位置導航:網站首頁<<<U盤行業知識<<<U盤下載者servver.exe 查殺
U盤下載者servver.exe 查殺
作者:清新陽光
最近U盤病毒auto.exe鬧的比較兇,但與此同時,又發現了一個類似的通過U盤傳播的下載者病毒,希望各位網友要提高警惕。
下面是這個病毒的分析:
File: servver.exe
Size: 37888 bytes
MD5: 411AD11AC0FF5164C8B18AB4AD0D5739
SHA1: 04F46D6222232921CDC9882E8B82182DFB6479DA
CRC32: F57CD054
生成如下文件
在系統盤下生成其副本
%system32%\servver.exe
并在每個磁盤分區下生成
autorun.inf和servver.exe
注冊為服務 Windowsms
指向%system32%\servver.exe
啟動類型:自動
顯示名稱:Telephots google
服務描述:為即插即用設備提供支持
試圖修改注冊表HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun的鍵值 但測試時未實現
查找窗口“IE執行保護”查找到以后 查找按鈕“允許執行”
并發送WM_LBUTTONDOWN的指令 模擬按鍵
查找窗口 瑞星卡卡上網安全助手-IE防漏墻”查找到以后 查找按鈕 ldquo;允許”
并發送WM_LBUTTONDOWN的指令 模擬按鍵
查找有無drivers/klif.sys文件
如果有則通過cmd /c date 1981-01-12 命令把日期改為1981年1月12日
并在15s以后 把日期再改回來
調用CreateProcess打開進程c:\windows\system32\svchost.exe,然后調用WriteProcessMemory等函數往此進程中寫入病毒代碼,實現下載功能
下載如下
到%system32%文件夾下
下載的病毒有盜號木馬 威金等
其中117.exe可以進行arp欺騙
113.exe具有感染htm文件的功能
盜號木馬可以盜取以下一些網絡游戲的帳號密碼(包括但不限于)
征途
完美世界
QQ
...
并可結束如下進程或者服務(包括但不限于)
Noton AntiVirus Server
McTaskmanager
McShield
McAfeeFramework
kvsrvxp
DefWatch
KPfwSvc
KWatchSvc
RavMon.exe
RavMonD.exe
...
并可關閉自動更新和Windows自帶的防火墻
木馬和病毒植入完畢以后 sreng日志如下
啟動項目
注冊表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{E418E9ED-9221-4661-B1F3-4AA35BD83832}>
<{2960356A-458E-DE24-BD50-268F589A56A2}>
==================================
服務
[Telephots google / Windowsms][Stopped/Auto Start]
[Remote Help Session Manager / Rasautol][Stopped/Auto Start]
==================================
正在運行的進程
[PID: 3084][C:\WINDOWS\explorer.exe] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\avwlbmn.dll] [N/A, ]
[C:\WINDOWS\system32\LYMANGR.DLL] [N/A, ]
[C:\WINDOWS\system32\DiskMan32.dll] [N/A, ]
[C:\WINDOWS\system32\mppds.dll] [N/A, ]
[C:\WINDOWS\system32\thjphl.dll] [N/A, ]
[C:\WINDOWS\system32\bxtmaz.dll] [N/A, ]
[C:\WINDOWS\system32\MsIMMs32.dll] [N/A, ]
[C:\WINDOWS\system32\tojdcs.dll] [N/A, ]
[C:\Program Files\Internet Explorer\PLUGINS\WinSys88.Sys] [N/A, ]
==================================
Winsock 提供者
MSAPI Tcpip [TCP/IP]
C:\WINDOWS\system32\qdshm.dll(, N/A)
MSAPI Tcpip [UDP/IP]
C:\WINDOWS\system32\qdshm.dll(, N/A)
...
清除辦法:
一、清除病毒主程序
Telephots google / Windowsms
重啟計算機
二、清除木馬
四、使用記事本修復受感染的htm文件
下載冰刃,sreng (http;//www.antidu.cn有的下)
打開sreng
ldquo;啟動項目”-“服務”-“Win32服務應用程序”中點“隱藏經認證的微軟項目”,
選中以下項目,點“刪除服務”,再點“設置”,在彈出的框中點“否”:
使用冰刃刪除如下文件
%system32%\servver.exe
以及各個分區下的autorun.inf和servver.exe
以前寫的好多了,這里不再贅述。
具體方法參考之前的auto.exe的木馬群的查殺
以及隨機7位字母的dll木馬群的查殺方法
三、下載威金專殺修復受感染的exe文件
有的下載
U盤訂購熱線:0755-84524848 手機:13928466681 QQ: 384029020 24小時手機接聽:139 2846 6681 電郵:samuel@torovo.com 或與在線客服人員聯絡。欲了解更多U盤信 息請進正益通U盤廠家的U盤定制網站:http://m.crazymoments.cn 大客戶聯系: 13926502725 海外銷售: 0086-755-33078349
點擊更多U盤生產車間視頻實錄以上就是正益通U盤生產廠家事業部對于U盤下載者servver.exe 查殺話題的介紹,還有什么不了解的地方請直接咨詢U盤工廠在線客服,她們會一一為您解答。