请各位帮我看看这个bat(加密过)！

xitongin

情况是这样的：网吧系统，xp sp2，安装了冰点6.0，今天早上电脑出问题，任务管理器打不开，NOD32启动不了，去网上找了好多修复软件(360、IceSword1.2)都无法打开，最后用sreng打开扫描到启动中有个bat文件，可是以加了密，小弟不懂解，发上来请各位大哥帮我看看，有个小小的要求，能不能把这个bat的内容给我看看，主要是想了解下这个病毒的破坏原理。我在此先谢谢了!

sbbdms

卡巴杀

已删除：木马程序 Trojan-PSW.Win32.OnLineGames.alse        文件　: D:\软件\其它\v\k\self.rar/self.bat//PE_Patch//UPack

xitongin

能帮我测试下吗？它是如何破坏NOD32和其它修复软件的。

aerbeisi

在注册表中把IFEO这个键值改了（映像劫持），通俗讲就是把安全软件的的程序在注册表中对应到病毒程序，这样点击安全软件就是运行对应到的病毒程序，造成重复感染。

ALEXBLAIR

原帖由 xitongin 于 2008-6-6 16:56 发表
能帮我测试下吗？它是如何破坏NOD32和其它修复软件的。

这个东西类似于压缩包
会解压出一个exe和一个bat
主要是通过注册表的镜像劫持来设置以下进程的拦截

1. 
   
2. DrvAnti.exe
   
3. avp.com
   
4. avp.exe
   
5. runiep.exe
   
6. PFW.exe
   
7. FYFireWall.exe
   
8. rfwmain.exe
   
9. rfwsrv.exe
   
10. KAVPF.exe
    
11. KPFW32.exe
    
12. nod32kui.exe
    
13. nod32.exe
    
14. Navapsvc.exe
    
15. Navapw32.exe
    
16. avconsol.exe
    
17. webscanx.exe
    
18. NPFMntor.exe
    
19. vsstat.exe
    
20. KPfwSvc.exe
    
21. Ras.exe
    
22. RavMonD.exe
    
23. mmsk.exe
    
24. WoptiClean.exe
    
25. QQKav.exe
    
26. QQDoctor.exe
    
27. EGHOST.exe
    
28. 360Safe.exe
    
29. iparmo.exe
    
30. adam.exe
    
31. IceSword.exe
    
32. 360rpt.exe
    
33. 360tray.exe
    
34. AgentSvr.exe
    
35. AppSvc32.exe
    
36. autoruns.exe
    
37. avgrssvc.exe
    
38. AvMonitor.exe
    
39. CCenter.exe
    
40. ccSvcHst.exe
    
41. FileDsty.exe
    
42. FTCleanerShell.exe
    
43. HijackThis.exe
    
44. Iparmor.exe
    
45. isPwdSvc.exe
    
46. kabaload.exe
    
47. KaScrScn.SCR
    
48. KASMain.exe
    
49. KASTask.exe
    
50. KAVDX.exe
    
51. KAVPFW.exe
    
52. KAVSetup.exe
    
53. KAVStart.exe
    
54. KISLnchr.exe
    
55. KMailMon.exe
    
56. KMFilter.exe
    
57. KPFW32.exe
    
58. KPFW32X.exe
    
59. KPFWSvc.exe
    
60. KRegEx.exe
    
61. Repair.com
    
62. KsLoader.exe
    
63. KVCenter.kxp
    
64. KvDetect.exe
    
65. KvfwMcl.exe
    
66. KVMonXP.kxp
    
67. KVMonXP_1.kxp
    
68. kvol.exe
    
69. kvolself.exe
    
70. KvReport.kxp
    
71. KVScan.kxp
    
72. KVSrvXP.exe
    
73. KVStub.kxp
    
74. kvupload.exe
    
75. kvwsc.exe
    
76. KvXP.kxp
    
77. KvXP_1.kxp
    
78. KWatch.exe
    
79. KWatch9x.exe
    
80. KWatchX.exe
    
81. MagicSet.exe
    
82. mcconsol.exe
    
83. mmqczj.exe
    
84. KAV32.exe
    
85. nod32krn.exe
    
86. PFWLiveUpdate.exe
    
87. QHSET.exe
    
88. RavMonD.exe
    
89. RavStub.exe
    
90. RegClean.exe
    
91. rfwcfg.exe
    
92. RfwMain.exe
    
93. rfwsrv.exe
    
94. RsAgent.exe
    
95. Rsaupd.exe
    
96. safelive.exe
    
97. scan32.exe
    
98. shcfg32.exe
    
99. SmartUp.exe
    
100. SREng.EXE
     
101. symlcsvc.exe
     
102. SysSafe.exe
     
103. TrojanDetector.exe
     
104. Trojanwall.exe
     
105. TrojDie.kxp
     
106. UIHost.exe
     
107. UmxAgent.exe
     
108. UmxAttachment.exe
     
109. UmxCfg.exe
     
110. UmxFwHlp.exe
     
111. UmxPol.exe
     
112. UpLive.exe
     
113. procexp.exe
     
114. ~OllyDBG.EXE
     
115. ~OllyICE.EXE
     
116. rfwstub.exe
     
117. RegTool.exe
     
118. rfwProxy.exe
     
119. RawCopy.exe
     
120. CCenter.exe
     
121. regedit.exe
     
122. filemon.exe
     
123. regmon.exe
     
124. AntiArp.exe
     
125. taskmgr.exe
     
126. GFUpd.exe
     
127. GFRing3.exe
     
128. GuardField.exe
     
129.                                                                        
     

复制代码

除了nod32之外还有很多都被拦截了

[ 本帖最后由 ALEXBLAIR 于 2008-6-6 17:16 编辑 ]

xitongin

谢谢各位了，这个病毒好厉害呀！在这里真的学习了好多东西。

xitongin

忘记请教下。这类病毒应该如何防范？

zwl2828

这个东西类似于压缩包，不单单是一个BAT文件，所以你看不到里面的代码
这个文件加壳了，Upack V0.37 -> Dwing。
这个文件通过通过IEFO来达到不让杀软运行的目的！

dbpe

对于注册表中危险部位禁止*****

woai_jolin

这根本就是一个伪bat  改为exe后用OY加载 景象无敌