病毒警告:主頁(yè)被改為main.94ak.com(TxHMoU.Exe,soS.Exe)
最近不少網(wǎng)友反映主頁(yè)被鎖定為main.94ak.com,導(dǎo)致這個(gè)問(wèn)題的原因其實(shí)就是最近風(fēng)行的一個(gè)名為soS.Exe的病毒所致,該病毒以前寫過(guò)很多文章了,但發(fā)現(xiàn)最近該病毒正通過(guò)移動(dòng)存儲(chǔ),大量的網(wǎng)頁(yè)掛馬和局域網(wǎng)arp欺騙方式瘋狂傳播,而且會(huì)下載大量木馬,甚至包括機(jī)器狗病毒,中毒者機(jī)器基本接近崩潰,因此下面把該病毒的完整解決方案詳述一下
病毒簡(jiǎn)要分析
File: TxHMoU.Exe
Size: 27136 bytes
Modified: 2007年12月16日, 12:12:07
MD5: 3A1382BE0C9B07DC403EC06ECED29649
SHA1: B4AD5D523A52F09E82EC5AB8E1DE3E44ACA909A4
CRC32: 4514BDF2
加殼方式:UPX
1.病毒運(yùn)行后,衍生如下副本:
%systemroot%\system32\AuToRUN.Inf
%systemroot%\system32\TxHMoU.Exe
在每個(gè)分區(qū)根目錄下面生成AuToRUN.Inf和soS.Exe,達(dá)到通過(guò)U盤等移動(dòng)存儲(chǔ)傳播的目的。
2.不斷調(diào)用reg.exe進(jìn)行相關(guān)的系統(tǒng)破壞,其中包括
(1)添加自身啟動(dòng)項(xiàng)目
(2)禁用Windows自動(dòng)更新
(3)禁用任務(wù)管理器
(4)破壞顯示隱藏文件
(5)不顯示文件擴(kuò)展名
3.遍歷磁盤分區(qū)刪除gho文件
4.感染所有磁盤分區(qū)的遍歷所有磁盤分區(qū)的INDEX.ASP,.HTM,INDEX.PHP,DEFAULT.ASP,DEFAULT.PHP,
CONN.ASP文件,并在其尾部加入ieframe代碼
5.連接網(wǎng)絡(luò)下載3個(gè)txt文本文檔,并把它們保存到%systemroot%\system32下面命名為FSEz.COM,
FSEx.COM,F(xiàn)SEc.COM,F(xiàn)SEv.COM,F(xiàn)SEb.COM等
這三個(gè)文本文檔一般分別為
http://*/url.txt
http://*/IE.txt
http://*/table.txt
其中
IE.txt為鎖定的主頁(yè)的列表
table.txt為關(guān)閉指定窗口的關(guān)鍵字列表
url.txt為下載的木馬列表
且table.txt,IE.txt會(huì)每隔幾秒下載一次檢查是否有更新..
