中华网络安全联盟 收藏本站
设为主页
商务合作
首页 新闻中心 行业动态 软件新闻 安全资讯 病毒预警 漏洞发布 操作系统 Dos Win9x Win2000 WinXP Win2003 WinVista Linux Unix
数据库 DB2 Access MSSQL MySQL Oracle Sybase 编程技术 ASP PHP JSP CGI/Perl XML .Net C/C++/C# VB VC Delphi Java 汇编
安全技术 安全教学 工具介绍 漏洞利用 病毒防范 入侵检测 防火墙 安全防范 汉化破解 攻击实例 加密解密 进程知识 技术论坛
中华网络安全联盟 >> 安全技术 >> 病毒防范 >> 被感染的tel.xls.exe mmc.exe 解决方案
安全技术
安全资讯
病毒预警
漏洞发布
安全教学
工具介绍
漏洞利用
病毒防范
入侵检测
防火墙
安全防范
汉化破解
攻击实例
加密解密
tel.xls.exe新变种 破
被感染的tel.xls.exe mmc.exe 解决方案
字体:

中华网络安全联盟    作者:CISRT    来源:CISRT    时间:2006-12-2 23:01:00

病毒名称:Virus.Win32.Dzan.a(Kaspersky)
      清除Virus.Win32.Dzan.a后:Trojan.Win32.VB.atg(Kaspersky)
病毒别名:Worm.Suser.a(瑞星)
病毒大小:110,592 字节
      清除Virus.Win32.Dzan.a后:45,056 字节
加壳方式:N/A
样本MD5:3dc040cb3a352a8577f44a1ff8ef8ca8
样本SHA1:acf12d3a843126cc98efd9f8e77c1cf14b027a70
发现时间:2006.11
更新时间:2006.11
关联病毒:
传播方式:通过恶意网页传播,其它木马下载,可移动存储设备(如U盘、MP3、移动硬盘)


技术分析
==========

这个tel.xls.exe变种,行为较之更为恶劣,我们发现这个样本会感染其它exe文件,但是,经过分析发现此文件是被另外一个感染型病毒所感染,本身并不具备感染文件的行为。

tel.xls.exe原始文件大小为45056字节(Trojan.Win32.VB.atg),运行后复制自身到系统目录:
%Windows%\session.exe
%Windows%\svchost.exe
%System%\SocksA.exe
%System%\FileKan.exe

创建启动项:

[Copy to clipboard]CODE:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ASocksrv"="SocksA.exe"
在每个驱动器根目录复制副本:
X:\tel.xls.exe
X:\autorun.inf
在系统目录创建autorun.inf的副本:
%Windows%\BACKINF.TAB
autorun.inf内容:

[Copy to clipboard]CODE:[AutoRun]
open=tel.xls.exe
shellexecute=tel.xls.exe
shell\Auto\command=tel.xls.exe
shell=Auto
tel.xls.exe每10秒从%Windows%\session.exe重写X:\tel.xls.exe,从%Windows%\BACKINF.TAB重写X:\autorun.inf。

修改注册表破坏“显示所有文件和文件夹”设置:

[Copy to clipboard]
CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"="0"
由于被病毒(Virus.Win32.Dzan.a)感染,被感染的tel.xls.exe运行后释放%System%\mmc.exe,覆盖系统“管理控制台”程序,这意味着系统的管理控制台无法打开,比如“计算机管理”、“服务”等。

创建服务:

QUOTE:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mmc]
显示名:Smart Card Supervisor
可执行文件的路径:%System%\mmc.exe
mmc.exe就是感染型文件的原程序,它常驻内存遍历目录感染exe文件,也包括系统文件,当系统文件被感染时系统会弹出“Windows文件保护”的对话框(如图):

mmc.exe大小61440字节,被感染exe文件增加大小61952字节,是mmc.exe自身大小再加512字节,被感染exe文件运行后会释放mmc.exe运行。

病毒文件如图:

清除步骤
==========

1. 结束病毒进程:
%System%\mmc.exe
X:\tel.xls.exe
%Windows%\svchost.exe
%System%\SocksA.exe

2. 删除病毒文件:
%Windows%\BACKINF.TAB
%Windows%\session.exe
%Windows%\svchost.exe
%System%\SocksA.exe
%System%\FileKan.exe
%System%\mmc.exe

3. 通过磁盘驱动器右键菜单进入根目录:右键点击驱动器盘符,点击菜单中的“打开”进入驱动器根目录,删除根目录下的文件:
X:\autorun.inf
X:\tel.xls.exe

4. 删除病毒启动项和服务:

[Copy to clipboard]
CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ASocksrv"="SocksA.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mmc]
5. 修改“显示所有文件和文件夹”设置,到注册表以下位置:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
删除右边病毒创建的字符串值:"CheckedValue"="0"
新建DWORD值,名称:CheckedValue,数据:1

6. 使用反病毒软件进行全盘扫描,清除被感染的exe文件
注:今天上午测试,Kaspersky(卡巴斯基)和瑞星(Rising)可以基本清除被感染exe文件

7. 从正常的相同的操作系统里复制%System%\mmc.exe,用以恢复系统“管理控制台”功能
字体:
 
设为主页 收藏本站 联系我们 友情连接 商务合作 网友留言
Copyright©2006-2008 中华网络安全联盟 All rights reserved.