AV Killer同学,进步了。。。 推荐
2007-10-25 19:55
246 查看
又更新了(为什么要说又?)``
今天硬是没吃晚饭(害我挨K了,郁闷),跟了2小时,技术方面提高不少~~~
……………………………………………………………………
文件名称:随机7位数字,可能是例如:uncpqnu.exe、nauumse.exe
中文别名:AV终结者
危害等级:★★★★★
文件大小:142200 byte
AV命名:Worm.Win32.AvKiller
加壳方式:FSG 2.0
编写语言:Borland Delphi 6.0-7.0
病毒类型:AVKiller
文件MD5:72edb66681101528e6b106152ceacbb2
传播方式:U盘等移动介质、网页漏洞。
行为分析:
1、释放病毒副本:
C:\Program Files\meex.exe 32497 字节
C:\Program Files\Common Files\Microsoft Shared\trcussu.inf 169 字节
C:\Program Files\Common Files\Microsoft Shared\uncpqnu.exe 32497 字节
C:\Program Files\Common Files\System\rsqsqkk.exe 32497 字节
C:\Program Files\Common Files\System\trcussu.inf 169 字节
并读取D-Z盘,在其目录下生成Autorun.inf和nauumse.exe(随机7)。
2、删除或重命名以下文件:
NATIVE.EXE
bsmain.exe
verclsid.exe
3、添加注册表,开机启动:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
注册表值nauumse = C:\Program Files\Common Files\Microsoft Shared\uncpqnu.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
注册表值 trcussu =C:\Program Files\Common Files\System\rsqsqkk.exe
4、驻进程的有2个随机7位的病毒,使用进程守护,每隔一段时间检测对方存在。
若检测不到,则重新加载病毒程序。
5、每隔几毫秒检测磁盘下的Autorun.inf和病毒文件,如不在则重新生成。
6、当自身注册表启动项被删除的时候,则重新写回。
7、IFEO重定向劫持,基本上有名气的安全工具都挂了。
8、尝试关闭一些进程,也就是IFEO劫持的安全工具进程,列一部分:
QQKav.exe
QQDoctor.exe
EGHOST.exe
360Safe.exe
iparmo.exe
adam.exe
IceSword.exe
360rpt.exe
360tray.exe
AgentSvr.exe
AppSvc32.exe
autoruns.exe
avgrssvc.exe
AvMonitor.exe
CCenter.exe
ccSvcHst.exe
FileDsty.exe
FTCleanerShell.exe
HijackThis.exe
Iparmor.exe
isPwdSvc.exe
irsetup.exe
scan32.exe
shcfg32.exe
SmartUp.exe
SREng.EXE
symlcsvc.exe
SysSafe.exe
TrojanDetector.exe
Trojanwall.exe
UIHost.exe
UmxAgent.exe
UmxAttachment.exe
UmxCfg.exe
UmxFwHlp.exe
UmxPol.exe
UpLive.exe
upiea.exe
AST.exe
8、查找窗口字体,关闭一些和杀毒有关的字样:
江民 瑞星 毒霸 恶意 流氓软 上报 QQ安全 举报 预警 进程 System Shared 微点 上報 舉報 诊断 杀毒 Sysint VirusTrojan 报警 autorun AV终结 一键 木马 木馬 殺毒 查毒 病毒 360安全 USB :\ - WinRAR Ghost 还原 Process usb 清理助
9、修改注册表,禁用系统自动更新、防火墙和系统帮助等。
10、判断磁盘类型,如果是NTFS的话,则调用命令:
cmd /c echo Y| cacls autorun.inf /t /g everyone:F
保证Autorun.inf权限不被控制。
11、作者似乎还不放心,另外修改了U盘自动启动功能:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun
NoDriveTypeAutoRun = REG_DWORD, 145
12、利用键盘映射,关闭冰刃:
0040F595 > \68 68F64000 push 0040F668 ; /Title = "IceSword"
0040F59A . 6A 00 push 0 ; |Class = 0
