查看: 2625|回复: 4
收起左侧

[资讯] 自己查杀NewInfo.rxk病毒流程

[复制链接]
nainiu001
发表于 2007-4-24 17:09:26 | 显示全部楼层 |阅读模式
星期五晚上正在上网的时候听到耳机里面传来很有规律的“滴滴”音乐声,以为是网页中的音乐,随手关掉网页后发现仍然有声音,顿时感觉应该是中毒了,果然Mcafee弹出窗口提示Internet Explorer目录下的一个文件有病毒。启动任务管理器发现进程中依然有iexplorer.exe,虽然我已经关闭了IE,打开我的电脑之后Mcafee又报提示LOCAL SETTINGS\TEMP\ZT.EXE        PWS-LegMir.gen.b () 同时还有其他的几个wl.exe,qq.exe,cq.exe,gz.exe

查杀windows目录没有发现病毒,首先打开冰刃查看进程没有发现可疑进程,
于是新建一条规则阻止任何文件在Temp文件夹中创建.exe文件,通过mcafee的访问保护日志看出是Explorer.exe写入的.断定是Explorer.exe中插入了病毒文件,于是打算分析explorer.exe进程,为了能够查看explorer.exe里面的各个模块的修改时间我采用的是瑞星卡卡,在冰刃中是不能直接查看出来各个模块的修改时间的.

在explorer.exe里面发现最近修改的一个模块是NewInfo.rxk文件,位于%Program Files%\Common Files\Microsoft Shared\MSInfo\目录下,强行禁止该模块后发现mcafee不再报警,确认是该文件有问题,上网搜索,果然发现相关信息如下:

病毒种类:键盘记录木马
加壳方式:UPX 0.89.6 - 1.02 / 1.05 - 1.24 +修改程序入口点
编写语言:Borland Delphi 6.0 - 7.0
指纹效验:
SHA-160       : C64507BB60497774670B6A2B1BD02A106EEE3067
MD5           : 8F8EA016A7D0D2FE3EF1BB338DA8D087
RIPEMD-160    : FB8B9BDAEB64A869521A47AC0DC478B8E313DEC5
CRC-32        : 14E94F72
测试平台:win2000PROSP4+VM

病毒行为:
病毒system.bat运行后在%Program Files%\Common Files\Microsoft Shared\MSInfo\目录下生成NewInfo.bak、NewInfo.rxk、system.2dt三个文件,经测试system.2dt为 system.bat的副本文件,NewInfo.bak为NewInfo.rxk的备份文件,将 NewInfo.rxk作为线程注入到explorer.exe进程中,修改注册表达到自启动目的。
注册表修改:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
      <{A6011F8F-A7F8-49AA-9ADA-49127D43138F}><C:\Program Files\Common Files\Microsoft Shared\MSINFO\NewInfo.rxk>

病毒查杀:
找到病毒释放的路径,删除文件NewInfo.bak、system.2dt,对NewInfo.rxk进行强制删除,到病毒目录下查看,如果文件已经被删除,清理注册表,重启计算机后杀毒完毕。

以上就是查杀这个木马的过程,这个木马与一般的木马不一样的地方在于它并不是在windows目录下面创建任何dll或者是exe文件,而是从大家都不注意的Common Files目录着手,如果没有System Safety Monitor等能实时查看进程插入的工具还真是不容易发现病毒藏身之处.
zzybwdb_2007
发表于 2007-4-24 21:23:40 | 显示全部楼层
感谢楼主分享经验~~~~又学习了一招~~
Mirros
发表于 2007-4-24 21:24:02 | 显示全部楼层
不错。。我一个朋友就是中这个了。。。。
idey
发表于 2007-4-25 09:38:52 | 显示全部楼层
这个病毒有趣
可乐戒指
发表于 2007-5-1 21:02:06 | 显示全部楼层
我上个星期也中了这个木马,好在它不难对付,用冰刃能轻易干掉它。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-23 13:19 , Processed in 0.119661 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表