极速网络公司因业务需要现招聘可长时间在线上网的工作人员--专杀工具--QQ尾巴病毒查
<div> 近时多有朋友提起中了类似于QQ尾巴的病毒,但QQ尾巴专杀及其它杀毒软件又无法解决的病毒,病毒症状为自动向网友发送如下消息:”极速网络公司因业务需要现招聘可长时间在线上网的工作人员,操作简单,月工资一千到五千不等,试用3日,联系QQ714220”.看起来是个很诱人工作,一旦你真的加了此QQ,且看了此QQ资料中”如不在线请先看教程”所提到的”教程.exe”的话,恭喜,你已经中毒了.</div><div> 此病毒网上资料极少,暂无命名,一般杀毒办法不能完全清除,这里讨论其工作机理及杀毒方法.</div><div> <strong>工作机理:</strong>当运行了该病毒的”教程.EXE”后,该病毒在本地计算机中释放下列文件:</div><div>%Program Files%\Internet Explorer\PLUGINS\<strong>SysWin74.Jmp</strong><br/>%Program Files%\Internet Explorer\PLUGINS\<strong>WinSys84.Sys</strong><br/>%Program Files%\Internet Explorer\<strong>Info_Ms.Sys</strong><br/>E:\autorun.exe<br/>E:\autorun.inf</div><div><strong></strong> </div><div><strong>同时修改以下注册表键值</strong><strong>:</strong></div><div align="left"><br/> {{1AB09B3F-A6D0-4B55-B87D-264934EBEAED}}{%Program Files%\Internet Explorer\PLUGINS\WinSys84.Sys} []<br/> {{0F7A277A-4B2A-4673-8CC0-957C72ECFC6E}}{%Program Files%\Internet Explorer\Info_Ms.Sys} </div><div align="left"> []%Program Files%\Internet Explorer\PLUGINS\WinSys84.Sys</div><div> </div><div align="left"><br/> {{1AB09B3F-A6D0-4B55-B87D-264934EBEAED}}{%Program Files%\Internet Explorer\PLUGINS\WinSys84.Sys} []<br/> {{E3F426F6-8634-42A5-A29E-BC694A88FB7D}}{C:\WINDOWS\system32\xyupri0.dll} []<br/> {{2598FF45-DA60-F48A-BC43-10AC47853D52}}{C:\WINDOWS\system32\rarjbpi.dll} []<br/> {{A393C2CF-1C26-4309-9765-13B7FDC0F200}}{C:\WINDOWS\system32\mypern0.dll} []<br/> {{2960356A-458E-DE24-BD50-268F589A56A2}}{C:\WINDOWS\system32\avwlbmn.dll} []<br/> {{334345F1-DACF-3452-CB7D-4620F34A1533}}{C:\WINDOWS\system32\rsztcpm.dll} []<br/> {{57D81718-1314-5200-2597-587901018075}}{C:\WINDOWS\system32\kaqhezy.dll} []<br/> {{3C87A354-ABC3-DEDE-FF33-3213FD7447C3}}{C:\WINDOWS\system32\kvdxcma.dll} []<br/> {{66650011-3344-6688-4899-345FABCD1566}}{C:\WINDOWS\system32\ratbfpi.dll} []<br/> {{4859245F-345D-BC13-AC4F-145D47DA34F4}}{C:\WINDOWS\system32\avzxdmn.dll} []<br/> {{18847374-8323-FADC-B443-4732ABCD3781}}{C:\WINDOWS\system32\sidjazy.dll} []<br/> {{28907901-1416-3389-9981-372178569982}}{C:\WINDOWS\system32\kawdbzy.dll} []<br/> {{0F7A277A-4B2A-4673-8CC0-957C72ECFC6E}}{%Program Files%\Internet Explorer\Info_Ms.Sys} []<br/> {{444D7AB0-639D-445F-9143-3B3FFB2A7F39}}{C:\WINDOWS\system32\dh3vpw0.dll} []</div><div>检查到以上情况后,我开始尝试用基本的杀毒,查看系统启动项,无异常症状,于是手动将以上注册表项及所涉及文件删除,重新启动计算机,QQ尾巴不再发送,检查注册表,却发现上述注册表项依然存在,很明显,未完全清除,进程中有异常进程,”kawdbzy.exe”,利用关键字”kawd”在注册表中搜索,搜索到以下相关项:</div><div></div><div>此注册表项作用是为任一进和调用dll文件,修改些键值后,一些系统进程都会直接调用此.DLL文件,导致无法删除异常dll,</div><div>SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks</div><div>仔细分析上面注册表项的子项,均为异常dll文件,尝试删除上述dll,kawdbzy.dll仍无法删除,</div><div>应该是该文件正被调用,使用”tasklist -m”命令查看所有进程及其相关dll,发现几乎所有系统进程下都有此异常dll,很明显,在windows模式下是无法清除的.