扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
2007年11月6日
样本来之本论坛,由1234提供
样本地址:http://www.du110.com/viewthread.php?tid=2557&extra=page%3D1
name: lsass.exe
File size: 277767 bytes
MD5: 406d93ec4814b23f8f2f913dc4a313a1
SHA1: 092a2e84113618ee4460ad6c5d1aa1b441390d22
Kaspersky:Backdoor.Win32.Delf.aws
这个病毒比较狡猾,不仅将自己改成隐藏的系统属性,还将自己的图标做成这样
不仔细看,看真看不出来.
释放文件:
c:\windows\3707.txt
c:\windows\system32\deleteme.bat (删除自身)
c:\windows\lsass.exe
e:\autorun.pif
e:\autorun.inf.tmp
注册服务:
Kerberos Key Distribution Centers(kkdc)----达到自启动
访问网络:
IP:222.215.79.86 (没有下载任何病毒.可能是DDOS或者刷流量)
autorun.inf.tmp写入
这个病毒没有像其它病毒一样在每个盘下写入autorun.inf 而是仅在E:盘,嘿嘿,比较狡猾
内容:
[AutoRun]
open=autorun.pif
shell\1=打开(&O)
shell\1\Command=autorun.pif
shell\2\=浏览(&B)
shell\2\Command=autorun.pif
shellexecute=autorun.pif
进程:
系统级的,无法结束!
杀毒方法:
进安全模式--删除临时文件--关系系统还原.
在开始运内处输入:services.msc 禁用Kerberos Key Distribution Centers(kkdc)
将以下代码保存为zpepc.vbs 双击运行即可
on error resume next
msgbox "专杀脚本 我的空间:http://hi.baidu.com/zpepc!"
msgbox "本VBS模板由http://hi.baidu.com/ycosxhack 余弦函数 提供 感谢他在我病毒分析中给了我指导,在此特别感谢一下"
'文件删除
on error resume next
set fso=createobject("scripting.filesystemobject")
set del=wscript.createobject("wscript.shell")
set d1=fso.getfile("c:\windows\3707.txt")
set d2=fso.getfile("c:\windows\system32\deleteme.bat")
d1.attributes=0
d2.attributes=0
d1.delete
d2.delete
'autorun.inf与病毒删除
set fso=createobject("scripting.filesystemobject")
set pans=fso.drives
for each pan in pans
if pan.drivetype=1 or pan.drivetype=2 or pan.drivetype=3 or pan.drivetype=4 then
set wj=fso.getfile(pan.driveletter&":\autorun.pif")
wj.attributes=0
wj.delete
set wjs=fso.getfile(pan.driveletter&":\autorun.inf.tmp")
wjs.attributes=0
wjs.delete
end if
next
'autorun.inf免疫
set fso=createobject("scripting.filesystemobject")
set pans=fso.drives
for each pan in pans
if pan.drivetype=1 or pan.drivetype=2 or pan.drivetype=3 or pan.drivetype=4 then
fso.createfolder(pan.driveletter&":\autorun.inf")
fso.createfolder(pan.driveletter&":\autorun.inf\免疫..\")
set wj=getfolder(pan.driveletter&":\autorun.inf")
wj.attributes=3
end if
next
'HOST文件修复与屏蔽
set fso=createobject("scripting.filesystemobject")
set re=fso.OpenTextFile("C:\WINDOWS\system32\drivers\etc\hosts",2,0)
re.Writeline "127.0.0.1 localhost"
re.Writeline "127.0.0.1 222.215.79.86"
re.Close
set re=nothing
WScript.Sleep 4000
set fso=nothing
msgbox "以成功清除病毒,祝您上网更安全,如有问题,请访问http://hi.baidu.com/zpepct 给我留言!"
'写代码不容易,转载请保证代码的完整性!
特别提醒一点:在杀毒过程中,像一些autorun.inf病毒千万不要双击等方法打开硬盘,不然病毒又会被激活!
切记.......切记...............
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。