科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道感染tel.xls.exe mmc.exe病毒解决方案

感染tel.xls.exe mmc.exe病毒解决方案

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

被感染的tel.xls.exe运行后释放%System%\mmc.exe,覆盖系统“管理控制台”程序,这意味着系统的管理控制台无法打开,比如“计算机管理”、“服务”等。

作者:论坛整理 来源:zdnet网络安全 2008年2月22日

关键字: mmc.exe是什么 mmc.exe病毒 mmc.exe错误 mmc.exe进程 mmc.exe

  • 评论
  • 分享微博
  • 分享邮件
病毒名称:Virus.Win32.Dzan.a(Kaspersky)

清除Virus.Win32.Dzan.a后:Trojan.Win32.VB.atg(Kaspersky)

病毒别名:Worm.Suser.a(瑞星)

病毒大小:110,592 字节

清除Virus.Win32.Dzan.a后:45,056 字节

加壳方式:N/A

样本MD5:3dc040cb3a352a8577f44a1ff8ef8ca8

样本SHA1:acf12d3a843126cc98efd9f8e77c1cf14b027a70

发现时间:2006.11

更新时间:2006.11

关联病毒:

传播方式:通过恶意网页传播,其它木马下载,可移动存储设备(如U盘、MP3、移动硬盘)

技术分析

==========

这个tel.xls.exe是CISRT2006083http://www.cisrt.org/bbs/viewthread.php?tid=464的变种,行为较之更为恶劣,我们发现这个样本会感染其它exe文件,但是,经过分析发现此文件是被另外一个感染型病毒所感染,本身并不具备感染文件的行为。

tel.xls.exe原始文件大小为45056字节(Trojan.Win32.VB.atg),和CISRT2006083http://www.cisrt.org/bbs/viewthread.php?tid=464的一样,运行后复制自身到系统目录:

%Windows%\session.exe

%Windows%\svchost.exe

%System%\SocksA.exe

%System%\FileKan.exe

创建启动项:

[Copy to clipboard]CODE:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\

Windows\CurrentVersion\Run]

"ASocksrv"="SocksA.exe"

在每个驱动器根目录复制副本:

X:\tel.xls.exe

X:\autorun.inf

在系统目录创建autorun.inf的副本:

%Windows%\BACKINF.TAB

autorun.inf内容:

[Copy to clipboard]CODE:[AutoRun]

open=tel.xls.exe

shellexecute=tel.xls.exe

shell\Auto\command=tel.xls.exe

shell=Auto

tel.xls.exe每10秒从%Windows%\session.exe重写X:\tel.xls.exe,从%Windows%\BACKINF.TAB重写X:\autorun.inf。

修改注册表破坏“显示所有文件和文件夹”设置:

[Copy to clipboard]

CODE:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\

CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

"CheckedValue"="0"

由于被病毒(Virus.Win32.Dzan.a)感染,导致它和之前变种CISRT2006083http://www.cisrt.org/bbs/viewthread.php?tid=464有较大的差别。

被感染的tel.xls.exe运行后释放%System%\mmc.exe,覆盖系统“管理控制台”程序,这意味着系统的管理控制台无法打开,比如“计算机管理”、“服务”等。

创建服务:

QUOTE:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mmc]

显示名:Smart Card Supervisor

可执行文件的路径:%System%\mmc.exe

mmc.exe就是感染型文件的原程序,它常驻内存遍历目录感染exe文件,也包括系统文件,当系统文件被感染时系统会弹出“Windows文件保护”的对话框
mmc.exe大小61440字节,被感染exe文件增加大小61952字节,是mmc.exe自身大小再加512字节,被感染exe文件运行后会释放mmc.exe运行。

病毒文件如图:


清除步骤
==========

1. 结束病毒进程:

%System%\mmc.exe

X:\tel.xls.exe

%Windows%\svchost.exe

%System%\SocksA.exe

2. 删除病毒文件:

%Windows%\BACKINF.TAB

%Windows%\session.exe

%Windows%\svchost.exe

%System%\SocksA.exe

%System%\FileKan.exe

%System%\mmc.exe

3. 通过磁盘驱动器右键菜单进入根目录:右键点击驱动器盘符,点击菜单中的“打开”进入驱动器根目录,删除根目录下的文件:

X:\autorun.inf

X:\tel.xls.exe

4. 删除病毒启动项和服务:

[Copy to clipboard]

CODE:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ASocksrv"="SocksA.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mmc]
5. 修改“显示所有文件和文件夹”设置,到注册表以下位置:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curre
ntVersion\

Explorer\Advanced\Folder\Hidden\SHOWALL

删除右边病毒创建的字符串值:"CheckedValue"="0"

新建DWORD值,名称:CheckedValue,数据:1

6. 使用反病毒软件进行全盘扫描,清除被感染的exe文件

注:今天上午测试,Kaspersky(卡巴斯基)和瑞星(Rising)可以基本清除被感染exe文件

7. 从正常的相同的操作系统里复制%System%\mmc.exe,用以恢复系统“管理控制台”功能
    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章