您现在的位置: 
最近接到一些网友反映中了U盘病毒nx.exe,今天拿到了样本,发现他就是原来的禽兽病毒的变种,分析和查杀方法如下:
File: nx.exe
Size: 28160 bytes
Modified: 2007年10月15日, 23:05:30
MD5: 3C35C8AEC2D8DAA9ECDC026C2600141A
SHA1: C230D86618F3D6758E30F4933225A93C3E705DF2
CRC32: C6E542DB
技术细节:
1.病毒运行后,释放如下副本:
%systemroot%\system32\Systom.exe
在每个分区下面生成autorun.inf 和nx.exe
2.调用reg.exe进行如下操作:
添加自身启动项目
ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /V crsss /T REG_SZ /D
禁用windows自动更新
add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate /v DisableWindowsUpdateAccess /t REG_dword /d 00000001 /f
禁用任务管理器
add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_dword /d 00000001 /f
破坏显示隐藏文件
将HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL 的值设置为0
add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN /v Text /t REG_SZ /d 显示所有文件和文件夹 /f
add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN /v CheckedValue /t REG_dword /d 00000002 /
破坏安全模式
delete HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} /f
delete HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} /f
delete HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} /f
delete HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} /f
3.向HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\下面添加如下映像劫持项目指向%systemroot%\system32\Systom.exe(篇幅所限,仅贴图示意)
4.遍历各个分区删除.GHO文件
5.感染各个分区的INDEX.ASP,.HTM,INDEX.PHP,DEFAULT.ASP,DEFAULT.PHP,CONN.ASP文件
6.连接http://www.88baobaomm.bj.cn/tj.asp做感染统计
7.读取http://www.88baobaomm.bj.cn1.txt~http://www.88baobaomm.bj.cn3.txt中的内容 进行下载木马,锁定主页或者根据文本文档中的内容关闭指定窗口等破坏操作。
但所有链接已失效。
8.病毒体内有字样“niux”
清除办法:
一、清除病毒主程序
下载冰刃 http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip
sreng http://download.kztechs.com/files/sreng2.zip
1.解压IceSword122cn.zip把Icesword.exe改名为1.com
运行 切换到进程窗口
结束%systemroot%\system32\Systom.exe进程
2.点击左下角文件按钮 删除如下文件
%systemroot%\system32\Systom.exe
和每个分区下的nx.exe和autorun.inf
二、修复被病毒破坏的系统
1.打开sreng
启动项目 注册表
删除所有红色的IFEO映像劫持项目
并删除[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]下的
<crsss><C:\WINDOWS\system32\Systom.exe> []
2.还是sreng中
系统修复-Windows Shell/IE
勾选如下项目
允许在Windows 2000/XP/Server 2003中使用任务管理器
然后点击修复
3.sreng中
系统修复-高级修复
修复安全模式
4.找一台未被感染病毒的与中毒电脑系统相同的电脑导出未中毒电脑的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Explorer\Advanced\Folder\Hidden整个键的内容
并在中毒电脑中导入
XP系统可以把下列文字拷入记事本 然后重命名为1.reg
双击导入注册表即可
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden]
"Text"="@shell32.dll,-30499"
"Type"="group"
"Bitmap"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\
00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53,00,\
48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,34,00,00,\
00
"HelpID"="shell.hlp#51131"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
由于测试样本的下载链接已失效,所以无法分析其下载的木马的查杀。
File: nx.exe
Size: 28160 bytes
Modified: 2007年10月15日, 23:05:30
MD5: 3C35C8AEC2D8DAA9ECDC026C2600141A
SHA1: C230D86618F3D6758E30F4933225A93C3E705DF2
CRC32: C6E542DB
技术细节:
1.病毒运行后,释放如下副本:
%systemroot%\system32\Systom.exe
在每个分区下面生成autorun.inf 和nx.exe
2.调用reg.exe进行如下操作:
添加自身启动项目
ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /V crsss /T REG_SZ /D
禁用windows自动更新
add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate /v DisableWindowsUpdateAccess /t REG_dword /d 00000001 /f
禁用任务管理器
add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_dword /d 00000001 /f
破坏显示隐藏文件
将HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL 的值设置为0
add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN /v Text /t REG_SZ /d 显示所有文件和文件夹 /f
add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN /v CheckedValue /t REG_dword /d 00000002 /
破坏安全模式
delete HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} /f
delete HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} /f
delete HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} /f
delete HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} /f
3.向HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\下面添加如下映像劫持项目指向%systemroot%\system32\Systom.exe(篇幅所限,仅贴图示意)
4.遍历各个分区删除.GHO文件
5.感染各个分区的INDEX.ASP,.HTM,INDEX.PHP,DEFAULT.ASP,DEFAULT.PHP,CONN.ASP文件
6.连接http://www.88baobaomm.bj.cn/tj.asp做感染统计
7.读取http://www.88baobaomm.bj.cn1.txt~http://www.88baobaomm.bj.cn3.txt中的内容 进行下载木马,锁定主页或者根据文本文档中的内容关闭指定窗口等破坏操作。
但所有链接已失效。
8.病毒体内有字样“niux”
清除办法:
一、清除病毒主程序
下载冰刃 http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip
sreng http://download.kztechs.com/files/sreng2.zip
1.解压IceSword122cn.zip把Icesword.exe改名为1.com
运行 切换到进程窗口
结束%systemroot%\system32\Systom.exe进程
2.点击左下角文件按钮 删除如下文件
%systemroot%\system32\Systom.exe
和每个分区下的nx.exe和autorun.inf
二、修复被病毒破坏的系统
1.打开sreng
启动项目 注册表
删除所有红色的IFEO映像劫持项目
并删除[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]下的
<crsss><C:\WINDOWS\system32\Systom.exe> []
2.还是sreng中
系统修复-Windows Shell/IE
勾选如下项目
允许在Windows 2000/XP/Server 2003中使用任务管理器
然后点击修复
3.sreng中
系统修复-高级修复
修复安全模式
4.找一台未被感染病毒的与中毒电脑系统相同的电脑导出未中毒电脑的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Explorer\Advanced\Folder\Hidden整个键的内容
并在中毒电脑中导入
XP系统可以把下列文字拷入记事本 然后重命名为1.reg
双击导入注册表即可
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden]
"Text"="@shell32.dll,-30499"
"Type"="group"
"Bitmap"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\
00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53,00,\
48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,34,00,00,\
00
"HelpID"="shell.hlp#51131"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
由于测试样本的下载链接已失效,所以无法分析其下载的木马的查杀。
