卸载简单输入法1.0.lnk";"Deleted, Moved to Virus Vault";"File or Directory";"2015/12/6, 15:49:49"
"";", C:\Users\Killer\Desktop\新建文件夹\KDXZHMKGMHVGKIQX.exe";"Object was blocked";"Process";"2015/12/6, 15:49:49"
"";", HKEY_USERS\SANDBOX_KILLER_DEFAULTBOX\MACHINE\SOFTWARE\CLASSES";"Deleted, Moved to Virus Vault";"Registry key";"2015/12/6, 15:49:49"

尘梦幽然

XywCloud 发表于 2015-12-6 15:29
应该不止被装上那个简单拼音了吧？还有大天使之剑

我看的时候已经没大天使之剑了

温馨小屋

BD扫描杀一个

其中一个压缩包解压了出了这个，不知是什么东西

进程列表里有大量wbyn.exe进程

定时弹出广告

这个程序好像还下载其他病毒，下载被阻止后程序崩溃

一个好好地系统被毁了。。。

尘梦幽然

莒县小哥 发表于 2015-12-6 15:06

压缩包中的myexplorer.exe似乎大部分杀毒软件都会杀，360报警在我意料之中。我想知道其他文件360检测结果如何？

尘梦幽然

温馨小屋 发表于 2015-12-6 16:18
BD扫描杀一个

其中一个压缩包解压了出了这个，不知是什么东西

DDVQPPFRMUXPUHYLCIDHRWFQHI.exe释放的wbyn那帮东西倒是诺顿SONAR会杀掉。不过其他文件情况尚不清楚，也提交给赛门铁克了。