你的位置:pcMing工作室 >> 资讯 >> windows >> 安全&病毒 >> 详细内容 在线投稿

手动清除U盘病毒GHO.exe

排行榜 收藏 打印 发给朋友 举报 来源: 互联网   发布者:未知
热度1077票  浏览255次 【共0条评论】【我要评论 时间:2010年2月12日 20:07

I/]$zPC9Bm0U盘病毒GHO.exe的手动清除pcMing工作室$t HJ _ y|"}6v!I

n$A}` P5~0病毒是原来分析过的niu.exe的变种
$p7u\ jSX0具体分析如下:
d?S7U;|*H}0i0File: GHO.exepcMing工作室&H"P$Z+q)V5m
Size: 27956 bytes
3y [!O2[&eB5`0MD5: CE20FD06E488A52E991C87696E4797A7
,xNa'e7y!s8Jj+|0SHA1: 3AD8467C8414E666111A7DC76698D0271595DFC9pcMing工作室Y g9j i B W1r/r*z@f
CRC32: BC91AA1B

@$`6O;^:W0wo0E0pcMing工作室Z9~ x F9EX kX

病毒运行后:
M8]q0aREb0生成如下文件:
7w4M)rDPDb0%system32%\crsss.exepcMing工作室8K(h@"Nj.u'[
在每个分区下面释放pcMing工作室\4` j)~/\!e'iF&K
autorun.inf和gho.exe 右键菜单无变化pcMing工作室t.YI1ms9\

+j?N7a:t}`\%P[0遍历所有分区的htm文件pcMing工作室*m2F)\kW(]'jI
在其后面 插入代码(插入的代码由后面连接网络读取的http://www.*.com.cn/xz/3.txt里面的内容决定)

[CK3? J j)r2U0

.bd"f%g S'^]po(a0注册表变化:

V*gd4QO,_ Ml$Xj"c]0

k6qz X[4?U8]0HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunpcMing工作室} J/PVT.k
下添加键值crsss指向 C:\WINDOWS\system32\crsss.exe 达到开机启动的目的

0r`*wo f N0pcMing工作室@~Q\{ f_

通过reg.exe不断修改以下注册表键值pcMing工作室&uz1P1S9n%n
在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies下面增加WindowsUpdate子键 在其中设置名为pcMing工作室~){'xxzaJ

pcMing工作室 wUY5G(mAFKt

DisableWindowsUpdateAccess键值 并把其值设置为0x00000001 关闭系统自动更新

N*k%OFGy0pcMing工作室q-CJ5j1S0Dy

修改HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL的值为0x00000000 屏蔽显示隐藏文件

3ia9ACc.xoN Z0

)TJhRuYZ|8C6]x0试图修改HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page键值(被修改的键值随时改变,具体情况由pcMing工作室%]&e3||?G;n

pcMing工作室"i*e4`k2qH

http://www.*.com.cn/xz/2.txt里面的内容决定pcMing工作室v*Zfg-i,D3P_0Y
并且修改HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel\HomePage 的值为00000001pcMing工作室 V-|u.PkuxNk
使得IE主页修改按钮失效pcMing工作室*mV9ydB

cI4Dj R!O;I#x0其他变化:修改系统时间为2000年,月 日不变

Fd xDAp!g/?0pcMing工作室*zu;Ax8S*F@

读取http://www.*.com.cn/xz/1.txt里面的内容下载木马
zFe,}9H2t7]/|yJD0http://www.*.com.cn/xz/mh.exe
%FY}{y@0http://www.*.com.cn/xz/zt.exe
@#mh ~"Ox1mMp0http://www.*.com.cn/xz/qj.exepcMing工作室2BA3S-jI8~XE XzBc{
http://www.*.com.cn/xz/zx.exe
r4W-ON%|/M{$No,HO0http://www.*.com.cn/xz/ms.exe
rmR"o|W.FCq0http://www.*.com.cn/xz/my.exe
Ee(ZI%jav ? W0http://www.*.com.cn/xz/tl.exepcMing工作室P8uf?8nv
http://www.*.com.cn/xz/rx.exe
o"qyp(y?+_EJ0http://www.*.com.cn/xz/wd.exe
*h{+_yaH[r0http://www.*.com.cn/xz/dh.exepcMing工作室iz `:h\C
http://www.*.com.cn/xz/tz.exepcMing工作室 JYy"?#^]%v
http://www.*.com.cn/xz/gj.exepcMing工作室dO.co7?/{$m
http://www.*.com.cn/xz/tt.exe
4PCTT:B.z%Q0到系统文件夹 分别命名为0temp.exe~13temp.exe(部分链接已失效)

UL,c!Eq,i&po0pcMing工作室dMBs1]2dD

木马全部植入完毕以后,生成如下文件pcMing工作室Un rdr
C:\Program Files\Internet Explorer\PLUGINS\SysWin64.JmppcMing工作室8B{1A#bt9l+X&^6J
C:\Program Files\Internet Explorer\PLUGINS\WinSys64.Sys
7il#ou3B&X0C:\Program Files\NetMeeting\rav*mon.cfgpcMing工作室] y(TV9^
C:\Program Files\NetMeeting\rav*mon.datpcMing工作室,Ie0K0O8R-J5a
C:\Program Files\NetMeeting\rav*mon.exe(*代表两个随机字母)pcMing工作室(D5H(WW0L,DI A
C:\WINDOWS\system32\mssock.syspcMing工作室o[]@Jo
C:\WINDOWS\system32\mssql.dll
f[4I-|yx6Y`1t0...pcMing工作室I,M P,@+xn:j Lh