之后會(huì)讀取IE.txt的中的內(nèi)容(里面一般為一個(gè)網(wǎng)址)
目前為http://main.94ak.com
之后病毒則會(huì)把IE主頁(yè)鎖定為http://main.94ak.com ,且使得Internet選項(xiàng)中主頁(yè)設(shè)定項(xiàng)變灰。
table.txt為病毒試圖關(guān)閉的窗口關(guān)鍵字列表,目前為:
360safe
木馬
木馬
病毒
殺毒
殺毒
查毒
防毒
反病毒
專殺
專殺
卡巴
江民
瑞星
卡卡社區(qū)
金山毒霸
毒霸
金山
社區(qū)
360安全
惡意軟件
流氓軟件
舉報(bào)
報(bào)警
殺軟
殺軟
防駭
微點(diǎn)
卡巴斯基
kaspersky
rising
瑞星
諾頓
之后會(huì)讀取url.txt下載一系列木馬和病毒
其中有目前比較流氓的機(jī)器狗病毒(破壞還原卡,替換userinit.exe)
中毒后的sreng日志如下:
啟動(dòng)項(xiàng)目
注冊(cè)表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
{crsss}{%systemroot%\system32\TxHMoU.Exe} []
{SSLDyn}{%systemroot%\SSLDyn.exE} []
{upxdnd}{%systemroot%\upxdnd.exe} []
{cmdbcs}{%systemroot%\cmdbcs.exe} []
{WinSysM}{%systemroot%\608769M.exe} [N/A]
{MsPrint32D}{%systemroot%\hhbgkp.exe} []
{KVP}{%systemroot%\system32\drivers\svchost.exe} []
{WinSysW}{%systemroot%\608769L.exe} [N/A]
{LotusHlp}{%systemroot%\LotusHlp.exe} []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
{AppInit_DLLs}{kaqhlzy.dll} []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
{{9963387B-212E-4643-B207-82DAEA0E713D}}{C:\Program Files\Internet
Explorer\PLUGINS\Wn_Sys8x.Sys} []
{{521DAF25-0CF6-4605-A66D-010E84546FED}}{%systemroot%\system32\edxqmewogy.dll}
[Microsoft Corporation]
{{AC87A354-ABC3-DEDE-FF33-3213FD7447CA}}{%systemroot%\system32\kvdxjma.dll} []
{{7960356A-458E-DE24-BD50-268F589A56A7}}{%systemroot%\system32\avwlgmn.dll} []
{{BD561258-45F3-A451-F908-A258458226DB}}{%systemroot%\system32\kvdxskma.dll} []
{{8A1247C1-53DA-FF43-ABD3-345F323A48D8}}{%systemroot%\system32\avwghmn.dll} []
{{C7D81718-1314-5200-2597-58790101807C}}{%systemroot%\system32\kaqhlzy.dll} []
{{68907901-1416-3389-9981-372178569986}}{%systemroot%\system32\kawdfzy.dll} []
{{F6650011-3344-6688-4899-345FABCD156F}}{%systemroot%\system32\ratbopi.dll} []
{{88847374-8323-FADC-B443-4732ABCD3788}}{%systemroot%\system32\sidjhzy.dll} []
{{809B3B49-72F3-491E-87FA-1753DA02FA06}}{%systemroot%\system32\vvneypgwnevm.dll}
[Microsoft Corporation]
{{B859245F-345D-BC13-AC4F-145D47DA34FB}}{%systemroot%\system32\avzxkmn.dll} []
{{45679330-4034-9021-7012-909856721374}}{%systemroot%\system32\wszjdzx.dll} []
==================================
驅(qū)動(dòng)程序
[RAS Asynchronous Media Driver / AsyncMac][Running/Auto Start]
{system32\DRIVERS\comint32.sys}{N/A}
[comint32 / comint32][Running/Manual Start]
{\??\%systemroot%\system32\DRIVERS\comint32.sys}{N/A}
==================================
正在運(yùn)行的進(jìn)程
[PID: 1732][%systemroot%\Explorer.exe] [Microsoft Corporation, 6.00.2900.2180
(xpsp_sp2_rtm.040803-2158)]
[%systemroot%\system32\kawdfzy.dll] [N/A, ]
[C:\Program Files\Internet Explorer\PLUGINS\Wn_Sys8x.Sys] [N/A, ]
[%systemroot%\system32\kvdxjma.dll] [N/A, ]
[%systemroot%\system32\avwlgmn.dll] [N/A, ]
[%systemroot%\system32\kvdxskma.dll] [N/A, ]
[%systemroot%\system32\avwghmn.dll] [N/A, ]
[%systemroot%\system32\kaqhlzy.dll] [N/A, ]
[%systemroot%\system32\ratbopi.dll] [N/A, ]
[%systemroot%\system32\sidjhzy.dll] [N/A, ]
[%systemroot%\system32\avzxkmn.dll] [N/A, ]
[%systemroot%\system32\wszjdzx.dll] [N/A, ]
[%systemroot%\608769MM.DLL] [N/A, ]
[%systemroot%\608769WL.DLL] [N/A, ]
[%systemroot%\system32\MsPrint32D.dll] [N/A, ]
[%systemroot%\system32\upxdnd.dll] [N/A, ]
[%systemroot%\system32\LotusHlp.dll] [N/A, ]
[%systemroot%\system32\cmdbcs.dll] [N/A, ]
[%systemroot%\system32\SSLDyn.dll] [N/A, ]
[%systemroot%\system32\kqldyqiyrj.dll] [Microsoft Corporation, 5.1.2600.3099]
[%systemroot%\system32\ydysogypiasj.dll] [Microsoft Corporation, 5.1.2600.3099]
...
