请选择 进入手机版 | 继续访问电脑版
 找回密码
 立即注册

警惕AV终结者新变种借“黄金周契机”卷土重来!

来源: juzhya 2021-10-17 14:10:45 显示全部楼层 |阅读模式
警惕AV终结者新变种借“黄金周契机”卷土重来!
通过对最近一段时间流行病毒的观察发现,AV终结者似乎有卷土重来的趋势,且新变种首发更为恶劣,通常是AV终结者作为先头部队,起到为其他更多的木马和病毒的入侵“扫清障碍”的作用。
今天就接到一个AV终结者新变种,以下是该病毒的分析:
File: wecjmlp.exe
Size: 26799 bytes
MD5: AFE92FC0A38625C29F32D58F157C2FB3
SHA1: 3C646D5695BE2C0FC2D26818FE0D1126F4A95E15
CRC32: 15C60562
1.生成如下文件
%Program Files%\meex.exe
%Program Files%\Common Files\system\wecjmlp.exe(随机7位字母)
%Program Files%\Common Files\system\tlekcms.inf(随机7位字母)
%Program Files%\Common Files\Microsoft Shared\ehjjvdb.exe(随机7位字母)
%Program Files%\Common Files\Microsoft Shared\tlekcms.inf(随机7位字母)
在d~z盘下释放随机7位字母的exe和autorun.inf
2.病毒首次运行时会检查带有如下字样的窗口并将其关闭
我的电脑
我的電腦
My Computer
3.查找进程中是否存在avp.exe 如果有则把时间改为1980-01-23
4.修改如下文件夹属性为隐藏
Common Files\system
Common Files\Microsoft Shared
5.修改如下服务的start值为4(禁用服务)
HKLM\SYSTEM\CurrentControlSet\Services\wuauserv
HKLM\SYSTEM\CurrentControlSet\Services\helpsvc
HKLM\SYSTEM\CurrentControlSet\Services\wuauserv
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
HKLM\SYSTEM\CurrentControlSet\Services\RSPPSYS
6.关闭带有如下字样的窗口
System
Shared
2007
Sysint
Virus
Trojan
meex
autorun
USBCle
WinRAR
Ghost
Process
卡巴
江民
瑞星
毒霸
恶意
流氓软件
上报
QQ安全
举报
预警
进程
System
Shared
微点
上報
舉報
诊断
2007
Sysint
Virus
Trojan
meex
报警
autorun
AV终结
一键
木马
木馬
殺毒
查毒
杀毒
病毒
360安全
编辑字符串
中毒
USBCle
:\ - WinRAR
Ghost
还原
以及带有自身进程名的窗口
且测试中Icesword即使改名也被最小化
7.结束如下进程(包括但不限于)(受文章篇幅所限,贴图示意)




Snap1.jpg (79.6 KB)
2007-9-26 00:46
8.每隔1000ms调用cmd执行
cmd /c echo Y| cacls autorun.inf /t /g everyone:F
的命令 把每个盘符下面的autorun.inf权限设为everyone 然后将其改名
9.删除Software\Microsoft\Windows\CurrentVersion\Run下面名为AVP和KVMON的项目
10.删除键
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
破坏安全模式
11.修改HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Type值为checkbox2
HKU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden值为0x00000000
0x00000000
破坏显示隐藏文件
12添加HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options项目劫持到%Program Files%\Common Files\Microsoft Shared下的病毒文件(包括但不限于)(受文章篇幅所限,贴图示意)




Snap2.jpg (83.62 KB)
2007-9-26 00:46
13.在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下创建启动项目分别指向两个病毒文件
14.病毒“黑吃黑”,搜索如下文件,如果搜索到了则把他们重命名
niu.exe
sbl.dll
wniapsvr.exe
Shell.exe
Shell.pci
crsss.exe
chost.exe
ctfm0n.exe
NATIVE.exe
directx.exe
progmon.exe
internt.exe
SoftDLL.dll
MySetup.exe
SocksA.exe
algssl.exe
svrhost.dll
wnipsvr.exe
Session.exe
algsrvs.exe
msfun80.exe
msime82.exe
msfir80/exe
fixfile.exe
WMDSINFO.dll
Mcshie1d.exe
Exp1orer.exe
compobj32.dll
Web\css.css
Com\lsass.exe
IME\svchost.exe
Com\smss.exe
Debug\debug.exe
tools\explorer.exe
drivers\csrss.exe
MSInfo\system.2dt
MSInfo\newtemp.dll
MSInfo\NewInfo.bmt
MSInfo\System16.ins
MSInfo\System16.jup
Common Files\svchost.cnc
Internet Explorer\msvcrt.dll
Internet Explorer\PLUGINS\NewTemp.bak
Internet Explorer\PLUGINS\NewTemp.dll
15.并把bsmain.exe重命名为bsmains.exe
把verclsid.exe重命名为verclsids.exe
16.连接网络下载木马和病毒
下载间隔3000ms,并且下载后的木马运行后都将删除自身
下载木马到program files下面
命名方法为在下载的木马的原文件名前分别加入如下字符
1A
2B
3C
4D
5E
6F
7G
8H
9I
10J
(即如果第一个木马的名字是a.exe,那么下载后到program files下面的就会被命名为1Aa.exe,以此类推)
该病毒一共可以下载10个木马
(由此可以看出此类病毒应该已经存在了生成器,可以批量生产病毒)
清除办法:
由于每个变种下载的木马不同,所以在此不讲述其下载的木马的清除办法
下载修改版的IceSword.exe
1.把IceSword.exe重命名为其他名称
打开后 依次点击菜单栏中的文件-设置