%Mdj qIo0其中的盗号木马会盗取包括如下网络游戏的密码(但不限于)
rTetU(W4CP0侏仙
4T+W4[;{#UH(t0风云
!f0O%RmpBQ a0雄霸天下pcMing工作室A0P2m6R"}[6GcK
完美世界
4W5J+B"eO.p0梦幻西游pcMing工作室;K.K:tbO%b
魔兽世界
;R"CL }2K{i0魔域pcMing工作室1Pi;[u-~ZtW5FXd
奇迹世界pcMing工作室rDy)` s%?
问道pcMing工作室C0n;G^iL%K
QQpcMing工作室+pjOQ L/E!yh'MO

pcMing工作室r{%OjV5Epf'c

对应的sreng日志如下
e|w/i}4_L0[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
Q^'vB e ow;b?0<crsss><C:\WINDOWS\system32\crsss.exe> []
4~3W OK`#Da6l?2@0<ravmhmon><C:\Program Files\NetMeeting\ravmhmon.exe> []
V*x2ws j vx0<ravztmon><C:\Program Files\NetMeeting\ravztmon.exe> []
*h7ut\*pz0<ravqjmon><C:\Program Files\NetMeeting\ravqjmon.exe> []
'h+xO u0A;^~ ]7Z)b0<ravzxmon><C:\Program Files\NetMeeting\ravzxmon.exe> []
qO5a/Gg0<ravmsmon><C:\Program Files\NetMeeting\ravmsmon.exe> []
w GC8ZFUF/u-M0<ravmymon><C:\Program Files\NetMeeting\ravmymon.exe> []pcMing工作室3]%nj2D%Q&yT gIn
<ravfymon><C:\Program Files\NetMeeting\ravfymon.exe> []
%jE/{B6D8~,g"y`0<ravwdmon><C:\Program Files\NetMeeting\ravwdmon.exe> []
[(U9Ub DH0[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
-sM/A([!LQH{[0<{5D83AD9C-3BFC-43F5-979D-2904DBC54A8E}><C:\Program Files\Internet Explorer\PLUGINS\WinSys64.Sys> []
'zd;Oj.T6S0<{DD7D4640-4464-48C0-82FD-21338366D2D2}><C:\Program Files\Internet Explorer\InfoMs.tdm> []
GH`#]{*C+T_l'}0==================================pcMing工作室T9gG~0TJ4|
正在运行的进程pcMing工作室VIx`4OKW`7E
[PID: 1680][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]pcMing工作室[y{6p"v-I
[C:\Program Files\Internet Explorer\PLUGINS\WinSys64.Sys] [N/A, ]pcMing工作室 eX.O5XN)na+o
[C:\Program Files\NetMeeting\ravmhmon.dat] [N/A, ]pcMing工作室;U]|U3Xj5o9U
[C:\Program Files\NetMeeting\ravztmon.dat] [N/A, ]
/j p#tE5p'q4X5}-n L0[C:\Program Files\NetMeeting\ravqjmon.dat] [N/A, ]
k,e`z eX QV0[C:\Program Files\NetMeeting\ravzxmon.dat] [N/A, ]
`:jhu|u0[C:\Program Files\NetMeeting\ravmymon.dat] [N/A, ]pcMing工作室br%Fi7IqO BR
[C:\Program Files\NetMeeting\ravmsmon.dat] [N/A, ]pcMing工作室%cv&B k3rF*\l
[C:\Program Files\NetMeeting\ravfymon.dat] [N/A, ]
K-E8}!W3}XDR$A0[C:\Program Files\NetMeeting\ravgjmon.dat] [N/A, ]
2H-\3KH:\5D0[C:\Program Files\NetMeeting\ravwdmon.dat] [N/A, ]pcMing工作室^-f?2f(JWPX
[C:\Program Files\Internet Explorer\InfoMs.tdm] [N/A, ]
?I-?TkO5|J0[C:\WINDOWS\system32\mssql.dll] [N/A, ]
7Q8n @Ch"Kp)x"W0==================================
P5g.D GAk2jIN`0Winsock 提供者
Vez M.C%q0MSSQL Tcpip [TCP/IP]
"];|!^q n/E `0C:\WINDOWS\system32\mssql.dll(, N/A)
}(rp'`Wjs+V"}4{0MSSQL Tcpip [UDP/IP]
&|yM|;_ew0C:\WINDOWS\system32\mssql.dll(, N/A)pcMing工作室5XV^aGH3R
<ravgjmon><C:\Program Files\NetMeeting\ravgjmon.exe> []

.iV{2z4h6D2?0

;E'y$L2l8Q0

12
顶:55 踩:70
对本文中的事件或人物打分:
 当前平均分:0.07 (321次打分)
对本篇资讯内容的质量打分:
 当前平均分:-0.01 (298次打分)
【已经有333人表态】
43票
感动
34票
路过
45票
高兴
31票
难过
52票
搞笑
34票
愤怒
52票
无聊
42票
同情
上一篇 下一篇
发表评论
换一张

网友评论仅供网友表达个人看法,并不表明本网同意其观点或证实其描述。

查看全部回复【已有0位网友发表了看法】

图文资讯

最新报道

网络资源