0040F59C . E8 2B52FFFF call <jmp.&user32.FindWindowA> ; \FindWindowA
0040F5A1 . 8BD8 mov ebx, eax
0040F5A3 . 85DB test ebx, ebx
0040F5A5 . 74 30 je short 0040F5D7
0040F5A7 . 6A 00 push 0 ; /lParam = 0
0040F5A9 . 6A 00 push 0 ; |wParam = 0
0040F5AB . 6A 12 push 12 ; |Message = WM_QUIT
0040F5AD . 53 push ebx ; |hWnd
0040F5AE . E8 6152FFFF call <jmp.&user32.PostMessageA> ; \PostMessageA
0040F5B3 . 68 96000000 push 96 ; /Timeout = 150. ms
0040F5B8 . E8 DF51FFFF call <jmp.&kernel32.Sleep> ; \Sleep
0040F5BD . 6A 00 push 0 ; /ExtraInfo = 0
0040F5BF . 6A 00 push 0 ; |Flags = 0
0040F5C1 . 6A 00 push 0 ; |ScanCode = 0
0040F5C3 . 6A 0D push 0D ; |Key = VK_RETURN
0040F5C5 . E8 6A52FFFF call <jmp.&user32.keybd_event> ; \keybd_event
0040F5CA . 6A 00 push 0 ; /ExtraInfo = 0
0040F5CC . 6A 02 push 2 ; |Flags = KEYEVENTF_KEYUP
0040F5CE . 6A 00 push 0 ; |ScanCode = 0
0040F5D0 . 6A 0D push 0D ; |Key = VK_RETURN
0040F5D2 . E8 5D52FFFF call <jmp.&user32.keybd_event> ; \keybd_event
注意这四个:WM_QUIT、VK_RETURN、KEYEVENTF_KEYUP、150. ms
先是发送WM_QUIT。IS提示是否退出,VK_RETURN模拟键盘的回车后冰刃退出。。
并150毫秒检测一次冰刃存在,汗
其实这是利用Shell_TrayWnd查找例如对话框的窗口文字。
不然没办法关闭的,因为冰刃是随机命名启动。
这看起来有点匪夷所思,但确实实现了,不仅如此,连无窗口标题的AV终结者专杀也被关闭。
13、黑吃黑,根据路径判断,查找其他的病毒,尝试删除,若不成功,则重命名,可能是:
niu.exe
Shell.exe
Shell.pci
crsss.exe
directx.exe
progmon.exe
internt.exe
SoftDLL.dll
MySetup.exe
fixfile.exe
WMDSINFO.dll
Mcshie1d.exe
compobj32.dll
…………
14、修改注册表,破坏显示隐藏文件、安全模式等。
15、查找注册表的启动项,会删除一些杀软的启动项,例如:
"AVP"
"KVMON"
16、如果有发现卡吧的进程,则修改日期为1980-01-23。
……………………
还有很多小细节,不写了=。=
解决方法:
http://free.ys168.com/?gudugengkekao1下载冰刃和SREng;
http://ys-C.ys168.com/?冰刃(增强版).rar_67ep0cjsp0bis4bs7biit7bspm0c2b5bt0clmloju14z97f14z" target=_blank>冰刃(增强版).rar 555KB (哈哈,这个版本的IS,它无法关闭!!HOHO`~~)
http://ys-C.ys168.com/?sreng2.5.zip_67en0cjsp0bis5bs2biit7bspm0c2b5bsql4bsm2bu22f05f12z" target=_blank>sreng2.5.zip 780KB
1、断开网络连接,关闭不需要的进程。
2、打开冰刃,按ctrl同时选上2个随机7的进程,并结束掉。
3、打开SREng,删除他们的启动项目,还有IFEO那些红色的,也删除了哈。
4、重启电脑,升级杀软全盘扫。
今天硬是没吃晚饭(害我挨K了,郁闷),跟了2小时,技术方面提高不少~~~
……………………………………………………………………
文件名称:随机7位数字,可能是例如:uncpqnu.exe、nauumse.exe
中文别名:AV终结者
危害等级:★★★★★
文件大小:142200 byte
AV命名:Worm.Win32.AvKiller
加壳方式:FSG 2.0
编写语言:Borland Delphi 6.0-7.0
病毒类型:AVKiller