清除辦法:
需要下載的工具:
1.sreng:http://download.kztechs.com/files/sreng2.zip
2.Xdelbox1.6版:http://www.dodudou.com/down/里面的原創(chuàng)軟件文件夾下
強(qiáng)烈建議對(duì)病機(jī)斷網(wǎng)隔離并拔掉機(jī)器上的移動(dòng)存儲(chǔ)設(shè)備再進(jìn)行查殺!
一.清除病毒主程序TxHMoU.Exe
1.打開(kāi)sreng
啟動(dòng)項(xiàng)目 注冊(cè)表
刪除
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
{crsss}{%systemroot%\system32\TxHMoU.Exe} []
重啟計(jì)算機(jī)
打開(kāi)sreng
系統(tǒng)修復(fù) - Windows Shell/IE 全選 點(diǎn)擊修復(fù)
之后雙擊我的電腦,工具,文件夾選項(xiàng),查看,單擊選取"顯示隱藏文件或文件夾" 并清除"隱藏受保護(hù)的操作系統(tǒng)文件(推薦)"前面的鉤。在提示確定更改時(shí),單擊“是” 然后確定
點(diǎn)擊 菜單欄下方的 文件夾按鈕(搜索右邊的按鈕)
在左邊的資源管理器中單擊打開(kāi)系統(tǒng)盤(假設(shè)在C盤)
刪除%systemroot%\system32\TxHMoU.Exe
C:\soS.Exe
C:\autorun.inf
%systemroot%\system32\FSEb.COM
%systemroot%\system32\FSEc.COM
%systemroot%\system32\FSEx.COM
%systemroot%\system32\TxHMoU.Exe
同理 從左邊的資源管理器中單擊打開(kāi)其它盤
刪除soS.Exe,autorun.inf
二.清除病毒下載的木馬(由于病毒服務(wù)器上的木馬群會(huì)隨時(shí)變化,所以此方法僅供參考)
需要使用剛剛下載的Xdelbox1.6
使用方法如下:
解壓Xdelbox壓縮包到一個(gè)文件夾
打開(kāi)XDelBox.exe
在 添加旁邊的框中 分別輸入(有經(jīng)驗(yàn)的朋友可以根據(jù)sreng日志列出下面的病毒列表)
%Program Files%\Internet Explorer\PLUGINS\Sy_Win7k.Jmp
%Program Files%\Internet Explorer\PLUGINS\Wn_Sys8x.Sys
%systemroot%\608769MM.DLL
%systemroot%\608769WL.DLL
%systemroot%\cmdbcs.exe
%systemroot%\LotusHlp.exe
%systemroot%\MsPrint32D.exe
%systemroot%\SSLDyn.exE
%systemroot%\system32\avwghmn.dll
%systemroot%\system32\avwghst.exe
%systemroot%\system32\avwlgmn.dll
%systemroot%\system32\avwlgst.exe
%systemroot%\system32\avzxkmn.dll
%systemroot%\system32\avzxkst.exe
%systemroot%\system32\cmdbcs.dll
%systemroot%\system32\drivers\comint32.sys
%systemroot%\system32\drivers\svchost.exe
%systemroot%\system32\edxqmewogy.dll
%systemroot%\system32\FTCCompress.dll
%systemroot%\system32\gdjzi32.dll
%systemroot%\system32\kaqhlaz.exe
%systemroot%\system32\kaqhlzy.dll
%systemroot%\system32\kawdfaz.exe
%systemroot%\system32\kawdfzy.dll
%systemroot%\system32\kvdxjisa.exe
%systemroot%\system32\kvdxjma.dll
