• 欢迎访问金刀客博客!
  • 2019,春节快乐!

T.PSW.Win32.GameOL(tubjsoe.exe)的分析(1)

病毒分析 admin 9501次浏览 已收录 0个评论

病毒属性:
样本名称:tubjsoe.exe
大小:43,612 字节
传播途径:U盘传播
类型:蠕虫,下载者
卡巴扫描结果:Worm.Win32.AutoRun.rx
瑞星扫描结果:Worm.Win32.Agent.vt
MD5:b1a0fd22cfcab5e9aef83ffca3b558ae tubjsoe.exe
加壳软件:NsPacK V3.7 -> LiuXingPing [Overlay]
autorun.inf

[AutoRun]
open=tubjsoe.exe
shell\open=打开(&O)
shell\open\Command=tubjsoe.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=tubjsoe.exe

病毒行为描述:
tubjsoe.exe是随机命名的,位于每个盘根目录下,这是一个下载者,U盘传播。运行后首先释放C:\Program Files\Common Files\Microsoft Shared\MSInfo\SysWFGwd.dll,然后将其注入explorer.exe,这个dll就是真真的下载者,从222.172.81.30这个IP疯狂的下载各种盗QQ,盗游戏帐号的木马,这个其实应当还是AVKILLER的变种了。
1,每间隔10M就随机访问访问网站。
如:http://soft.340safe.cn这个网站的网页,
VBurl.exe http://340safe.cn
VBurl.exe http://ad.340safe.cn
VBurl.exe http://soft.340safe.cn 爱死你软件站
VBurl.exe http://340safe.cn
VBurl.exe http://soft.340safe.cn/soft/7008.html
VBurl.exe http://soft.340safe.cn/soft/3170.html
VBurl.exe http://soft.340safe.cn/soft/13622.html
VBurl.exe http://soft.340safe.cn/soft/282.html
VBurl.exe http://moves.340safe.cn
还有http://www.677977.com/index2.htm,统计中马数的。
明眼人都知道这是在刷流量,而靠这样赢得的流量可能不会得到人们的喜爱。希望不要点击这些网页了,可能有网马的。另外还访问了这些IP
125.64.24.56
218.10.16.214(340safe的)
211.100.21.5
61.164.44.43
2,下载的C:\Program Files\Common Files\System\iqwfobe.exe是对付杀软的监控程序。关闭ICESWORD等安全工具,winrar也不放过!
3,映像劫持大多数安全软件
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
Debugger指向C:\Program Files\Common Files\Microsoft Shared\lnnvkiq.exe(lnnvkiq.exe会不断变名)
4,修改键值,使“显示隐藏文件”失效
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Type
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden
5,添加注册表的启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6598FF45-DA60-F48A-BC43-10AC47853D56}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{D544C22D-1F70-4B1E-873D-D8DABEB26695}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\egrrgdk
键值:字符串:”C:\ProgramFiles\CommonFiles\System\ipilrws.exe”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nqecmus
键值:字符串:”C:\ProgramFiles\CommonFiles\MicrosoftShared\lnnvkiq.exe”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\bhpkndi
键值:字符串:”c:\programfiles\commonfiles\system\owupxei.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\egrrgdk
键值:字符串:”c:\programfiles\commonfiles\system\ipilrws.exe
6,释放如下文件到系统:
x:\nqecmus.exe
x:\autorun.inf
c:\VBurl.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\2222.exe
C:\Program Files\bhpkndi.inf
C:\Program Files\dld.dat
C:\Program Files\meex.exe
C:\Program Files\1a1221.exe
C:\Program Files\Common Files\Microsoft Shared\egrrgdk.inf
C:\Program Files\Common Files\Microsoft Shared\iqwfobe.exe
C:\Program Files\Common Files\Microsoft Shared\lnnvkiq.exe
C:\Program Files\Common Files\Microsoft Shared\MSInfo\atmQQ.dll
C:\Program Files\Common Files\Microsoft Shared\MSInfo\atmQQ2.dll
C:\Program Files\Common Files\Microsoft Shared\MSInfo\SysWFGwd.dll
C:\Program Files\Common Files\Microsoft Shared\MSInfo\SysWFGwd2.dll
C:\Program Files\Common Files\System\egrrgdk.inf
C:\Program Files\Common Files\System\ipilrws.exe
C:\Program Files\Common Files\System\owupxei.exe
C:\WINDOWS\Fonts\rarjfni.dll
C:\WINDOWS\Fonts\rarjfpi.dll
C:\WINDOWS\Fonts\rarjftl.exe
C:\WINDOWS\Fonts\verclsids.exe
x代表各个分区盘符
7,程序BUG多多

系统不崩溃才怪
病毒清除办法:
第一步,首先把上面的释放文件列表复制到费尔木马清除助手,选择第二项清除掉
第二步,打开windows清理助手,在设置里选择“忽略空文件夹”,然后扫描,清除
第三步,修复启动,打开autoruns.exe,删除掉HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的启动项。
第四步,打开sreng。
系统修复,windows shell/IE,全选,修复。
系统修复,高级修复,修复安全模式。
系统修复,HOSTS文件,重置,
第五步,清空C:\WINDOWS\Prefetch文件夹
第六步,用杀软扫描全盘,以防漏网之鱼
附件:病毒样本(有些具隐藏属性)
文件名: Worm.Win32.AutoRun.rx样本.rar
描述: Worm.Win32.AutoRun.rx样本.rar
下载链接: http://dyn.www.rayfile.com/zh-cn/files/c3f98d61-dc92-11dc-95b7-00142218fc6e
瑞星报
Trojan.PSW.Win32.GameOL.GEN
Trojan.PSW.Win32.LMir.yzw
Trojan.PSW.Win32.Agent.vqn
附:
点击下载金刀客工具包 (含本文中涉及的所有工具)
病毒上报信箱: daokers@qq.com


金刀客博客 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权 , 转载请注明T.PSW.Win32.GameOL(tubjsoe.exe)的分析(1)
喜欢 (3)
发表我的评论
取消评论

表情 贴图 加粗 删除线 居中 斜体 签到