文件MD5:72edb66681101528e6b106152ceacbb2
传播方式:U盘等移动介质、网页漏洞。
行为分析:
1、释放病毒副本:
C:\Program Files\meex.exe 32497 字节
C:\Program Files\Common Files\Microsoft Shared\trcussu.inf 169 字节
C:\Program Files\Common Files\Microsoft Shared\uncpqnu.exe 32497 字节
C:\Program Files\Common Files\System\rsqsqkk.exe 32497 字节
C:\Program Files\Common Files\System\trcussu.inf 169 字节
并读取D-Z盘,在其目录下生成Autorun.inf和nauumse.exe(随机7)。
2、删除或重命名以下文件:
NATIVE.EXE
bsmain.exe
verclsid.exe
3、添加注册表,开机启动:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
注册表值nauumse = C:\Program Files\Common Files\Microsoft Shared\uncpqnu.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
注册表值 trcussu =C:\Program Files\Common Files\System\rsqsqkk.exe
4、驻进程的有2个随机7位的病毒,使用进程守护,每隔一段时间检测对方存在。
若检测不到,则重新加载病毒程序。
5、每隔几毫秒检测磁盘下的Autorun.inf和病毒文件,如不在则重新生成。
6、当自身注册表启动项被删除的时候,则重新写回。
7、IFEO重定向劫持,基本上有名气的安全工具都挂了。
8、尝试关闭一些进程,也就是IFEO劫持的安全工具进程,列一部分:
QQKav.exe
QQDoctor.exe
EGHOST.exe
360Safe.exe
iparmo.exe
adam.exe
IceSword.exe
360rpt.exe
360tray.exe
AgentSvr.exe
AppSvc32.exe
autoruns.exe
avgrssvc.exe
AvMonitor.exe
CCenter.exe
ccSvcHst.exe
FileDsty.exe
FTCleanerShell.exe
HijackThis.exe
Iparmor.exe
isPwdSvc.exe
irsetup.exe
scan32.exe
shcfg32.exe
SmartUp.exe
SREng.EXE
symlcsvc.exe
SysSafe.exe
TrojanDetector.exe
Trojanwall.exe
UIHost.exe
UmxAgent.exe
UmxAttachment.exe
UmxCfg.exe
UmxFwHlp.exe
UmxPol.exe
UpLive.exe
upiea.exe
AST.exe
8、查找窗口字体,关闭一些和杀毒有关的字样:
江民 瑞星 毒霸 恶意 流氓软 上报 QQ安全 举报 预警 进程 System Shared 微点 上報 舉報 诊断 杀毒 Sysint VirusTrojan 报警 autorun AV终结 一键 木马 木馬 殺毒 查毒 病毒 360安全 USB :\ - WinRAR Ghost 还原 Process usb 清理助
9、修改注册表,禁用系统自动更新、防火墙和系统帮助等。
10、判断磁盘类型,如果是NTFS的话,则调用命令:
cmd /c echo Y| cacls autorun.inf /t /g everyone:F
保证Autorun.inf权限不被控制。
11、作者似乎还不放心,另外修改了U盘自动启动功能:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun
NoDriveTypeAutoRun = REG_DWORD, 145
12、利用键盘映射,关闭冰刃:
0040F595 > \68 68F64000 push 0040F668 ; /Title = "IceSword"
0040F59A . 6A 00 push 0 ; |Class = 0
0040F59C . E8 2B52FFFF call <jmp.&user32.FindWindowA> ; \FindWindowA
0040F5A1 . 8BD8 mov ebx, eax
0040F5A3 . 85DB test ebx, ebx
0040F5A5 . 74 30 je short 0040F5D7
0040F5A7 . 6A 00 push 0 ; /lParam = 0
0040F5A9 . 6A 00 push 0 ; |wParam = 0
0040F5AB . 6A 12 push 12 ; |Message = WM_QUIT