</div><div>重启,插入系统启动盘,在纯dos模式下删除kawdbzy.dll,重新进入windows模式,删除相关注册表项,删除相关异常dll文件,重起,检查系统,正常.</div><div>对于此病毒,因时间仓促,仅做两次实验,但经过分析, 项目所引用的dll文件均为病毒根源文件.</div><div> </div><div><strong>完整杀毒步骤如下:</strong></div><div><strong></strong> </div><div>在运行中输入:services.msc,停止task schedule 服务,并将此服务模式修改为已禁止. </div><div>查找注册表项,找出的对应的dll文件.</div><div>重新启动系统,进入纯dos模式,删除注册表项对应的文件.</div><div>修改</div><div>项目对应的值为””;</div><div align="left">删除所有子项.</div><div>重新启动系统,将以下命令保存为bat文件,执行.</div><div>tskill taskmgr</div><div>tskill winlogon</div><div>tskill explorer</div><div>tskill ctfmon</div><div> </div><div>attrib -s -r -h c:\program files\Internet Explorer\PLUGINS\SysWin74.Jmp</div><div>attrib -s -r -h c:\program files\Internet Explorer\PLUGINS\WinSys84.Sys</div><div>attrib -s -r -h c:\program files\Internet Explorer\Info_Ms.Sys</div><div>attrib -s -r -h E:\autorun.exe</div><div>attrib -s -r -h E:\autorun.inf</div><div>attrib -s -r -h C:\WINDOWS\system32\xyupri0.dll</div><div>attrib -s -r -h C:\WINDOWS\system32\rarjbpi.dll</div><div>attrib -s -r -h C:\WINDOWS\system32\mypern0.dll</div><div>attrib -s -r -h C:\WINDOWS\system32\avwlbmn.dll</div><div>attrib -s -r -h C:\WINDOWS\system32\rsztcpm.dll</div><div>attrib -s -r -h C:\WINDOWS\system32\kaqhezy.dll</div><div>attrib -s -r -h C:\WINDOWS\system32\kvdxcma.dll</div><div>attrib -s -r -h C:\WINDOWS\system32\ratbfpi.dll</div><div>attrib -s -r -h C:\WINDOWS\system32\avzxdmn.dll</div><div>attrib -s -r -h C:\WINDOWS\system32\sidjazy.dll</div><div>attrib -s -r -h C:\WINDOWS\system32\kawdbzy.dll</div><div>attrib -s -r -h C:\WINDOWS\system32\dh3vpw0.dll</div><div>attrib -s -r -h C:\WINDOWS\system32\kvdxsbma.dll</div><div> </div><div>del c:\program files\Internet Explorer\PLUGINS\SysWin74.Jmp /f /q</div><div>del c:\program files\Internet Explorer\PLUGINS\WinSys84.Sys /f /q</div><div>del c:\program files\Internet Explorer\Info_Ms.Sys /f /q</div><div>del E:\autorun.exe /f /q</div><div>del E:\autorun.inf /f /q</div><div>del C:\WINDOWS\system32\xyupri0.dll /f /q</div><div>del C:\WINDOWS\system32\rarjbpi.dll /f /q</div><div>del C:\WINDOWS\system32\mypern0.dll /f /q</div><div>del C:\WINDOWS\system32\avwlbmn.dll /f /q</div><div>del C:\WINDOWS\system32\rsztcpm.dll /f /q</div><div>del C:\WINDOWS\system32\kaqhezy.dll /f /q</div><div>del C:\WINDOWS\system32\kvdxcma.dll /f /q</div><div>del C:\WINDOWS\system32\ratbfpi.dll /f /q</div><div>del C:\WINDOWS\system32\avzxdmn.dll /f /q</div><div>del C:\WINDOWS\system32\sidjazy.dll /f /q</div><div>del C:\WINDOWS\system32\kawdbzy.dll /f /q</div><div>del C:\WINDOWS\system32\dh3vpw0.dll /f /q</div><div>del C:\WINDOWS\system32\kvdxsbma.dll /f /q</div><div> </div><div> </div><div> </div><div><strong>病毒评论:</strong>此病毒使用了当前不常见的加载方式,造成在正常模式下无法删除异常dll文件,而且仅在E盘生成自动运行文件,又不同于当前的autorun病毒,造成意想不到之效果.