|
| lsass.exe病毒的手工杀毒流程 |
| 作者 depressedboy 查看 262 发表时间 2008/7/28 11:41 【论坛浏览】 |
|
ztubsjkay lsass.exe样本来源:http://bbs.ikaka.com/showtopic.a ... cid=8528361#8824668;其MD5值为:a9c9901e7c9257aa263bcf3c417ca98b。其行为符合“病毒下载器”。瑞星20.54.51不报毒。ztubsjkay ztubsjkay 此毒特点:ztubsjkay 1、病毒运行后,在drivers目录下释放ntdapi.sys。此驱动加载后即刻删除自身;SSDT被完全恢复,瑞星、tiny监控完全实效。ztubsjkay 2、lsass.exe访问网络,下载大量病毒。其中包括c:\windows\system32\drivers\hbkernel.sys和c:\windows\system32\d32dx9.sys两个难杀的驱动。ztubsjkay 3、所有病毒下载完成后,大量病毒dll、dat插入多个应用程序模块运行。中毒用户运行SRENG、windows清理助手等工具---即刻被删除。但IceSword和autoruns不受此毒影响。ztubsjkay ztubsjkay ztubsjkay autoruns日志所见异常如下:ztubsjkay ztubsjkay HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ztubsjkay + HBmhly c:\windows\system32\hbmhly.exeztubsjkay HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components ztubsjkay + n/a c:\windows\system32\xllylqait\lsass.exeztubsjkay + n/a c:\windows\system32\vsk\lsass.exeztubsjkay HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks ztubsjkay + adsntzt.dll c:\windows\system32\adsntzt.dllztubsjkay + apsghjba.dll c:\windows\system32\apsghjba.dllztubsjkay + apzhdtde.dll c:\windows\system32\apzhdtde.dllztubsjkay + bootvidgj.dll c:\windows\system32\bootvidgj.dllztubsjkay + ddserh.dll c:\windows\system32\ddserh.dllztubsjkay + dispexcb.dll c:\windows\system32\dispexcb.dllztubsjkay + dpvvoxmh.dll c:\windows\system32\dpvvoxmh.dllztubsjkay + fmcvxy.dll c:\windows\system32\fmcvxy.dllztubsjkay + jfrwdh.dll c:\windows\system32\jfrwdh.dllztubsjkay + lweurqhx.dll c:\windows\system32\lweurqhx.dllztubsjkay + msobjstl.dll c:\windows\system32\msobjstl.dllztubsjkay + mstimewd.dll c:\windows\system32\mstimewd.dllztubsjkay + windows64.sys c:\program files\internet explorer\plugins\windows64.sysztubsjkay HKLM\System\CurrentControlSet\Services ztubsjkay + HBKernel c:\windows\system32\drivers\hbkernel.sysztubsjkay + HiddFldy c:\windows\system32\d32dx9.sysztubsjkay HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls ztubsjkay + jolin0.dll c:\windows\system32\jolin0.dllztubsjkay + msspcyn.dll c:\windows\system32\msspcyn.dllztubsjkay + myusemt.dll c:\windows\system32\myusemt.dllztubsjkay + soeehy.dll c:\windows\system32\soeehy.dllztubsjkay + tennfs.dll c:\windows\system32\tennfs.dllztubsjkay + wcnonpe.dll c:\windows\system32\wcnonpe.dllztubsjkay + welyri.dll c:\windows\system32\welyri.dllztubsjkay + woswelc.dll c:\windows\system32\woswelc.dllztubsjkay + ytfa.dll File not found: ytfa.dllztubsjkay + ytfb.dll File not found: ytfb.dllztubsjkay + ytfc.dll File not found: ytfc.dllztubsjkay + zsqf.dll c:\windows\system32\zsqf.dllztubsjkay ztubsjkay 手工杀毒流程见图1-图3。ztubsjkay ztubsjkay 注意:ztubsjkay ztubsjkay 1、设置软件限制策略路径规则前,须先在“指派的文件类型”中添加DLL、SYS、DAT、NLS等文件类型,并在“强制”属性中勾选“所有软件”。否则,本帖介绍的利用软件限制策略的手工杀毒流程无效。ztubsjkay ztubsjkay ztubsjkay 2、在不同的电脑中,病毒主程序lsass.exe所在目录名有所不同(此目录名是病毒自己建立的)。我的电脑中,病毒lsass.exe所在目录名为:ztubsjkay c:\windows\system32\xllylqait\ztubsjkay c:\windows\system32\vsk\ztubsjkay ztubsjkay 3、c:\windows\system32\目录下的那个zuwugcf.dll文件名也随不同的电脑而异。我的本本中运行过此毒的3个不同变种,但这个dll文件名一直保持为zuwugcf。同一台电脑中,注册表中其相应的服务名也不变。ztubsjkay ztubsjkay ztubsjkay  ztubsjkayztubsjkay ztubsjkay ztubsjkay ztubsjkay ztubsjkay  ztubsjkayztubsjkay ztubsjkay ztubsjkay [ 本帖最后由 depressedboy 于 2008-7-28 11:48 编辑 ] |
| 序号 | 评论者 | 共有评论 0 【论坛浏览】 【发表评论】 | 评论时间 |
| 当前无任何评论,或评论已被禁止显示 | |||
共有评论数 0 每页显示 10
|
|||