Snap1.jpg (122.74 KB)
2007-9-26 00:46
勾选禁止进线程创建的勾 确定




Snap2.jpg (101.84 KB)
2007-9-26 00:46
在进程一栏中找到%Program Files%\Common Files\system\(随机7位字母).exe
%Program Files%\Common Files\Microsoft Shared\(随机7位字母).exe
把他们的进程全部结束




Snap3.jpg (124.94 KB)
2007-9-26 00:46
并且要记住他们的名字
2.单击 IceSword左下角的文件按钮
删除%Program Files%\Common Files\system\(随机7位字母).exe
%Program Files%\Common Files\Microsoft Shared\(随机7位字母).exe
和%Program Files%\Common Files\Microsoft Shared\(随机7位字母).inf
%Program Files%\Common Files\system\(随机7位字母).inf
%Program Files%\meex.exe




Snap4.jpg (73.33 KB)
2007-9-26 00:46
3.删除d~z盘根目录下的 随机7位字母,exe和autorun.inf(一定不要忘记这个)
修复系统
下载sreng
http://download.kztechs.com/files/sreng2.zip
运行 启动项目 注册表 删除所有红色的IFEO项目
删除[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]下面的随机7位字母启动项目
本次测试为如下键值
[]
[]
sreng 修复>Windows shell/IE 选中 显示隐藏文件 单击 下面的修复
sreng 修复>高级修复>修复安全模式 在弹出的窗口中点击 是
最后要强调的是,随着黄金周的到来,病毒作者们也会利用这个大好时机疯狂的制作新的恶性病毒,所以一定要警惕尤其是这种利用U盘等移动存储传播的恶性病毒的入侵,关闭电脑的自动播放功能,U盘等移动存储插入电脑后一定要及时扫描病毒,不给病毒以可乘之机!



看到比较好就转过来了啊,希望大家能够多留意啊!!!

[ 本帖最后由 juzhya 于 2007-9-26 15:07 编辑 ]
免责声明:本文由作者自由发布,不代表豆瓜网(211w.com) 观点和立场。
回复

使用道具 举报

大神点评6

夜孤魂 2021-10-17 14:25:20 显示全部楼层
很好的文章,望楼主能提供修改版的IceSword.exe,谢谢。
回复

使用道具 举报

juzhya 2021-10-17 14:32:42 显示全部楼层
IceSword1.22

中文版下载见附件
回复

使用道具 举报

juzhya 2021-10-17 14:52:14 显示全部楼层
冰刃IceSword1.22官方中文版

另外说明第一注意事项 :此程序运行时不要激活内核调试器(如softice),否则系统可能即刻崩溃。另外使用前请保存好您的数据,以防万一未知的Bug带来损失。
IceSword目前只为使用32位的x86兼容CPU的系统设计,另外运行IceSword需要管理员权限。
如果您使用过老版本,请一定注意,使用新版本前要重新启动系统,不要交替使用二者。

如何退出IceSword:直接关闭,若你要防止进程被结束时,需要以命令行形式输入:IceSword.exe /c,此时需要Ctrl+Alt+D才能关闭(使用三键前先按一下任意键)。

1.22:(1)增加普通文件、ADS、注册表、模块的搜索功能;(2)隐藏签名项;(3)添加模块的HOOK扫描;(4)核心功能的加强


下载见附件

[ 本帖最后由 juzhya 于 2007-9-26 23:21 编辑 ]
回复

使用道具 举报

谢鸡 2021-10-17 14:54:34 显示全部楼层
国庆快乐
回复

使用道具 举报

juzhya 2021-10-17 15:10:21 显示全部楼层
同乐啊
回复

使用道具 举报

夜孤魂 2021-10-17 15:23:21 显示全部楼层
非常感谢楼主提供!
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

相关推荐

京东、淘宝开启双12预热活动

京东、淘宝开启双12预热活动

12月7日消息,双12购物狂欢节即将开始,近日,京东和淘宝都开启了预热活动。 具体来

花旗维持阿里巴巴美股“买入”评级 目标价234美元

花旗维持阿里巴巴美股“买入”评级 目标价234美元

12月7日消息,花旗发表研究报告称,维持阿里巴巴“买入”评级,美股目标价234美元。

小米诉争“Mi”商标获北京知产法院支持

小米诉争“Mi”商标获北京知产法院支持

12鏈7鏃ユ秷鎭紝澶╃溂鏌ヤ俊鎭樉绀猴紝杩戞棩锛屽皬绫崇鎶鏈夐檺璐d换鍏徃涓庡浗瀹

北京苏宁易购将与盒马联合启动“盲盒”解锁活动

北京苏宁易购将与盒马联合启动“盲盒”解锁活动

12鏈7鏃ユ秷鎭紝鎹寳闈掔綉鎶ラ亾锛屽寳浜嫃瀹佹槗璐嚎涓嬮棬搴楀皢涓庣洅椹矞鐢熷湪1

苏宁易购双12水暖毯销售增长336.67%

苏宁易购双12水暖毯销售增长336.67%

12鏈7鏃ユ秷鎭紝浠婃棩锛岃嫃瀹佹槗璐彂甯冨弻12鐢熸椿鐢靛櫒娑堣垂鏁版嵁鍙婇攢鍞鍗

MORE+
  • 日排行
  • 周排行
  • 月排行
商业洽谈 文章投递 寻求报道
QQ咨询: QQ:787271999
关注微信