%systemroot%\system32\kvdxskis.exe
%systemroot%\system32\kvdxskma.dll
%systemroot%\system32\LotusHlp.dll
%systemroot%\system32\LYLOADER.EXE
%systemroot%\system32\LYMANGR.DLL
%systemroot%\system32\MSDEG32.DLL
%systemroot%\system32\MsPrint32D.dll
%systemroot%\system32\msqdlsl32.dll
%systemroot%\system32\ratbopi.dll
%systemroot%\system32\ratbotl.exe
%systemroot%\system32\REGKEY.hiv
%systemroot%\system32\sidjhaz.exe
%systemroot%\system32\sidjhzy.dll
%systemroot%\system32\SSLDyn.dll
%systemroot%\system32\TxHMoU.Exe
%systemroot%\system32\upxdnd.dll
%systemroot%\system32\vvneypgwnevm.dll
%systemroot%\system32\wszjdax.exe
%systemroot%\system32\wszjdzx.dll
%systemroot%\upxdnd.exe
輸入完一個(gè)以后 點(diǎn)擊旁邊的添加 按鈕 被添加的文件 將出現(xiàn)在下面的大框中
然后在下面的大框中單擊右鍵 點(diǎn)擊 “立即重啟進(jìn)行刪除”
軟件會(huì)自動(dòng)重啟計(jì)算機(jī)
重啟計(jì)算機(jī)以后 會(huì)有兩個(gè)系統(tǒng)進(jìn)入的選擇的倒計(jì)時(shí)界面
第一個(gè)是你原來(lái)的windows系統(tǒng)
第二個(gè)是這個(gè)軟件給你設(shè)定的dos系統(tǒng)
不用你管,它會(huì)自動(dòng)選擇進(jìn)入第二個(gè)系統(tǒng)
類似dos的界面滾動(dòng)完畢以后 對(duì)應(yīng)的木馬就被刪除了
之后他會(huì)自動(dòng)重啟進(jìn)入正常模式
重啟計(jì)算機(jī)后
打開(kāi)sreng
刪除上述對(duì)應(yīng)的啟動(dòng)項(xiàng)目
三.清理機(jī)器狗病毒
1.清理機(jī)器狗病毒的驅(qū)動(dòng)程序
本次涉及到的是%systemroot%\system32\drivers\pcihdd.sys
方法使用Xdelbox直接刪除該文件即可
2.其次機(jī)器狗病毒清理的關(guān)鍵是把被感染的userinit.exe替換回來(lái)。
注意:清理該病毒一定不要使用殺毒軟件,因?yàn)闅⒍拒浖?huì)盲目的將userinit.exe刪除而導(dǎo)致重啟計(jì)算機(jī)后登陸就注銷,所以一旦殺毒軟件報(bào)警userinit.exe是病毒,一定要選擇忽略!
請(qǐng)按照下面步驟操作將userinit.exe替換回來(lái)
首先打開(kāi)任務(wù)管理器 查看是否有userinit.exe進(jìn)程
有則結(jié)束它
從其他相同系統(tǒng)的機(jī)器中找一個(gè)userinit.exe分別復(fù)制到%systemroot%\system32\dllcache和%systemroot%\system32替換原先的文件(注意,先覆蓋%systemroot%\system32\dllcache中的)
如果出現(xiàn)文件保護(hù)的對(duì)話框,點(diǎn)擊是即可
四.由于病毒感染htm等網(wǎng)頁(yè)文件 所以最后一定要使用殺毒軟件全盤殺毒或者使用網(wǎng)頁(yè)感染清除工具處理
推薦使用CSI的iframkill
下載地址:http://www.vaid.cn/blog/read.php?9
另外建議網(wǎng)管屏蔽以下IP地址
58.211.79.209
222.92.41.228
121.10.107.156
61.157.109.222
58.211.79.117
豫公網(wǎng)安備 41030402000039號(hào)