0040F5AD . 53 push ebx ; |hWnd
0040F5AE . E8 6152FFFF call <jmp.&user32.PostMessageA> ; \PostMessageA
0040F5B3 . 68 96000000 push 96 ; /Timeout = 150. ms
0040F5B8 . E8 DF51FFFF call <jmp.&kernel32.Sleep> ; \Sleep
0040F5BD . 6A 00 push 0 ; /ExtraInfo = 0
0040F5BF . 6A 00 push 0 ; |Flags = 0
0040F5C1 . 6A 00 push 0 ; |ScanCode = 0
0040F5C3 . 6A 0D push 0D ; |Key = VK_RETURN
0040F5C5 . E8 6A52FFFF call <jmp.&user32.keybd_event> ; \keybd_event
0040F5CA . 6A 00 push 0 ; /ExtraInfo = 0
0040F5CC . 6A 02 push 2 ; |Flags = KEYEVENTF_KEYUP
0040F5CE . 6A 00 push 0 ; |ScanCode = 0
0040F5D0 . 6A 0D push 0D ; |Key = VK_RETURN
0040F5D2 . E8 5D52FFFF call <jmp.&user32.keybd_event> ; \keybd_event
注意这四个:WM_QUIT、VK_RETURN、KEYEVENTF_KEYUP、150. ms
先是发送WM_QUIT。IS提示是否退出,VK_RETURN模拟键盘的回车后冰刃退出。。
并150毫秒检测一次冰刃存在,汗
其实这是利用Shell_TrayWnd查找例如对话框的窗口文字。
不然没办法关闭的,因为冰刃是随机命名启动。
这看起来有点匪夷所思,但确实实现了,不仅如此,连无窗口标题的AV终结者专杀也被关闭。
13、黑吃黑,根据路径判断,查找其他的病毒,尝试删除,若不成功,则重命名,可能是:
niu.exe
Shell.exe
Shell.pci
crsss.exe
directx.exe
progmon.exe
internt.exe
SoftDLL.dll
MySetup.exe
fixfile.exe
WMDSINFO.dll
Mcshie1d.exe
compobj32.dll
…………
14、修改注册表,破坏显示隐藏文件、安全模式等。
15、查找注册表的启动项,会删除一些杀软的启动项,例如:
"AVP"
"KVMON"
16、如果有发现卡吧的进程,则修改日期为1980-01-23。
……………………
还有很多小细节,不写了=。=
解决方法:
http://free.ys168.com/?gudugengkekao1下载冰刃和SREng;
http://ys-C.ys168.com/?冰刃(增强版).rar_67ep0cjsp0bis4bs7biit7bspm0c2b5bt0clmloju14z97f14z" target=_blank>冰刃(增强版).rar 555KB (哈哈,这个版本的IS,它无法关闭!!HOHO`~~)
http://ys-C.ys168.com/?sreng2.5.zip_67en0cjsp0bis5bs2biit7bspm0c2b5bsql4bsm2bu22f05f12z" target=_blank>sreng2.5.zip 780KB
1、断开网络连接,关闭不需要的进程。
2、打开冰刃,按ctrl同时选上2个随机7的进程,并结束掉。
3、打开SREng,删除他们的启动项目,还有IFEO那些红色的,也删除了哈。
4、重启电脑,升级杀软全盘扫。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 用华为模拟器做单臂路由(写给初学华为设备的同学) 推荐
- 推荐学习面向对象程序设计的同学阅读:面向对象的思考过程 一书
- 快速学习和掌握 IntelliJ IDEA 2017 的同学推荐一个教程
- 推荐几本书,给产品经理同学
- 【招行助我走大运】推荐福建师范大学的林艳同学参加2011深圳大运会注册大学生记者选拔
- 给计算机专业求职的同学推荐几本书
- 【转】推荐一些题目,希望对参与ICPC竞赛的同学有所帮助
- 同学推荐的机器学习资料
- 自以为是是进步的大敌 推荐
- 推荐给:鼠标手、颈肩痛、腰痛的同学
- 推荐一位牛同学的计算机学习经验~~~~
- 给计算机专业求职的同学推荐几本书
- 各位同学,推荐有iOS方面的问题到CSDN论坛iOS板块提问,我会积极回答
- p 同学推荐的 书 读完了 --==-- 感慨颇深,霍霍
- 免费编程入门教程资源推荐搜集,分享给想开始学习程序开发的同学
- 经同学推荐, 看电影"孔雀"后的感想
- 准备推荐给我的同学!
- 致高校同学书 推荐
- 同学如何开始ACM?推荐阅读UESTC的文章