杀毒软件无法查杀,重装QQ不起效果,重装系统仍有隐患.</div><div> </div><div> </div><div><p><a href="http://secure.itdigger.com/2007/10/09/213120375.htm" target="_blank"><strong><font color="#000000"></font></strong></a> </p><p> </p><p>今天接到很多起投诉说QQ里接到了Qq好友发来的类似“极速网络公司招聘的消息”如图</p><p><img title="点击在新窗口打开" height="482" alt="图片点击可在新窗口打开查看" src="http://img.itdigger.com/upload/2007/10/06/131014187.jpg" width="492" border="0" style="CURSOR: pointer;"/></p><p>这是利用社会工程学盗号的一个很好例子。<br/>黑客会利用QQ尾巴病毒使中毒者会在往群里或者给他的好友发送这样的信息 如果你是个大四的毕业生或者是急于求得个工作的“待业青年”,出于好奇,你加了那个QQ为714220的好友。当你因好奇而去查询此号码的资料的时候,会看到如下签名内容:</p><p><img title="点击在新窗口打开" height="424" alt="图片点击可在新窗口打开查看" src="http://img.itdigger.com/upload/2007/10/06/131033062.jpg" width="500" border="0" style="CURSOR: pointer;"/></p><p><img title="点击在新窗口打开" height="425" alt="图片点击可在新窗口打开查看" src="http://img.itdigger.com/upload/2007/10/06/131046531.jpg" width="500" border="0" style="CURSOR: pointer;"/></p><p>当然有人还会去乖乖的下这个jc.rar的文件<br/>下来之后一看,压缩包里面是个exe文件</p><p><img title="点击在新窗口打开" height="336" alt="图片点击可在新窗口打开查看" src="http://img.itdigger.com/upload/2007/10/06/131112187.jpg" width="500" border="0" style="CURSOR: pointer;"/></p><p> 有点安全意识的人可能会用杀毒软件扫描一下这个压缩包。如果你比较幸运,杀毒软件正好对他报警了,那么你便逃脱了此劫;但如果你的杀毒软件没有报警呢?可能你会继续解压缩,运行里面的exe文件吧!<br/>运行了里面的exe文件以后,就得“恭喜”你了!因为你成功地中了黑客设置的圈套。是你的好奇心和薄弱的安全意识一步一步使你走进了这个“陷阱”!</p><p><strong>现在我们就来看看黑客设置的到底是个什么“陷阱”</strong></p><p>File: 教程.Exe<br/>Size: 33063 bytes<br/>MD5: 2CBEF55713CAD85EC3937BF71818A069<br/>SHA1: 972D2364D5C87BBB9381FA9738D10F937BD92A31<br/>CRC32: DD8114DD</p><p>这是一个盗取QQ帐号的木马程序,教程.exe运行后,释放如下文件<br/>%Program Files%\Internet Explorer\PLUGINS\<strong>SysWin74.Jmp</strong><br/>%Program Files%\Internet Explorer\PLUGINS\<strong>WinSys84.Sys</strong><br/>%Program Files%\Internet Explorer\<strong>Info_Ms.Sys</strong><br/><strong>E:\autorun.exe</strong><br/><strong>E:\autorun.inf</strong></p><p> </p><p>添加如下键值以达到开机自动启动的作用<br/><br/> {{1AB09B3F-A6D0-4B55-B87D-264934EBEAED}}{%Program Files%\Internet Explorer\PLUGINS\WinSys84.Sys} []<br/> {{0F7A277A-4B2A-4673-8CC0-957C72ECFC6E}}{%Program Files%\Internet Explorer\Info_Ms.Sys} []%Program Files%\Internet Explorer\PLUGINS\WinSys84.Sys</p><p><br/>会注入Explorer进程,并设置全局钩子监控QQ登陆窗口,当用户登陆QQ时,把自身注入到QQ中窃取密码。 %Program Files%\Internet Explorer\Info_Ms.Sys会连接网络,接受QQ尾巴发送的消息内容之后WinSys84.Sys还会控制Explorer.exe下载木马群木马群下载完毕以后 sreng日志如下<br/><br/> {{1AB09B3F-A6D0-4B55-B87D-264934EBEAED}}{%Program Files%\Internet Explorer\PLUGINS\WinSys84.Sys} []<br/> {{E3F426F6-8634-42A5-A29E-BC694A88FB7D}}{C:\WINDOWS\system32\xyupri0.dll} []<br/> {{2598FF45-DA60-F48A-BC43-10AC47853D52}}{C:\WINDOWS\system32\rarjbpi.dll} []<br/> {{A393C2CF-1C26-4309-9765-13B7FDC0F200}}{C:\WINDOWS\system32\mypern0.dll} []<br/> {{2960356A-458E-DE24-BD50-268F589A56A2}}{C:\WINDOWS\system32\avwlbmn.dll} []<br/> {{334345F1-DACF-3452-CB7D-4620F34A1533}}{C:\WINDOWS\system32\rsztcpm.dll} []<br/> {{57D81718-1314-5200-2597-587901018075}}{C:\WINDOWS\system32\kaqhezy.dll} []<br/> {{3C87A354-ABC3-DEDE-FF33-3213FD7447C3}}{C:\WINDOWS\system32\kvdxcma.dll} []<br/> {{66650011-3344-6688-4899-345FABCD1566}}{C:\WINDOWS\system32\ratbfpi.dll} []<br/> {{4859245F-345D-BC13-AC4F-145D47DA34F4}}{C:\WINDOWS\system32\avzxdmn.dll} []<br/> {{18847374-8323-FADC-B443-4732ABCD3781}}{C:\WINDOWS\system32\sidjazy.dll} []<br/> {{28907901-1416-3389-9981-372178569982}}{C:\WINDOWS\system32\kawdbzy.dll} []<br/> {{0F7A277A-4B2A-4673-8CC0-957C72ECFC6E}}{%Program Files%\Internet Explorer\Info_Ms.Sys} []<br/> {{444D7AB0-639D-445F-9143-3B3FFB2A7F39}}{C:\WINDOWS\system32\dh3vpw0.dll} []</p><p><a href="http://secure.itdigger.com/2007/10/09/213120375.htm" target="_blank"><strong><font color="#000000"></font></strong></a> </p><p><br/><strong>清除办法:</strong><br/>1.安全模式下删除<br/>%Program Files%\Internet Explorer\PLUGINS\SysWin74.Jmp<br/>%Program Files%\Internet Explorer\PLUGINS\WinSys84.Sys<br/>%Program Files%\Internet Explorer\Info_Ms.Sys<br/>E:\autorun.exe<br/>E:\autorun.inf<br/>并利用sreng 删除对应的启动项目</p><p><br/>2.C:\WINDOWS\system32\xyupri0.dll等木马群参考之前的随机7位数dll木马清除办法即可</p><p><br/>由以上分析可以看出,黑客目前的盗号手段层出不穷,已经开始广泛利用社会工程学手段骗取人们的信任,让你一步步走入他精心设置好的陷阱之中。在此提醒广大网友在使用即时通讯工具进行交流一定注意以下几点:<br/>1.一定要增强安全意识,不要相信任何形式的广告,点歌,求职,邀请等信息,尤其是当这些信息中出现了某些链接网址或者下载信息时更需注意。<br/>2.不要轻易接受别人给你的文件,即便是好友给你的文件,也要问清楚再接受。接受来的文件一定要使用杀毒软件进行杀毒。如果接受来的文件为exe,scr等可执行文件更需注意。最好不要轻易运行这类可执行文件。最后希望大家时时保持警惕之心,控制自己的“好奇心”,提高自己的安全意识,尽量规避网络上的未知风险。</p><p> </p><p><strong>极速网络公司招聘病毒分析及专杀</strong></p><p><strong>专杀工具只针对“极速网络公司招聘”病毒,并不针对其下载的其它病毒。请使用者在用完专杀后,用杀毒软件全盘扫描。</strong></p><p><strong>如有问题,请加救援群:6550172</strong><br/>G-AVR</p><p><br/>一、 病毒标签:<br/>病毒名称: Trojan-PSW.Win32.QQGame.ai<br/>病毒类型: 木马/下载者<br/>文件 MD5:2cbef55713cad85ec3937bf71818a069<br/>公开范围: 完全公开<br/>危害等级: B<br/>文件长度: 32.2 KB (33,063 字节)<br/>开发工具: Borland Delphi 6.0 - 7.0<br/>加壳类型: UPX壳<br/>命名对照: </p><p>江民杀毒 Trojan/PSW.QQGame.ab 2.710<br/>瑞星 Worm.Win32.PaBug.ag 2.070</p><p>金山毒霸 Win32.PSWTroj.QQPass.110684 5.743<br/>ewido Trojan.QQPass.ban 7.282<br/>BitDefender Generic.PWStealer.12764CA9 4.312<br/>AntiVir TR/PSW.QQGame.AI.1 4.011<br/>AVAST Win32:Delf-FZG 3.132<br/>AVG Worm/Generic.DQI 2.948</p><p><font color="#008000"></font><font color="#008000"></font> </p><p>二、 病毒描述:<br/>该病毒利用QQ软件发送极速网络公司招聘的消息,引导用户添加QQ号码为714220的用户。<br/>该用户在QQ资料里写明需要用户自己观看教程并给出了教程的地址,其教程为盗取QQ密码并下载盗号木马的病毒。