Worm.DlOnlineGames.g

病毒行徑

1.感染exe

2.修改hosts

3.下載木馬群

樣本運行後釋放

C:\Program Files\Common Files\System\wab32res.exe

C:\Program Files\Common Files\System\directdb.exe

創建服務

Hello Download

涉及到該服務的相關註冊表項目如下

HKLM\SYSTEM\CurrentControlSet\Services\Hello Download\Type: 0x00000010

HKLM\SYSTEM\CurrentControlSet\Services\Hello Download\Start: 0x00000002

HKLM\SYSTEM\CurrentControlSet\Services\Hello Download\ErrorControl: 0x00000001

HKLM\SYSTEM\CurrentControlSet\Services\Hello Download\ImagePath: "C:\Program Files\Common Files\System\wab32res.exe"

HKLM\SYSTEM\CurrentControlSet\Services\Hello Download\DisplayName: "TCP/IP Check"

HKLM\SYSTEM\CurrentControlSet\Services\Hello Download\ObjectName: "LocalSystem"

調用ie 和 notepad進程

ie 進程負責連線到59.34.197.169:80 下載木馬群

notepad.exe負責感染檔案，感染除系統分區外其它分區的exe檔案。並負責啟動那些被下載的木馬

下載到的木馬分別為C:\Program Files\Common Files\System\TempA.exe~C:\Program Files\Common Files\System\TempH.exe

TempA.exe釋放檔案iexpl0re.exe和LgSy0.dll到臨時資料夾

在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

添加註冊表項目<st8wq><C:\Documents and Settings\用戶名\Local Settings\Temp\iexpl0re.exe>

TempB.exe釋放檔案crasos.exe和Msxo0.dll到臨時資料夾

在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

添加註冊表項目<iwssd497q><C:\Documents and Settings\用戶名\Local Settings\Temp\crasos.exe>

TempC.exe釋放檔案1explore.exe到臨時資料夾

在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

添加註冊表項目<j9mef8vhcj1dc><C:\Documents and Settings\用戶名\Local Settings\Temp\1explore.exe>

TempD.exe釋放檔案Servera.exe和Kavs0.dll到臨時資料夾

在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

添加註冊表項目<jjj394srv69x><C:\Documents and Settings\用戶名\Local Settings\Temp\Servera.exe>

TempF.exe釋放檔案winlog0n.exe和LgSy1.dll到臨時資料夾

在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

添加註冊表項目<uvu><C:\Documents and Settings\用戶名\Local Settings\Temp\winlog0n.exe>

TempG.exe釋放檔案C:\WINDOWS\cmdbcs.exe和C:\WINDOWS\system32\cmdbcs.dll

在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

添加註冊表項目<cmdbcs><C:\WINDOWS\cmdbcs.exe>

TempH.exe釋放檔案rundl132.exe和Rav20.dll到臨時資料夾

在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

添加註冊表項目<hygrl2><C:\Documents and Settings\用戶名\Local Settings\Temp\rundl132.exe>

修改hosts檔案

以上現象在sreng日誌中 顯示如下

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

<st8wq><C:\Documents and Settings\用戶名\Local Settings\Temp\iexpl0re.exe> []

<iwssd497q><C:\Documents and Settings\用戶名\Local Settings\Temp\crasos.exe> []

<j9mef8vhcj1dc><C:\Documents and Settings\用戶名\Local Settings\Temp\1explore.exe> []

<jjj394srv69x><C:\Documents and Settings\用戶名\Local Settings\Temp\Servera.exe> []

<uvu><C:\Documents and Settings\用戶名\Local Settings\Temp\winlog0n.exe> []

<hygrl2><C:\Documents and Settings\用戶名\Local Settings\Temp\rundl132.exe> []

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

<cmdbcs><C:\WINDOWS\cmdbcs.exe> []

服務

[TCP/IP Check / Hello Download][Stopped/Auto Start]

<C:\Program Files\Common Files\System\wab32res.exe><N/A>

進程中

[PID: 1396][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]

[C:\WINDOWS\system32\cmdbcs.dll] [N/A, ]

[C:\Documents and Settings\用戶名\Local Settings\Temp\LgSy0.dll] [N/A, ]

[C:\Documents and Settings\用戶名\Local Settings\Temp\Rav20.dll] [N/A, ]

[C:\Documents and Settings\用戶名\Local Settings\Temp\Kavs0.dll] [N/A, ]

[C:\Documents and Settings\用戶名\Local Settings\Temp\Msxo0.dll] [N/A, ]

清除步驟

1.清除木馬群（此時不要打開其他磁碟分區點那些被感染的exe檔案）

安全模式下(開機後不斷 按F8鍵 然後出來一個高級選單 選擇第一項 安全模式 進入系統)

啟動項目 註冊表 刪除如下項目

包括但不限於

<st8wq><C:\Documents and Settings\用戶名\Local Settings\Temp\iexpl0re.exe> []

<iwssd497q><C:\Documents and Settings\用戶名\Local Settings\Temp\crasos.exe> []

<j9mef8vhcj1dc><C:\Documents and Settings\用戶名\Local Settings\Temp\1explore.exe> []

<jjj394srv69x><C:\Documents and Settings\用戶名\Local Settings\Temp\Servera.exe> []

<uvu><C:\Documents and Settings\用戶名\Local Settings\Temp\winlog0n.exe> []

<hygrl2><C:\Documents and Settings\用戶名\Local Settings\Temp\rundl132.exe> []

（只要是在臨時資料夾下的檔案添加的啟動都去掉)

<cmdbcs><C:\WINDOWS\cmdbcs.exe> []

（以及我所說那個木馬群中所有涉及到的啟動項目）

“啟動項目”-“服務”-“Win32服務應用程式”中點“隱藏經認證的微軟項目”，

選中以下項目，點“刪除服務”，再點“設定”，在彈出的框中點“否”

TCP/IP Check / Hello Download

雙擊我的電腦，工具，資料夾選項，查看，單擊選取"顯示隱藏檔案或資料夾" 並清除"隱藏受保護的作業系統檔案（推薦）"前面的鉤。在提示確定更改時，單擊“是” 然後確定

然後刪除C:\Documents and Settings\用戶名\Local Settings\Temp 下面所有檔案（主要是擴展名為dll和exe的檔案）

C:\WINDOWS\cmdbcs.exe

C:\WINDOWS\system32\cmdbcs.dll

C:\Program Files\Common Files\System\wab32res.exe

C:\Program Files\Common Files\System\directdb.exe

以及我所說那個木馬群中所有涉及到的檔案

2.修復hosts

還是使用sreng 系統修復 hosts檔案 點擊下面的重置 在彈出的視窗中點擊是 然後點擊保存

3.修復exe檔案

安全模式下使用反病毒軟體進行全盤掃描，清除被感染的exe