【转帖】一个坏事做绝的U盘病毒

lkj1025

最近发现一个比较猖獗的 U盘病毒 剑盟的jzb770325001也做了分析 不过个人感觉不太全面 昨天从某网友那获得了样本 分析了一下
可以说 能用到的手段都用到了
1.破坏安全模式
2.不能显示隐藏文件
3.结束常见杀毒软件以及常用杀毒工具进程
4.监控窗口
5.IFEO映像劫持
6.可以通过移动存储传播
下面就具体分析一下这个病毒
File: 8668122F.exe
Size: 35912 bytes
MD5: 394A70F8591EAF1C3D1B0F85C45D3767
SHA1: 9A04503D5850F130CA619923E816C0FF4DBE9910
CRC32: 9B70F042
加壳方式  UPX
病毒文件名应该是一个随机的8个数字和字母组成的组合
更加增加了 查杀的难度

病毒运行后
在C:\Program Files\Common Files\Microsoft Shared\MSInfo\下面释放一个同样由8个数字和字母组成的组合的文件名的dll  和一个同名的dat 文件
我这里是C:\Program Files\Common Files\Microsoft Shared\MSInfo\41115BDD.dll
该dll插入Explorer进程
结束（包括但不限于）以下进程
360rpt.exe   
360Safe.exe   
360tray.exe   
adam.exe   
AgentSvr.exe   
AppSvc32.exe      
autoruns.exe            
avgrssvc.exe  
AvMonitor.exe  
avp.com  
avp.exe  
CCenter.exe  
ccSvcHst.exe      
FileDsty.exe  
FTCleanerShell.exe  
HijackThis.exe  
IceSword.exe  
iparmo.exe  
Iparmor.exe  
isPwdSvc.exe  
kabaload.exe  
KaScrScn.SCR      
KASMain.exe  
KASTask.exe  
KAV32.exe  
KAVDX.exe  
KAVPFW.exe  
KAVSetup.exe  
KAVStart.exe  
KISLnchr.exe  
KMailMon.exe      
KMFilter.exe  
KPFW32.exe  
KPFW32X.exe  
KPFWSvc.exe  
KRegEx.exe  
KRepair.COM  
KsLoader.exe  
KVCenter.kxp  
KvDetect.exe  
KvfwMcl.exe  
KVMonXP.kxp  
KVMonXP_1.kxp  
kvol.exe  
kvolself.exe  
KvReport.kxp
KVScan.kxp  
KVSrvXP.exe  
KVStub.kxp  
kvupload.exe      
kvwsc.exe  
KvXP.kxp  
KvXP_1.kxp  
KWatch.exe  
KWatch9x.exe  
KWatchX.exe  
loaddll.exe  
MagicSet.exe  
mcconsol.exe      
mmqczj.exe  
mmsk.exe  
NAVSetup.exe  
nod32krn.exe      
nod32kui.exe  
PFW.exe  
PFWLiveUpdate.exe  
QHSET.exe  
Ras.exe  
Rav.exe  
RavMon.exe  
RavMonD.exe  
RavStub.exe  
RavTask.exe  
RegClean.exe  
rfwcfg.exe  
RfwMain.exe  
rfwProxy.exe      
rfwsrv.exe  
RsAgent.exe  
Rsaupd.exe  
runiep.exe  
safelive.exe  
scan32.exe  
shcfg32.exe  
SmartUp.exe
SREng.exe  
symlcsvc.exe  
SysSafe.exe  
TrojanDetector.exe  
Trojanwall.exe  
TrojDie.kxp  
UIHost.exe  
UmxAgent.exe  
UmxAttachment.exe  
UmxCfg.exe  
UmxFwHlp.exe  
UmxPol.exe  
UpLive.EXE.exe  
WoptiClean.exe   
zxsweep.exe
常见的杀毒软件和一些安全工具都被他干掉了
然后将这些exe通过IFEO进行映像劫持 指向c:\program files\common files\microsoft shared\msinfo\41115bdd.dat

