邮件服务器-邮件系统-邮件技术论坛(BBS)

标题: u盘病毒之tel.xls.exe(Kaspersky:Trojan.Win32.Agent.abu)分析解决 [打印本页]

作者: 钉子    时间: 2006-11-29 11:09
标题: u盘病毒之tel.xls.exe(Kaspersky:Trojan.Win32.Agent.abu)分析解决
*******原创by hzqedison@2dai 本文欢迎转载但请转载时保留本行内容*******

文件名称: tel.xls.exe

File size: 110592 bytes
MD5: 3dc040cb3a352a8577f44a1ff8ef8ca8
SHA1: acf12d3a843126cc98efd9f8e77c1cf14b027a70
packers: BINARYRES
packers: embedded
编写语言: vb
杀软报为:
Kaspersky:Trojan.Win32.Agent.abu
DrWeb:BACKDOOR.Trojan packed by BINARYRES


详细资料:   
文件变化:
释放文件
%SystemRoot%\system32\FileKan.exe
%SystemRoot%\system32\SocksA.exe
%SystemRoot%\BACKINF.TAB
%SystemRoot%\Session.exe
%SystemRoot%\svchost.exe(隐藏)
%SystemRoot%\ufdata2000.log
%Temp%下释放两个随机名的临时文件(*.tmp)
释放每个盘符下
AUTORUN.INF (隐藏)
tel.xls.exe(隐藏)
替换系统文件%SystemRoot%\system32\mmc.exe(隐藏)



注册表变化:
注册表中添加
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
ASocksrv=SocksA.exe
/*实现随系统启动自动运行*/
HKLM\SYSTEM\ControlSet001\Services\mmc\ImagePath: "C:\WINDOWS\system32\mmc.exe"
HKLM\SYSTEM\ControlSet001\Services\mmc\DisplayName: "Smart Card Supervisor"
HKLM\SYSTEM\ControlSet001\Services\mmc\ObjectName: "LocalSystem"
/*添加服务[Smart Card Supervisor / mmc]
<C:\WINDOWS\system32\mmc.exe><N/A>*/

删除注册表
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue: 0x00000001
/*把隐藏给删除*/

文件动作
连接本地127.0.0.1:3000



系统症状:
双击盘符不能进入盘符
windows任务管理器出现了一个kill的程序


鼠标右键点盘符出现"Auto"字样
无法显示隐藏文件
系统变慢,CPU经常100%


解决方法:
1.Ctrl + Alt + Del 打开任务管理器
结束应用程序中的kill和进程中的mmc.exe

2.删除注册表中添加
下载sreng
用sreng
下载地址:
http://www.kztechs.com/sreng/sreng2.zip
删除启动项目
  <ASocksrv><SocksA.exe> [1]
删除服务
Win32服务应用程序=>删除服务=>设置=>删除
[Smart Card Supervisor / mmc]
<C:\WINDOWS\system32\mmc.exe><N/A>

3.下载killbox,复制以下路径删除文件
下载地址:
http://www.killbox.net/downloads/KillBox.exe

C:\WINDOWS\system32\FileKan.exe
C:\WINDOWS\system32\SocksA.exe
C:\WINDOWS\BACKINF.TAB
C:\WINDOWS\Session.exe
C:\WINDOWS\svchost.exe
C:\WINDOWS\ufdata2000.log
C:\WINDOWS\system32\mmc.exe

4.恢复显示所有的文件项
开始=>运行=>regedit找到HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL单击右键"新建" - "Dword值",并命名为CheckedValue,然后修改它的键值为1
或者你直接复制到以下代码到记事本,然后保存文件格式为.reg,最后双击导入即可
CODE:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105
[url=][Copy to clipboard][/url]

5.打开任意文件夹窗口=》工具=》文件夹选项=》查看----取消隐藏受保护的系统文件前面的钩(出现提示点是)----选中显示所有文件和文件----取消隐藏已知文件类型扩展名前面的勾

6.右键=>打开进入每个盘符 依次删除每个盘符里的文件
AUTORUN.INF
tel.xls.exe

7.复制别人机子里的正常文件到自己的相同路径
C:\WINDOWS\system32\mmc.exe

也可以下载以下连接复制到自己的系统下(下载后请自行验证md5值)
简体中文版本xp2
http://hzqedison.mm9mm.com/virus/chinese-simp/mmc.exe(md5:0842B1FDFA334F18BCA1BF6CC7F56D1B)
繁体中文版本xp2
http://hzqedison.mm9mm.com/virus/chinese-trad/mmc.exe
(md5:C658D7038BFE5BD47D7C4730C364854E)
英文版本xp2
http://hzqedison.mm9mm.com/virus/english/mmc.exe
(md5:808A9C735682FA8F23747F7E3E765C3B)

作者: 爱才回来    时间: 2006-12-10 15:13

作者: zhsongcao    时间: 2008-3-6 09:17
好帖子,支持,真不错,赞一个,继续努力啊




欢迎光临 邮件服务器-邮件系统-邮件技术论坛(BBS) (http://5dmail.net/bbs/) Powered by Discuz! X3.2