查看: 6765|回复: 26
收起左侧

[经验分享] 也来个手杀jwgkvsq.vmx

[复制链接]
zhousulin5
发表于 2010-1-1 16:08:03 | 显示全部楼层 |阅读模式
本帖最后由 zhousulin5 于 2010-1-1 20:45 编辑

多余的话不说了,先说此毒的预防,给系统打补丁是最直接也是最有效的,KB958644,具体细节请参考微软安全公告MS08-067。未打此补丁的系统中我没能找到用组策略预防此毒的方法,不允许jwgkvsq.vmx也不行。如果是用HIPS的话,与防其他U盘病毒一样,必须要阻止svchost读取autorun.inf文件。此毒感染系统时jwgkvsq.vmx和autorun.inf二者必须同时存在,我试过保留autorun.inf而对jwgkvsq.vmx所在的文件夹改名,插入U盘后报找不到jwgkvsq.vmx文件,感染失败,由此我推测此毒不是仅由一个autorun.inf文件对svchost进行溢出攻击的感染方式(这种可怕的方式目前我还只是听说有而未见过)。
中毒后,病毒会修改注册表中关于显示系统及隐藏属性文件的值,使用户不能在“文件夹选项”中选择显示所有文件(用户可以选中但选项不会生效)。好在我们可以手工改注册表值,然后就可以通过文件夹选项来显示所有文件了。因此步骤与手杀关系不大就不上图了。
此毒隐藏了其服务的细项,它的服务用regedit只能看到一个服务的名字,其下是空的。用wsyscheck甚至不会显示出服务的名字,这就是它的厉害之处,也就是说,想用wsyscheck来手杀它几乎是不可能的任务。而且其服务名称是随机的。

评分

参与人数 2人气 +2 收起 理由
tawny2008 + 1 鼓励一下
dl123100 + 1

查看全部评分

zhousulin5
 楼主| 发表于 2010-1-1 16:09:47 | 显示全部楼层

用xuetr看它的服务,第一个例子
zhousulin5
 楼主| 发表于 2010-1-1 16:11:32 | 显示全部楼层
本帖最后由 zhousulin5 于 2010-1-1 20:51 编辑


用xuetr看到的服务,第二个例子,因为是在刚插入带毒U盘后抓的图,它的服务状态还没有变成“已停止”。注意它的服务名称是不同的,不过,那个DLL文件名字是一样的(这只是我看到的,或许其他变种不再是这个名字)。
另外,请看它的描述,两个例子中的描述也不相同,但内容都很迷惑人,粗心的用户会以为它就是个普通有用的服务。
lfx123
发表于 2010-1-1 16:12:44 | 显示全部楼层
恩,谢谢交流,要用ARK也不容易。
zhousulin5
 楼主| 发表于 2010-1-1 16:20:14 | 显示全部楼层
本帖最后由 zhousulin5 于 2010-1-1 16:38 编辑


用wsyscheck看不到它的服务,不过可以看到某个svchost下的线程中有几个显示成问号的线程,请关注它的PID(这张图中看不到),我试过重启系统后再看,有问题的这个svchost的PID仍然是852,其他机子上没看过,不过我猜这个毒在某个确定的系统中申请的PID也是确定的。
我也试过用wsyscheck终止这几个问号的线程,然后我发现插入U盘时不会被感染了,也就是说wsyscheck在此毒面前还没有一败涂地。
另:我还见过另一种毒也是会在wsyscheck中看到有这种显成问号的线程,但它是在smss下面,那个毒至今我没能对付掉,因为xuetr和其他的几乎所有我用过的辅助工具都无法加驱,不知道它还有什么埋伏。
zhousulin5
 楼主| 发表于 2010-1-1 16:32:06 | 显示全部楼层
本帖最后由 zhousulin5 于 2010-1-1 20:42 编辑


病毒不会锁定U盘上的文件,但它自己的文件还是会锁定的。
这是用xuetr看到的病毒DLL文件的锁定情况,是由svchost锁定的,原因当然是因为服务是由svchost统一调度的。如果在这里解除锁定,就可以在资源管理器中删除病毒文件了。
我当然从方便出发,直接用xuetr找出那个包含病毒线程的svchost进程并结束它,然后删除并阻止重新生成那个DLL文件,最后删除它的服务。手杀就算完成了。
zhousulin5
 楼主| 发表于 2010-1-1 16:35:07 | 显示全部楼层
本帖最后由 zhousulin5 于 2010-1-1 20:54 编辑

最后总结一些它的特点:
只在可移动盘生成autorun.inf和jwgkvsq.vmx,不在本地硬盘生成这两个文件。
只在检测到U盘插入时试图感染,只试一次。对生成的文件不锁定,用户可以删除,在插入U盘后直到弹出U盘再度插入,病毒不会再次生成这两个文件。
在system32下生成yzhnvbu.dll,并注册此文件为一个服务,服务名称随机,在很多地方看起来与其他多数正常服务一样,很迷惑人,在xuetr中看到的映像路径imagepath也是c:\windows\system32\svchost.exe -k netsvcs,不过可以在parameters下的ServiceDLL看到它的真实面目。这个服务的启动类型是自动,但它启动成功后就停止,这样也使它更不容易被发现。
用系统的regedit只能看到服务名称,其下空白,无法看到这个服务的详细信息。用wsyscheck甚至不能看到此服务。

评分

参与人数 2经验 +10 人气 +1 收起 理由
will + 1 手杀好贴~支持楼主
边缘vip + 10 感谢分享!欢迎常来辅助区!

查看全部评分

zhousulin5
 楼主| 发表于 2010-1-1 16:48:59 | 显示全部楼层
嗯,忘了问大家元旦好了。
大家元旦快乐,天天快乐。
tawny2008
发表于 2010-1-1 18:50:19 | 显示全部楼层
支持原创
zhousulin5
 楼主| 发表于 2010-1-2 17:22:30 | 显示全部楼层


再来两张图,今天的最新发现,这个病毒确实会生成随机的DLL文件,甚至病毒DLL文件的位置也并不总是在system32下。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-27 15:04 , Processed in 0.134141 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表