监控带有如下字样的窗口 如果发现带有如下字样的窗口则马上将其关闭
木马
木馬
病毒
杀毒
殺毒
查毒
防毒
反病毒
专杀
專殺
卡巴斯基
江民
瑞星
卡卡社区
金山毒霸
金山社区
360安全
恶意软件
流氓软件
举报
报警
杀软
殺軟
防駭

以上这些监控和关闭窗口的工作全都是由插入Explorer进程的C:\Program Files\Common Files\Microsoft Shared\MSInfo\41115BDD.dll操作的
比熊猫更狠 让你找不到进程咯
然后在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
下面添加注册表项目  <{15BD4111-4111-5BDD-115B-111BD1115BDD}><C:\Program Files\Common Files\Microsoft Shared\MSINFO\41115BDD.dll>  [N/A]
达到开机启动目的
而且那个dll会监控这个注册表项目 如果被删除则立即恢复

删除键
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
破坏安全模式

修改HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue值为0x00000000
使得显示不了隐藏文件

释放8668122F.exe和autorun.inf到除系统分区外的其他分区


然后通过Explorer进程链接网络下载一个自解压文件dl1.exe 到临时文件夹
自解压文件释放C:\WINDOWS\system\20290.exe
C:\WINDOWS\system\ad1309.exe
C:\WINDOWS\system\DiskFree_hy1.5.exe
C:\WINDOWS\system\dodolook027.exe等文件
这里面有驱动木马 也有流氓软件
所有的文件都运行后
添加了如下文件

C:\WINDOWS\system32\drivers\acpidisk.sys
C:\WINDOWS\system32\drivers\tolnfo47.sys
C:\WINDOWS\system32\drivers\vilpew30.sys
C:\WINDOWS\system32\drivers\ykagjt85.sys
C:\WINDOWS\system32\1b.dll
C:\WINDOWS\system32\48a69
C:\WINDOWS\system32\60e4.exe
C:\WINDOWS\system32\7df9.dll
C:\WINDOWS\system32\91b6.dll
C:\WINDOWS\system32\b60.dll
C:\WINDOWS\system32\bpjlgv91.dll
C:\WINDOWS\system32\df91.dll
C:\WINDOWS\system32\f91b.exe
C:\WINDOWS\system32\ieagent.exe
C:\WINDOWS\system32\mprmsgse.axz
C:\WINDOWS\system32\mscpx32r.det
C:\WINDOWS\system32\MSRundll.exe
C:\WINDOWS\system32\ntprint.dIl
C:\WINDOWS\system32\tolnfo47.dll
C:\WINDOWS\system32\tolnfo47.ini
C:\WINDOWS\system32\vilpew30.dll
C:\WINDOWS\system32\wingjt85.bin
C:\WINDOWS\system32\wingjt85.dll
C:\WINDOWS\system32\winkx.dll
C:\WINDOWS\system32\winlgv91.bin
C:\WINDOWS\system32\winpew30.bin
C:\WINDOWS\system32\winpew30.dll
C:\WINDOWS\system32\ykagjt85.dll
C:\WINDOWS\system32\cewrndm.dll
C:\WINDOWS\system32\tolnfo47.dll
C:\WINDOWS\system32\vilpew30.dll
C:\WINDOWS\system32\b60.dll
C:\WINDOWS\03.bmp
C:\WINDOWS\3fa.exe
C:\WINDOWS\41115BDD.hlp
C:\WINDOWS\fa7c.txt
C:\Program Files\Internet Explorer\PLUGINS\system2.jmp
C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys
还装了两个软件 一个是adpush software 一个是disk free

下面说说解决方法：
由于那个插入Explorer的dll是元凶 所以我们应该首先干掉那个dll
常见的小工具都被他弄掉了 找个没被屏蔽的吧
Xdelbox1.2 这个可以删除Windows下无法删除的文件 具体使用方法参考http://hi.baidu.com/newcenturysu ... 56164443a9ada0.html（里面有下载地址）