</p><p><font color="#008000"></font> </p><p>三、 行为分析<br/>在反汇编里可以看到试图释放autorun.exe和autorun.inf,但实际运行没有释放。</p><p><br/>释放文件:<br/>%Program Files%\Internet Explorer\PLUGINS\SysWin74.Jmp<br/>%Program Files%\Internet Explorer\PLUGINS\WinSys84.Sys<br/>%Program Files%\Internet Explorer\Info_Ms.Sys [没有成功释放]<br/>注册表添加:<br/> HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs "url1"<br/> Type: REG_SZ<br/> Data: Info_Ms.Sys</p><p> HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs "url2"<br/> Type: REG_SZ<br/> Data: http://%program%20files%/Internet%20Explorer/Info_Ms.Sys</p><p> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\<br/>ShellExecuteHooks "{1AB09B3F-A6D0-4B55-B87D-264934EBEAED}"<br/> Type: REG_SZ<br/> Data: C:\Program Files\Internet Explorer\PLUGINS\WinSys84.Sys<br/>C:\Program Files\Internet Explorer\PLUGINS\WinSys84.Sys注入所有非系统关键进程进行WM_GETMESSAGE等挂钩拦截鼠标,键盘,窗口信息来实现盗取密码。</p><p><br/>网络行为:<br/>WinSys84.Sys连接www.nmuift.cn }} 60.169.3.24下载盗号木马<br/>下载列表如下:<br/>http://www.nmuift.cn/11/mh.exe<br/>http://www.nmuift.cn/11/my.exe<br/>http://www.nmuift.cn/11/jh.exe<br/>http://www.nmuift.cn/11/wl.exe<br/>http://www.nmuift.cn/11/zt.exe<br/>http://www.nmuift.cn/11/qjsj.exe<br/>http://www.nmuift.cn/11/2.exe<br/>http://www.nmuift.cn/11/4.exe<br/>http://www.nmuift.cn/11/tl.exe<br/>http://www.nmuift.cn/11/zx.exe<br/>http://www.nmuift.cn/11/5.exe<br/>http://www.nmuift.cn/11/3.exe<br/>http://www.nmuift.cn/11/wd.exe<br/>http://www.nmuift.cn/11/7.exe<br/>http://www.nmuift.cn/11/8.exe<br/>http://www.nmuift.cn/11/9.exe<br/>http://www.nmuift.cn/11/wow.exe<br/>http://www.nmuift.cn/11/wmgj.exe<br/>http://www.nmuift.cn/11/1.exe<br/>http://www.nmuift.cn/11/6.exe<br/>http://www.nmuift.cn/11/10.exe<br/>http://www.nmuift.cn为安徽省芜湖市 电信<br/></p><p>清除方案:<br/>用强制删除工具[建议使用MJ写的FileKill360]删除下面列出的文件并免疫。<br/>%Program Files%\Internet Explorer\PLUGINS\SysWin74.Jmp<br/>%Program Files%\Internet Explorer\PLUGINS\WinSys84.Sys<br/>%Program Files%\Internet Explorer\Info_Ms.Sys</p><p><br/>注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。<br/>%Temp% = C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量<br/> %Windir%\ WINDODWS所在目录<br/>%DriveLetter%\ 逻辑驱动器根目录<br/>%ProgramFiles%\ 系统程序默认安装目录<br/>%HomeDrive% = C:\ 当前启动的系统的所在分区<br/>%Documents and Settings%\ 当前用户文档根目录</p><p> </p><p>删除启动项目[建议使用SRENG查看并删除]:</p><p></p><p>{{1AB09B3F-A6D0-4B55-B87D-264934EBEAED}}{C:\Program Files\Internet Explorer\PLUGINS\WinSys84.Sys} []<br/>建议清除不掉病毒的用户使用专杀程序进行清除和免疫。</p><p><strong>发掘网出品 “极速公司招聘” 专杀工具下载:</strong></p><p>发掘网下载:<strong><a href="http://secure.itdigger.com/zhuanti/secure/">http://secure.itdigger.com/zhuanti/secure/专杀071009.rar</a></strong></p></div>本地下载 <br/>[此贴子已经被作者于2007-10-11 12:07:30编辑过]
页:
[1]