Re: [中毒] CNN 的郵件 藏木馬病毒

作者xiaoyao (改變)

看板AntiVirus

標題Re: [中毒] CNN 的郵件藏木馬病毒

時間Mon Aug 11 15:09:20 2008

※ 引述《junorn (威廉華勒斯)》之銘言： : 終於搞定了0rz : 這rootkit有夠難纏的... : 大概說明一下 : 那個假CNN 會產生一些檔案，但主要的檔案是 : WINDOWS\system32\CbEvtSvc.exe : windows\System32\drivers\33acc6a7.sys : 然後一個掛載服務 CbEvtSvc : 一個掛載驅動 33acc6a7 : 難纏的在驅動 33acc6a7 這個上面 : 由於他存取了SSDT，所以部分有主動防禦型的防毒會掛點 : 並且利用一些技術將 33acc6a7 這個掛載的驅動隱藏起來，一般登錄編輯器可以看到 : 整段機碼，但完全看不到裡面的值。 : 然而使用icesword 可以刪除，只不過馬上再生而已 : 同樣該檔案用icesword刪除後馬上再生。 : 使用catchme破壞該檔案後馬上修復自身0rz : 基本上光靠Icesword刪除已經不夠力，必須要靠其他方式處理 : 這邊是使用Rename operations pending 的方式成功將檔案刪除掉 (要兩個檔一起) : 刪掉之後使用icesword將被存取的SSDT還原 : 並將掛載的驅動登錄值刪除之後才解除狀況0rz : 一般要碰到的話可能直接重灌會比較快。 : 遠端處理...我說實在的，我自己實際處理都弄很久了何況是遠端0rz : ------------------------------------------------------ : 不然就用WinPE那一類的開機光碟刪吧，他還沒有隱藏檔案自身所以還是刪的掉剛剛查了一下登錄編輯器 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRU 名稱: 000 類型: REG_SZ 資料: 33acc6a7.sys 名稱: 001 類型: REG_SZ 資料: CbEvtSvc 寫入登錄值 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Value=lphcl76j0eg03 Data= C:\WINDOWS\system32\lphcl76j0eg03.exe 進程 C:\WINDOWS\System32\CbEvtSvc.exe C:\WINDOWS\system32\lphcl76j0eg03.exe 服務 NAME: CbEvtSvc DISPLAY: CbEvtSvc FILE: C:\WINDOWS\System32\CbEvtSvc.exe -k netsvcs 寫入檔案 C:\Documents and Settings\Administrator\Local Settings\Temp\.tt1.tmp C:\Documents and Settings\Administrator\Local Settings\Temp\.tt1.tmp.vbs C:\Documents and Settings\Administrator\Local Settings\Temp\.tt7.tmp C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\get_flash_update[1].exe C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\index2[1].htm C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\master[1].js C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\1[1].htm C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\dnd[1].js C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\metai[1].htm C:\Documents and Settings\Administrator\wXtwRzv.exe C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\BJW6A44R\04scan[1].exe C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\MMFL79XH\install[1].exe C:\WINDOWS\system32\blphcl76j0eg03.scr C:\WINDOWS\system32\CbEvtSvc.exe C:\WINDOWS\system32\drivers\4e0f5644.sys (Rootkit behaviors) C:\WINDOWS\system32\lphcl76j0eg03.exe C:\WINDOWS\system32\phcl76j0eg03.bmp C:\WINDOWS\Temp\.ttC9.tmp C:\WINDOWS\Temp\.ttC9.tmp.vbs C:\WINDOWS\Temp\.ttD0.tmp C:\WINDOWS\Temp\37D8BF6785C63DB6.tmp C:\WINDOWS\Temp\4AECE6A407384DE3.tmp C:\WINDOWS\Temp\92618DBC42FD0246.tmp C:\WINDOWS\Temp\ACBF1B06A8F8098A.tmp ※ 編輯: xiaoyao 來自: 140.130.189.41 (08/11 15:22)