首先用Xdelbox 删除C:\Program Files\Common Files\Microsoft Shared\MSInfo\41115BDD.dll
重启
下载autoruns 由于IFEO也劫持了autoruns 所以我们将其改名

打开后 找到Image hijacks 里面除了+ Your Image File Name Here without a path    Symbolic Debugger for Windows 2000    Microsoft Corporation    c:\windows\system32\ntsd.exe这项以外 全部删除

删除后 sreng就可以运行咯

打开他
系统修复 高级修复 修复安全模式
好了 成功后 重启 F8进入安全模式

打开sreng
启动项目  注册表 删除如下项目

  <{754FB7D8-B8FE-4810-B363-A788CD060F1F}><C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys>  []
    <{15BD4111-4111-5BDD-115B-111BD1115BDD}><C:\Program Files\Common Files\Microsoft Shared\MSINFO\41115BDD.dll>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ctl3d32]
    <WinlogonNotify: ctl3d32><cewrndm.dll>  []
“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”，
选中以下项目，点“删除服务”，再点“设置”，在弹出的框中点“否”：

[IEAgent service / IEAgent][Stopped/Auto Start]
  <"C:\WINDOWS\system32\ieagent.exe"><>
[Fax Client / ms_fax][Running/Auto Start]
  <C:\WINDOWS\system32\60e4.exe><N/A>

添加删除程序中卸载adpush software 和disk free
再次请出Xdelbox
强制删除如下文件
C:\WINDOWS\system32\drivers\acpidisk.sys
C:\WINDOWS\System32\DRIVERS\bpjlgv91.sys
C:\WINDOWS\System32\DRIVERS\tolnfo47.sys
C:\WINDOWS\System32\DRIVERS\vilpew30.sys
C:\WINDOWS\System32\DRIVERS\ykagjt85.sys
C:\WINDOWS\system32\cewrndm.dll
C:\WINDOWS\system32\tolnfo47.dll
C:\WINDOWS\system32\vilpew30.dll
C:\WINDOWS\system32\ykagjt85.dll
C:\WINDOWS\system32\b60.dll
C:\WINDOWS\system32\ieagent.exe
C:\WINDOWS\system32\1b.dll

重启
安全模式下 打开sreng
在“启动项目”-“服务”-“驱动程序”中点“隐藏经认证的微软项目”，
选中以下项目，点“删除服务”，再点“设置”，在弹出的框中点“否”：
[acpidisk / acpidisk][Running/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\acpidisk.sys><N/A>
[bpjlgv9 / bpjlgv91][Stopped/Boot Start]
  <\SystemRoot\System32\DRIVERS\bpjlgv91.sys><N/A>
[tolnfo4 / tolnfo47][Running/Boot Start]
  <\SystemRoot\System32\DRIVERS\tolnfo47.sys><N/A>
[vilpew3 / vilpew30][Running/Boot Start]
  <\SystemRoot\System32\DRIVERS\vilpew30.sys><Microsoft Corporation>
[ykagjt8 / ykagjt85][Running/Boot Start]
  <\SystemRoot\System32\DRIVERS\ykagjt85.sys><Microsoft Corporation>

浏览器加载项中删除
[CAdLogic Object]
  {11F09AFD-75AD-4E51-AB43-E09E9351CE16} <C:\Program Files\Common Files\CPUSH\cpush0.dll, >
[Abho Class]
  {1238F6B9-C123-4049-B07E-7A71AF320032} <C:\WINDOWS\system32\b60.dll, TODO: <公司名>>
[Info cache]
  {385AB8C6-FB22-4D17-8834-064E2BA0A6F0} <C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll, 金泰丰(广州)科技有限公司>

删除上述

把下面的 代码拷入记事本中然后另存为1.reg文件
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

双击1.reg把这个注册表项导入

双击我的电脑－工具－文件夹选项－查看－显示所有文件和文件夹，把“隐藏受保护的系统文件”的勾去掉。

右击点击 菜单上的打开 打开除系统分区外的其他分区 删除autorun.inf和8668122F.exe（文件名随机）

删除如下文件
C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys
C:\WINDOWS\system32\1b.dll
C:\WINDOWS\system32\48a69
C:\WINDOWS\system32\60e4.exe
C:\WINDOWS\system32\7df9.dll
C:\WINDOWS\system32\91b6.dll
C:\WINDOWS\system32\b60.dll
C:\WINDOWS\system32\bpjlgv91.dll
C:\WINDOWS\system32\df91.dll
C:\WINDOWS\system32\f91b.exe
C:\WINDOWS\system32\ieagent.exe
C:\WINDOWS\system32\mprmsgse.axz
C:\WINDOWS\system32\mscpx32r.det
C:\WINDOWS\system32\MSRundll.exe
C:\WINDOWS\system32\ntprint.dIl
C:\WINDOWS\system32\tolnfo47.dll
C:\WINDOWS\system32\tolnfo47.ini
C:\WINDOWS\system32\vilpew30.dll
C:\WINDOWS\system32\wingjt85.bin
C:\WINDOWS\system32\wingjt85.dll
C:\WINDOWS\system32\winkx.dll
C:\WINDOWS\system32\winlgv91.bin
C:\WINDOWS\system32\winpew30.bin
C:\WINDOWS\system32\winpew30.dll
C:\WINDOWS\03.bmp
C:\WINDOWS\3fa.exe
C:\WINDOWS\41115BDD.hlp
C:\WINDOWS\fa7c.txt
原帖出处：http://hi.baidu.com/newcenturysu ... 56164443a9ada0.html

dreamyfish

太强了。  佩服～～～！
  如此好帖 怎么没人顶呢 =D

80160682

这种类病毒现在还没有专杀工具吗?

pippo

谢谢楼主的好帖,目前很多人都在找解决方法,可惜了这种帖子,没多久就沉了,真正需要的人多半看不到.

format

这个得留名,

beyondest

恩 真的和朋友的机器表现 很相似

T22-T22

昨天就被这个垃圾给中标了。。。已经解决！

Iat

我朋友一个U盘, 插到哪个机子,哪个机子就完蛋,什么杀毒,360,瑞星,全都完蛋..  格式化都没用...

T22-T22

解决办法： U盘病毒专杀工具－USBCLEANERV6.0 Build20070526 Released!
http://download.usbcleaner.cn/do ... cleaner20070526.rar

最好把下载的软件拷贝到干净的U盘，然后给U盘写保护；然后查杀病毒；；

onescoop

做个专杀吧，简单快捷。

pippo

我现在也是看见u盘就怕啊.

onescoop

是否是针对这个病毒的？

T22-T22

不完全是针对这个病毒的。
但是可以阻止这个病毒的一些隐蔽进程；可以发现带毒进程并删除；
然后还要手工操作一下，删除病毒程序；
并且手工回复被破坏的安全模式等；；

zhaozhao123

这个帖子怎么没早点出来呢，前阵子刚中招了，害得我重新恢复系统，超级变态的病毒！！

80160682

奇怪的是所有的杀毒软件都不能杀这种病毒吗?

夜雨灯

谁***这么狠？！写这么个玩意儿出来？

yeton

帮顶.我只是用电脑的人,不是研究电脑的人.这贴顶起来为大家.

ffshow

这么厉害啊

440440

备用

这帖写的够具体

fang5566

好帖 我朋友就中了这个病毒，我用icesword强制删除这个病毒文件结果无效！居然连icesword都搞不定啊！

jiangshilin

好变态的病毒

alextooter

很简单的方法防止它传播：在每个分区根目录下面建立一个叫autorun.inf的文件夹。

diomandcold

嗯，这个病毒比较厉害，很多杀软都不能防一样，在组策略将自动播放禁了就行了

xhuhai

历害!

ZMin

现在的病毒是越来越厉害了。

梨子精

现在病毒越来越狠了

xu_dd

这个病毒还真是很变态

chippendale

好强的病毒。。唉。。。

yourfrishen

最近的小心点了。。。

87c

少做两件坏事：
1、删除所有.GHO文件
2、删除隐藏分区